Rapport över regler för minskning av attackytan (ASR) i Microsoft Defender-portalen

  • Gäller för: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Rapporten regler för minskning av attackytan (ASR) ger detaljerade insikter om de regler som tillämpas på enheter i din organisation. Till exempel:

  • Identifierade hot.
  • Blockerade hot.
  • Enheter som inte är konfigurerade att använda standardskyddsreglerna för att blockera hot.

Rapporten innehåller ett lättanvänt gränssnitt som gör att du kan utföra följande uppgifter:

  • Visa hotidentifieringar.
  • Visa konfigurationen av ASR-regler.
  • Lägg till och hantera undantag.
  • Samla in detaljerad information.

Mer information om ASR-regler finns i Översikt över regler för minskning av attackytan (ASR).

Förhandskrav

Operativsystem som stöds

Behörigheter för rapportåtkomst

Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har även följande alternativ:

  • Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC): Säkerhetsåtgärder \ Säkerhetsdata \ Grundläggande säkerhetsdata (läs).

  • Behörigheter för Defender för Endpoint (tillgängliga i organisationer som skapats före februari 2025): Visadatasäkerhetsåtgärder>.

  • Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör*, Säkerhetsadministratör, Global läsare eller Säkerhetsläsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.

    Viktigt

    Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

Rapportsidan Regler för minskning av attackytan

I Microsoft Defender-portalen på https://security.microsoft.comgår du till fliken Rapporter>slutpunkter på fliken >Regler för minskning av attackytan. Om du vill gå direkt till rapportsidan för regler för minskning av attackytan använder du https://security.microsoft.com/asr.

Följande flikar är tillgängliga på rapportsidan regler för minskning av attackytan :

Fliken Identifieringar

Fliken Identifieringar är standardfliken på sidan. Om du vill gå direkt till fliken Identifieringar i rapporten regler för minskning av attackytan använder du https://security.microsoft.com/asr eller https://security.microsoft.com/asr?viewid=detections.

Skärmbild som visar rapportsidan regler för minskning av attackytan i Microsoft Defender-portalen.

Som standard använder ASR-regelinformationen på sidan följande filter:

  • Regler: Värdet Standardskydd är valt som standard för att endast visa data för standardskyddsregler , men du kan ändra värdet till Alla för att visa data för alla ASR-regler.

  • Datum: Datumintervallet för de senaste 30 dagarna är valt som standard, men du kan ändra värdena Starttid och Sluttid till ett intervall inom de senaste 30 dagarna.

  • Välj regler*: Värdet Valfritt är markerat som standard, men du kan ändra värdet baserat på filtervärdet Regler :

    • Standardskydd: Välj en eller flera standardskyddsregler i listrutan.
    • Alla: Välj en eller flera ASR-regler (inklusive standardskyddsregler) i listrutan.

Du kan använda följande extra filter som inte har konfigurerats som standard genom att välja Lägg till filter och sedan välja bland de tillgängliga alternativen. När filtret visas överst på fliken kan du konfigurera valen för det:

  • Enhetsgrupp*: Välj en eller flera tillgängliga enhetsgrupper.
  • Blockerad/granskad?: Välj Granskad eller Blockerad.

* Om du väljer alla tillgängliga värden eller inga värden för det här filtret visas samma resultat.

Om du vill ta bort ett filter väljer du Rensa. Om du vill återställa alla filter väljer du Återställ alla.

Under filtren och ovanför diagrammet visas följande information:

  • Granskningsidentifieringar: Antalet hotidentifieringar av ASR-regler i granskningsläge med hjälp av de angivna filtren.

  • Blockerade identifieringar: Antalet hotidentifieringar av ASR-regler i blockeringsläge med de angivna filtren.

    Mer information om granskningsläge och blockeringsläge finns i ASR-regellägen.

Diagrammet visar granskade och blockerade identifieringar per dag över det valda datumintervallet. Hovra över data för en viss dag för att se antalet granskningar eller block baserat på de aktuella filtren.

Informationstabellen under diagrammet innehåller följande information:

  • Identifierad fil: Filen som bestäms innehålla ett möjligt eller känt hot.
  • Identifierades den: Det datum då hotet identifierades.
  • Blockerad/granskad?: Om identifieringsregeln för den specifika händelsen var i läget Blockera eller Granska .
  • Regel: Regeln som identifierade hotet.
  • Källapp: Programmet som gjorde anropet till den identifierade filen.
  • Enhet: Namnet på enheten där gransknings- eller blockhändelsen inträffade.
  • Enhetsgrupp: Den enhetsgrupp som enheten tillhör.
  • Användare: Kontot som ansvarar för att källappen öppnar den identifierade filen (till exempel SYSTEM för kontot NT AUTHORITY\SYSTEM).
  • Utgivare: Företaget som publicerade appen.

