Overzicht van regels voor het verminderen van kwetsbaarheid voor aanvallen

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR
• Microsoft Defender Antivirus

Platforms

• Windows

Waarom regels voor het verminderen van kwetsbaarheid voor aanvallen belangrijk zijn

De kwetsbaarheid voor aanvallen van uw organisatie bevat alle plaatsen waar een aanvaller de apparaten of netwerken van uw organisatie kan in gevaar komen. Het verminderen van uw kwetsbaarheid voor aanvallen betekent dat u de apparaten en het netwerk van uw organisatie beschermt, waardoor aanvallers minder manieren hebben om aanvallen uit te voeren. Het configureren van regels voor het verminderen van kwetsbaarheid voor aanvallen in Microsoft Defender voor Eindpunt kan helpen!

Regels voor het verminderen van kwetsbaarheid voor aanvallen zijn gericht op bepaald softwaregedrag, zoals:

• Uitvoerbare bestanden en scripts starten die proberen bestanden te downloaden of uit te voeren
• Verborgen of anderszins verdachte scripts uitvoeren
• Gedrag uitvoeren dat apps meestal niet initiëren tijdens normaal dagelijks werk

Dergelijk softwaregedrag wordt soms gezien in legitieme toepassingen. Dit gedrag wordt echter vaak als riskant beschouwd omdat ze vaak worden misbruikt door aanvallers via malware. Regels voor het verminderen van kwetsbaarheid voor aanvallen kunnen risicovol gedrag op basis van software beperken en uw organisatie veilig houden.

Zie voor een sequentieel, end-to-end-proces voor het beheren van regels voor het verminderen van kwetsbaarheid voor aanvallen:

• Implementatieoverzicht van regels voor het verminderen van kwetsbaarheid voor aanvallen
• Implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen plannen
• Regels voor het verminderen van kwetsbaarheid voor aanvallen testen
• Regels voor het verminderen van aanvalsoppervlakken inschakelen
• Regels voor het verminderen van kwetsbaarheid voor aanvallen operationeel maken

Regels evalueren vóór implementatie

U kunt beoordelen hoe een regel voor het verminderen van kwetsbaarheid voor aanvallen van invloed kan zijn op uw netwerk door de beveiligingsaanbeveling voor die regel te openen in Microsoft Defender Vulnerability Management.

Controleer in het deelvenster met aanbevelingsdetails op gebruikersimpact om te bepalen welk percentage van uw apparaten een nieuw beleid kan accepteren dat de regel in de blokkeringsmodus inschakelt zonder de productiviteit te beïnvloeden.

Zie Vereisten in het artikel 'Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen' voor informatie over ondersteunde besturingssystemen en andere informatie over vereisten.

Controlemodus voor evaluatie

Controlemodus

Gebruik de controlemodus om te evalueren hoe regels voor het verminderen van kwetsbaarheid voor aanvallen van invloed zijn op uw organisatie als deze is ingeschakeld. Voer eerst alle regels uit in de controlemodus, zodat u begrijpt hoe deze van invloed zijn op uw Line-Of-Business-toepassingen. Veel Line-Of-Business-toepassingen zijn geschreven met beperkte beveiligingsproblemen en kunnen taken uitvoeren op manieren die lijken op malware.

Uitsluitingen

Door controlegegevens te bewaken en uitsluitingen toe te voegen voor de benodigde toepassingen, kunt u regels voor het verminderen van kwetsbaarheid voor aanvallen implementeren zonder de productiviteit te verlagen.

Uitsluitingen per regel

Voor meer informatie over het configureren van uitsluitingen per regel raadpleegt u de sectie Regels voor het verminderen van kwetsbaarheid voor aanvallen per regel configureren in het artikel Regels voor het verminderen van kwetsbaarheid voor aanvallen testen.

Waarschuwingsmodus voor gebruikers

(NIEUW!) Voordat de mogelijkheden van de waarschuwingsmodus worden gebruikt, kunnen regels voor het verminderen van kwetsbaarheid voor aanvallen die zijn ingeschakeld, worden ingesteld op de controlemodus of de blokmodus. In de nieuwe waarschuwingsmodus zien gebruikers, wanneer inhoud wordt geblokkeerd door een regel voor het verminderen van kwetsbaarheid voor aanvallen, een dialoogvenster dat aangeeft dat de inhoud is geblokkeerd. Het dialoogvenster biedt de gebruiker ook een optie om de blokkering van de inhoud op te heffen. De gebruiker kan vervolgens de actie opnieuw proberen en de bewerking wordt voltooid. Wanneer een gebruiker de blokkering van inhoud opheft, blijft de blokkering 24 uur ongedaan en wordt de blokkering hervat.

Met de waarschuwingsmodus beschikt uw organisatie over regels voor het verminderen van kwetsbaarheid voor aanvallen zonder dat gebruikers toegang hebben tot de inhoud die ze nodig hebben om hun taken uit te voeren.

Vereisten voor de werking van de waarschuwingsmodus

Waarschuwingsmodus wordt ondersteund op apparaten met de volgende versies van Windows:

• Windows 10 versie 1809 of hoger
• Windows 11
• Windows Server, versie 1809 of hoger

Microsoft Defender Antivirus moet worden uitgevoerd met realtime-beveiliging in de actieve modus.

Zorg er ook voor dat Microsoft Defender Antivirus- en antimalware-updates zijn geïnstalleerd.

• Minimale vereiste voor platformrelease: 4.18.2008.9
• Minimale vereiste voor het vrijgeven van de motor: 1.1.17400.5

Zie Update voor Microsoft Defender antimalwareplatform voor meer informatie en om uw updates te downloaden.

