Comprendere e usare le funzionalità di riduzione della superficie di attacco
Si applica a:
- Microsoft Defender XDR
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Antivirus Microsoft Defender
Piattaforme
- Windows
Consiglio
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
Le superfici di attacco sono tutti i luoghi in cui l'organizzazione è vulnerabile a minacce informatiche e attacchi. Defender per endpoint include diverse funzionalità che consentono di ridurre le superfici di attacco. Guardare il video seguente per altre informazioni sulla riduzione della superficie di attacco.
Configurare le funzionalità per la riduzione della superficie di attacco
Per configurare la riduzione della superficie di attacco nell'ambiente, seguire questa procedura:
Abilitare l'isolamento basato su hardware per Microsoft Edge.
Abilitare le regole di riduzione della superficie di attacco.
Abilitare il controllo applicazione.
Esaminare i criteri di base in Windows. Vedere Criteri di base di esempio.
Vedere la guida alla progettazione di Windows Defender Application Control.
Fare riferimento alla distribuzione dei criteri di Windows Defender Application Control (WDAC).
Abilitare il controllo del dispositivo.
Abilitare la protezione Web.
Configurare il firewall di rete.
Panoramica di Windows Firewall con sicurezza avanzata.
Usare la guida alla progettazione di Windows Firewall per decidere come progettare i criteri del firewall.
Usare la guida alla distribuzione di Windows Firewall per configurare il firewall dell'organizzazione con sicurezza avanzata.
Consiglio
Nella maggior parte dei casi, quando si configurano le funzionalità di riduzione della superficie di attacco, è possibile scegliere tra diversi metodi:
- Microsoft Intune
- Microsoft Configuration Manager
- Criteri di gruppo
- Cmdlet di Microsoft PowerShell
Riduzione della superficie di attacco di test in Microsoft Defender per endpoint
Come parte del team di sicurezza dell'organizzazione, è possibile configurare le funzionalità di riduzione della superficie di attacco da eseguire in modalità di controllo per vedere come funzionano. È possibile abilitare le seguenti funzionalità di sicurezza per la riduzione della superficie di attacco in modalità di controllo:
- Regole di riduzione della superficie di attacco
- Protezione dagli exploit
- Protezione della rete
- Accesso alle cartelle controllato
- Controllo del dispositivo
La modalità di controllo consente di visualizzare un record di ciò che sarebbe successo se la funzionalità fosse stata abilitata.
È possibile abilitare la modalità di controllo durante il test del funzionamento delle funzionalità. L'abilitazione della modalità di controllo solo per i test consente di impedire che la modalità di controllo influisca sulle app line-of-business. È anche possibile avere un'idea di quanti tentativi sospetti di modifica dei file si verificano in un determinato periodo di tempo.
Le funzionalità non bloccano o impediscono la modifica di app, script o file. Tuttavia, il registro eventi di Windows registra gli eventi come se le funzionalità fossero completamente abilitate. Con la modalità di controllo, è possibile esaminare il registro eventi per vedere quale effetto avrebbe avuto la funzionalità se fosse stata abilitata.
Per trovare le voci controllate, passare ad Applicazioni e servizi>Microsoft>Windows>Defender>Operational.
Usare Defender per endpoint per ottenere maggiori dettagli per ogni evento. Questi dettagli sono particolarmente utili per analizzare le regole di riduzione della superficie di attacco. L'uso della console di Defender per endpoint consente di analizzare i problemi come parte degli scenari di analisi e sequenza temporale degli avvisi.
È possibile abilitare la modalità di controllo usando Criteri di gruppo, PowerShell e provider di servizi di configurazione.
Opzioni di controllo | Come abilitare la modalità di controllo | Come visualizzare gli eventi |
---|---|---|
Il controllo si applica a tutti gli eventi | Abilitare l’accesso controllato alle cartelle | Eventi di accesso controllato alle cartelle |
Il controllo si applica alle singole regole | Passaggio 1: Testare le regole di riduzione della superficie di attacco usando la modalità di controllo | Passaggio 2: Comprendere la pagina di segnalazione delle regole di riduzione della superficie di attacco |
Il controllo si applica a tutti gli eventi | Abilitare la protezione di rete | Eventi di protezione della rete |
Il controllo si applica alle singole mitigazioni | Abilitare la protezione dagli exploit | Eventi di protezione dagli exploit |
Ad esempio, è possibile testare le regole di riduzione della superficie di attacco in modalità di controllo prima di abilitarle in modalità blocco. Le regole di riduzione della superficie di attacco sono predefinite per rafforzare le superfici di attacco comuni e note. Esistono diversi metodi che è possibile usare per implementare le regole di riduzione della superficie di attacco. Il metodo preferito è documentato negli articoli sulla distribuzione delle regole di riduzione della superficie di attacco seguenti:
- Panoramica della distribuzione delle regole di riduzione della superficie di attacco
- Pianificare la distribuzione delle regole di riduzione della superficie di attacco
- Testare le regole di riduzione della superficie di attacco
- Abilitare regole di riduzione della superficie di attacco
- Rendere operative le regole di riduzione della superficie di attacco
Visualizzare eventi per la riduzione della superficie di attacco
Esaminare gli eventi di riduzione della superficie di attacco in Visualizzatore eventi per monitorare le regole o le impostazioni che funzionano. È anche possibile determinare se le impostazioni sono troppo "rumorose" o influiscono sul flusso di lavoro quotidiano.