Välj en kolumnrubrik för att sortera efter det värdet.

Sökrutan är tillgänglig för att söka efter poster i informationstabellen efter enhets-ID, filnamn eller processnamn.

GroupBy är tillgängligt för att gruppera informationen i informationstabellen med följande alternativ:

  • Ingen gruppering (standard)
  • Identifierad fil
  • Granska eller blockera
  • Regel
  • Källapp
  • Enhet
  • Enhetsgrupp
  • Användare
  • Publisher

Tips

För att kunna använda GroupBy måste du rulla till den senaste identifieringsposten i listan för att läsa in den fullständiga datauppsättningen. Sedan kan du använda GroupBy. Annars är resultatet felaktigt för alla resultat som har fler än en visningsbar sida med identifieringar i listan.

För närvarande är antalet enskilda identifierade objekt som anges i informationstabellen begränsat till 200 regler. Använd Exportera för att spara den fullständiga listan över identifieringar i en CSV-fil.

Om du vill visa alla ASR-regler som utlöses i Defender för Endpoint Plan 2 använder du tabellen DeviceEvents i avancerad jakt.

Identifierad filinformation

När du väljer en identifieringshändelse från informationstabellen på fliken Identifieringar på rapportsidan Regler för minskning av attackytan genom att klicka någon annanstans på raden än kryssrutan bredvid värdet Identifierad fil öppnas en utfällbar meny för filinformation med följande information:

  • Avsnittet Identifieringar:

    Det här avsnittet visar en mindre version av diagrammet på huvudsidan som filtreras efter ASR-regelidentifiering för filen.

    Följande åtgärder är tillgängliga i det här avsnittet:

    • Go hunt: I Defender för Endpoint Plan 2 öppnar den här åtgärden sidan avancerad jaktfråga med det identifierade filnamnet som anges i frågan. För filen conhost.exeser frågan till exempel ut så här:

      DeviceEvents
    | where Timestamp >= ago(1d)
    | where FileName == 'conhost.exe'
    | where ActionType startswith 'Asr'
    | extend ParsedFields=parse_json(AdditionalFields)
    | distinct ActionType, Audit=tostring(ParsedFields.IsAudit), InitiatingProcessParentFileName, InitiatingProcessFolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine, FolderPath, FileName, ProcessCommandLine, ASRRuleId=tostring(ParsedFields.RuleId)
    | take 1000

      Mer information om avancerad jakt finns i Proaktiv jakt efter hot med avancerad jakt i Microsoft Defender XDR.

    • Öppna filsidan: Öppnar filen på filentitetssidan för den identifierade filen i Defender för Endpoint.

  • Avsnitt om möjliga undantag och påverkan : Visar information om identifieringar av filen enligt ASR-regler under de senaste 30 dagarna (det totala antalet identifieringar och procentandelen).

  • Lägg till undantag längst ned i den utfällbara menyn och öppnar Microsoft Intune administrationscenter. Mer information om hur du konfigurerar undantag för ASR-regler finns i Konfigurera regler och undantag för minskning av attackytan (ASR).

Skärmbild som visar den utfällbara menyn Filinformation efter att du har valt en post i informationstabellen på fliken Identifieringar i rapporten Regler för minskning av attackytan.

Fliken Konfiguration

Om du vill gå direkt till fliken Konfiguration på rapportsidan regler för minskning av attackytan använder du https://security.microsoft.com/asr?viewid=configuration.

Skärmbild av fliken Konfiguration på rapportsidan Regler för minskning av attackytan i Microsoft Defender-portalen.

Fliken Konfiguration innehåller information om asr-regelkonfiguration per enhet och sammanfattning.

Med regler kan du filtrera resultaten i avsnittet Översikt över enhetskonfiguration . Standardskydd är valt för att endast visa data för standardskyddsregler, men du kan växla till Alla för att visa data för alla ASR-regler.

Avsnittet Översikt över enhetskonfiguration visar summor för ASR-regeltillstånd baserat på Standardskydd eller Alla-filtret :

  • Alla exponerade enheter: Antalet enheter med okonfigurerade ASR-regler.
  • Antalet enheter med regler som inte har konfigurerats
  • Antalet enheter med regler i granskningsläge
  • Antalet enheter med regler i blockeringsläge

Informationstabellen visar följande information för varje berörd enhet:

  • Enhet: Namnet på enheten.

  • Övergripande konfiguration: Sammanfattar villkoret för alla ASR-regler på enheten. Till exempel:

    • Regler i blockeringsläge: Vissa regler på enheten är i blockeringsläge .
    • Regler av: Vissa regler på enheten är inaktiverade.