La revisione degli eventi è utile quando si valutano le funzionalità. È possibile abilitare la modalità di controllo per le funzionalità o le impostazioni e quindi verificare cosa sarebbe successo se fossero state completamente abilitate.
Questa sezione elenca tutti gli eventi, la funzionalità o l'impostazione associata e descrive come creare visualizzazioni personalizzate per filtrare in base a eventi specifici.
Ottenere report dettagliati su eventi, blocchi e avvisi come parte di Sicurezza di Windows se si dispone di una sottoscrizione E5 e si usa Microsoft Defender per endpoint.
Usare visualizzazioni personalizzate per esaminare le funzionalità di riduzione della superficie di attacco
Creare visualizzazioni personalizzate in Windows Visualizzatore eventi per visualizzare solo gli eventi per funzionalità e impostazioni specifiche. Il modo più semplice consiste nell'importare una visualizzazione personalizzata come file XML. È possibile copiare il codice XML direttamente da questa pagina.
È anche possibile passare manualmente all'area eventi corrispondente alla funzionalità.
Importare una visualizzazione personalizzata XML esistente
Creare un file di .txt vuoto e copiare il codice XML per la visualizzazione personalizzata da usare nel file .txt. Eseguire questa operazione per ognuna delle visualizzazioni personalizzate che si desidera usare. Rinominare i file nel modo seguente (assicurarsi di modificare il tipo da .txt a .xml):
- Visualizzazione personalizzata degli eventi di accesso controllato alle cartelle: cfa-events.xml
- Visualizzazione personalizzata degli eventi di protezione dagli exploit: ep-events.xml
- Visualizzazione personalizzata degli eventi di riduzione della superficie di attacco: asr-events.xml
- Visualizzazione personalizzata degli eventi di rete/protezione: np-events.xml
Digitare Visualizzatore eventi nel menu Start e aprire Visualizzatore eventi.
Selezionare Azione>Importa visualizzazione personalizzata...
Passare alla posizione in cui è stato estratto il file XML per la visualizzazione personalizzata desiderata e selezionarlo.
Seleziona Apri.
Crea una visualizzazione personalizzata che filtra per visualizzare solo gli eventi correlati a tale funzionalità.
Copiare direttamente il codice XML
Digitare visualizzatore eventi nel menu Start e aprire il Visualizzatore eventi di Windows.
Nel pannello a sinistra, in Azioni, selezionare Crea visualizzazione personalizzata...
Passare alla scheda XML e selezionare Modifica query manualmente. Viene visualizzato un avviso che indica che non è possibile modificare la query usando la scheda Filtro se si usa l'opzione XML. Selezionare Sì.
Incollare il codice XML per la funzionalità da cui filtrare gli eventi nella sezione XML.
Selezionare OK. Specificare un nome per il filtro. Questa azione crea una visualizzazione personalizzata che filtra solo gli eventi correlati a tale funzionalità.
XML per gli eventi delle regole di riduzione della superficie di attacco
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML per gli eventi di accesso controllato alle cartelle
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML per gli eventi di protezione dagli exploit
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML per gli eventi di protezione di rete
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Elenco di eventi di riduzione della superficie di attacco
Tutti gli eventi di riduzione della superficie di attacco si trovano in Registri > applicazioni e servizi Microsoft > Windows e quindi nella cartella o nel provider come indicato nella tabella seguente.
È possibile accedere a questi eventi nel Visualizzatore eventi di Windows:
Aprire il menu Start e digitare Visualizzatore eventi e quindi selezionare il risultato Visualizzatore eventi.
Espandere Registri > applicazioni e servizi Microsoft > Windows e quindi passare alla cartella elencata in Provider/origine nella tabella seguente.
Fare doppio clic sull'elemento secondario per visualizzare gli eventi. Scorrere gli eventi per trovare quello che si sta cercando.