  • Regler i blockeringsläge

  • Regler i granskningsläge

  • Regler i varningsläge

    Mer information om de olika ASR-regellägena finns i ASR-regellägen.

  • Regler inaktiverade

  • Regler som inte är tillämpliga: Till exempel regeln Blockera webshell-skapande för servrar på klientarbetsstationer.

  • Okänd

  • Enhets-ID: Den unika SHA-1-hashvärdeidentifieraren för enheten i Microsoft Defender för Endpoint. Mer information finns i Maskinresurstyp.

Välj en kolumnrubrik för att sortera efter det värdet.

Använd sökrutan för att hitta en specifik enhet i informationstabellen efter enhets- eller enhets-ID-värde. Partiella matchningar stöds.

Enhetsinformation

När du väljer en enhetspost från informationstabellen på fliken Konfiguration på rapportsidan Regler för minskning av attackytan genom att klicka var som helst på raden öppnas en utfälld utfälld enhetsinformation med följande information:

  • En lista över alla tillgängliga ASR-regler och deras tillstånd på enheten:

  • Av

  • Granskning

  • Blockera

  • Varna

  • Ej tillämpligt

  • Lägg till i principen längst ned i den utfällbara menyn och öppnar Microsoft Intune administrationscenter. Mer information om de olika sätten att konfigurera ASR-regler finns i Distributions- och konfigurationsmetoder för ASR-regler.

Skärmbild av den utfällbara menyn med enhetsinformation för en enhet från fliken Konfiguration på rapportsidan Regler för minskning av attackytan.

Fliken Lägg till undantag

Viktigt

Om du undantar filer eller mappar kan det avsevärt minska skyddet som tillhandahålls av ASR-regler. Undantagna filer tillåts att köras och ingen rapport eller händelse registreras.

Om ASR-regler identifierar filer som du anser inte bör identifieras bör du växla regeln till Granskningsläge för undersökning.

Om du vill gå direkt till fliken Lägg till undantag på rapportsidan Regler för minskning av attackytan använder du https://security.microsoft.com/asr?viewid=exclusions.

Skärmbild av fliken Lägg till undantag på rapportsidan Regler för minskning av attackytan i Microsoft Defender-portalen.

Fliken Lägg till undantag visar filidentifieringar av ASR-regler på alla enheter.

Filter > Med regler eller filter kan du filtrera resultaten på sidan. Standardskydd är valt för att endast visa data för standardskyddsregler, men du kan växla till Alla för att visa data för alla ASR-regler.

Informationstabellen visar följande information:

  • Filnamn: Namnet på filen som utlöste ASR-regelhändelsen.
  • Identifieringar: Det totala antalet identifierade händelser för filen. Enskilda enheter kan utlösa flera ASR-regelhändelser.
  • Enheter: Antalet enheter där identifieringen inträffade.

Välj en kolumnrubrik för att sortera efter det värdet.

Använd sökrutan för att hitta poster efter filnamn.

Sammanfattning & förväntat effektfönster

När du markerar en eller flera filposter från informationstabellen på fliken Lägg till undantag i rapporten Regler för minskning av attackytan genom att markera kryssrutorna bredvid kolumnen Filnamn fylls fönstret Sammanfattning & förväntade påverkan med information och åtgärder för de markerade filerna:

  • Sammanfattningsavsnitt : Antalet filer som du har valt.

  • <Avsnittet n> identifieringar : Vad händer med ASR-regelidentifieringar för de valda filerna om du exkluderar dem från ASR-regler:

    • Hur många regelidentifieringar som ska undantas (<n> identifieringar mindre efter undantag)
    • Ett diagram som visar antalet faktiska identifieringar och identifieringar efter undantag.

  • <avsnittet n> berörda enheter: Vad händer med ASR-regelidentifieringar på enheter om du exkluderar de valda filerna från ASR-regler:

    • <n> berörda enheter: Hur många enheter som påverkas (<n> enheter mindre efter undantag)
    • Ett diagram som visar antalet enheter som Fortsätter att ha identifieringar och Inte längre har identifieringar.

  • Följande åtgärder är tillgängliga längst ned i fönstret Sammanfattning & förväntad effekt :

    • Lägg till undantag: Öppnar administrationscentret för Microsoft Intune. Mer information om de olika sätten att undanta filer och mappar från ASR-regler finns i Fil- och mappundantag för ASR-regler.

    • Hämta valda undantagssökvägar: Genererar en AsrExclusionPaths.csv fil med de fullständiga sökvägarna till de filer som påverkas för nedladdning.

Skärmbild som visar fliken Lägg till undantag på rapportsidan Regler för minskning av attackytan med valda filposter.

Relaterat innehåll

  • Last updated on