Funzionalità | Provider/origine | ID evento | Descrizione |
---|---|---|---|
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 1 | Controllo di ACG |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 2 | Applicazione di ACG |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 3 | Non consente il controllo dei processi figlio |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 4 | Non consente il blocco dei processi figlio |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 5 | Controllo di Blocca immagini con bassa integrità |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 6 | Blocco di Blocca immagini con bassa integrità |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 7 | Controllo di Blocca immagini remote |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 8 | Blocca di Blocca immagini remote |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 9 | Controllo di Disabilita le chiamate di sistema win32k |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 10 | Blocco di Disabilita le chiamate di sistema win32k |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 11 | Controllo di Controllo integrità codice |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 12 | Blocco di Controllo integrità codice |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 13 | Controllo di EAF |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 14 | Applicazione di EAF |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 15 | Controllo di EAF+ |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 16 | Applicazione di EAF+ |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 17 | Controllo di IAF |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 18 | Applicazione di IAF |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 19 | Controllo di ROP StackPivot |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 20 | Applicazione di ROP StackPivot |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 21 | Controllo di ROP CallerCheck |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 22 | Applicazione di ROP CallerCheck |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 23 | Controllo di ROP SimExec |
Protezione dagli exploit | Security-Mitigations (modalità kernel/modalità utente) | 24 | Applicazione di ROP SimExec |
Protezione dagli exploit | WER-Diagnostics | 5 | Blocco di CFG |
Protezione dagli exploit | Win32K (Operativo) | 260 | Tipo di carattere non attendibile |
Protezione della rete | Windows Defender (operativo) | 5007 | Evento quando vengono modificate le impostazioni |
Protezione della rete | Windows Defender (operativo) | 1125 | Evento quando la protezione di rete viene attivata in modalità di controllo |
Protezione della rete | Windows Defender (operativo) | 1126 | Evento quando la protezione di rete viene attivata in modalità blocco |
Accesso alle cartelle controllato | Windows Defender (operativo) | 5007 | Evento quando vengono modificate le impostazioni |
Accesso alle cartelle controllato | Windows Defender (operativo) | 1124 | Audited Controlled folder access event (Evento di accesso controllato alle cartelle) |
Accesso alle cartelle controllato | Windows Defender (operativo) | 1123 | Evento di accesso controllato alle cartelle bloccato |
Accesso alle cartelle controllato | Windows Defender (operativo) | 1127 | Blocked Controlled folder access sector write block event (Evento blocco di scrittura del settore di accesso controllato alle cartelle bloccato) |
Accesso alle cartelle controllato | Windows Defender (operativo) | 1128 | Audited Controlled folder access sector write block event |
Riduzione della superficie d'attacco | Windows Defender (operativo) | 5007 | Evento quando vengono modificate le impostazioni |
Riduzione della superficie d'attacco | Windows Defender (operativo) | 1122 | Evento quando la regola viene attivata in modalità di controllo |
Riduzione della superficie d'attacco | Windows Defender (operativo) | 1121 | Evento quando la regola viene attivata in modalità blocco |
Nota
Dal punto di vista dell'utente, la riduzione della superficie di attacco Notifiche modalità avviso vengono effettuate come notifica di avviso popup di Windows per le regole di riduzione della superficie di attacco.
Nella riduzione della superficie di attacco, Protezione di rete offre solo le modalità Di controllo e Blocco.
Risorse per altre informazioni sulla riduzione della superficie di attacco
Come indicato nel video, Defender per endpoint include diverse funzionalità di riduzione della superficie di attacco. Per altre informazioni, usare le risorse seguenti:
Articolo | Descrizione |
---|---|
Controllo delle applicazioni | Usare il controllo dell'applicazione in modo che le applicazioni debbano ottenere attendibilità per l'esecuzione. |
Informazioni di riferimento sulle regole di riduzione della superficie di attacco | Fornisce informazioni dettagliate su ogni regola di riduzione della superficie di attacco. |
Guida alla distribuzione delle regole di riduzione della superficie di attacco | Presenta informazioni generali e prerequisiti per la distribuzione delle regole di riduzione della superficie di attacco, seguito da indicazioni dettagliate per il test (modalità di controllo), l'abilitazione (modalità blocco) e il monitoraggio. |
Accesso controllato alle cartelle | Impedisci ad app dannose o sospette (incluso il malware ransomware per la crittografia dei file) di apportare modifiche ai file nelle cartelle di sistema chiave (richiede Microsoft Defender Antivirus). |
Controllo dispositivo | Protegge dalla perdita di dati monitorando e controllando i supporti usati nei dispositivi, ad esempio l'archiviazione rimovibile e le unità USB, nell'organizzazione. |
Protezione dagli exploit | Proteggere i sistemi operativi e le app usate dall'organizzazione dallo sfruttamento. La protezione dagli exploit funziona anche con soluzioni antivirus di terze parti. |
Isolamento basato su hardware | Consente di proteggere e mantenere l'integrità di un sistema all'avvio e durante l'esecuzione. Permette di convalidare l'integrità del sistema tramite l'attestazione locale e remota Usare l'isolamento dei contenitori per Microsoft Edge per proteggere i siti Web dannosi. |
Protezione di rete | Consente di estendere la protezione al traffico di rete e alla connettività nei dispositivi dell'organizzazione. (Richiede Antivirus Microsoft Defender). |
Testare le regole di riduzione della superficie di attacco | Fornisce i passaggi per usare la modalità di controllo per testare le regole di riduzione della superficie di attacco. |
Protezione sul Web | La protezione Web consente di proteggere i dispositivi dalle minacce Web e consente di regolare i contenuti indesiderati. |
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.