Gevallen waarin de waarschuwingsmodus niet wordt ondersteund

Waarschuwingsmodus wordt niet ondersteund voor drie regels voor het verminderen van kwetsbaarheid voor aanvallen wanneer u deze configureert in Microsoft Intune. (Als u groepsbeleid gebruikt om uw regels voor het verminderen van kwetsbaarheid voor aanvallen te configureren, wordt de waarschuwingsmodus ondersteund.) De drie regels die geen ondersteuning bieden voor de waarschuwingsmodus wanneer u deze configureert in Microsoft Intune zijn als volgt:

• JavaScript of VBScript blokkeren voor het starten van gedownloade uitvoerbare inhoud (GUID d3e037e1-3eb8-44c8-a917-57927947596d)
• Persistentie blokkeren via WMI-gebeurtenisabonnement (GUID e6db77e5-3df2-4cf1-b95a-636979351e5b)
• Geavanceerde beveiliging tegen ransomware (GUID c1db55ab-c21a-4637-bb3f-a12568109d35) gebruiken

De waarschuwingsmodus wordt ook niet ondersteund op apparaten met oudere versies van Windows. In die gevallen worden regels voor het verminderen van kwetsbaarheid voor aanvallen die zijn geconfigureerd om te worden uitgevoerd in de waarschuwingsmodus uitgevoerd in de blokmodus.

Meldingen en waarschuwingen

Wanneer een regel voor het verminderen van kwetsbaarheid voor aanvallen wordt geactiveerd, wordt er een melding weergegeven op het apparaat. U kunt de melding aanpassen met uw bedrijfs- en contactgegevens.

Wanneer bepaalde regels voor het verminderen van kwetsbaarheid voor aanvallen worden geactiveerd, worden er ook waarschuwingen gegenereerd.

Meldingen en gegenereerde waarschuwingen kunnen worden weergegeven in de Microsoft Defender portal.

Zie per regel waarschuwings- en meldingsdetails in het artikel Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen voor specifieke informatie over de functionaliteit van meldingen en waarschuwingen.

Geavanceerde opsporings- en aanvalsoppervlakreductie-gebeurtenissen

U kunt geavanceerde opsporing gebruiken om gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen te bekijken. Om het volume van binnenkomende gegevens te stroomlijnen, zijn alleen unieke processen voor elk uur zichtbaar met geavanceerde opsporing. De tijd van een gebeurtenis voor het verminderen van de kwetsbaarheid voor aanvallen is de eerste keer dat deze gebeurtenis binnen een uur wordt gezien.

Stel dat er een gebeurtenis voor het verminderen van kwetsbaarheid voor aanvallen plaatsvindt op 10 apparaten tijdens het uur van 14:00 uur. Stel dat de eerste gebeurtenis plaatsvond om 14:15 uur en de laatste om 14:45 uur. Bij geavanceerde opsporing ziet u één exemplaar van die gebeurtenis (hoewel deze daadwerkelijk op 10 apparaten is opgetreden), en is de tijdstempel 14:15 uur.

Zie Proactief zoeken naar bedreigingen met geavanceerde opsporing voor meer informatie over geavanceerde opsporing.

Functies voor het verminderen van kwetsbaarheid voor aanvallen in windows-versies

U kunt regels voor het verminderen van kwetsbaarheid voor aanvallen instellen voor apparaten waarop een van de volgende edities en versies van Windows wordt uitgevoerd:

• Windows 10 Pro versie 1709 of hoger

• Windows 10 Enterprise versie 1709 of hoger

• Windows Server, versie 1803 (Semi-Annual-kanaal) of hoger

• Windows Server 2022

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2

  Opmerking

  Windows Server 2016 en Windows Server 2012 R2 moeten worden toegevoegd aan de hand van de instructies op Windows-servers onboarden om deze functie te laten werken.

Hoewel regels voor het verminderen van kwetsbaarheid voor aanvallen geen Windows E5-licentie vereisen, krijgt u geavanceerde beheermogelijkheden als u Windows E5 hebt. De geavanceerde mogelijkheden - alleen beschikbaar in Windows E5 - omvatten:

• De bewaking, analyse en werkstromen die beschikbaar zijn in Defender voor Eindpunt
• De rapportage- en configuratiemogelijkheden in Microsoft Defender XDR.

Deze geavanceerde mogelijkheden zijn niet beschikbaar met een Windows Professional- of Windows E3-licentie. Als u echter wel over deze licenties beschikt, kunt u Logboeken en Microsoft Defender Antivirus-logboeken gebruiken om uw regel voor kwetsbaarheid voor aanvallen te controleren.

Gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen bekijken in de Microsoft Defender-portal

Defender voor Eindpunt biedt gedetailleerde rapportage voor gebeurtenissen en blokken als onderdeel van scenario's voor waarschuwingsonderzoek.

U kunt een query uitvoeren op Defender voor Eindpunt-gegevens in Microsoft Defender XDR met behulp van geavanceerde opsporing.

Hier volgt een voorbeeldquery:

DeviceEvents
| where ActionType startswith 'Asr'

Gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen in Windows Logboeken bekijken

U kunt het Windows-gebeurtenislogboek bekijken om gebeurtenissen te bekijken die zijn gegenereerd door regels voor het verminderen van kwetsbaarheid voor aanvallen:

1. Download het evaluatiepakket en pak het bestand cfa-events.xml uit op een gemakkelijk toegankelijke locatie op het apparaat.

2. Voer de woorden Logboeken in het startmenu in om de Windows-Logboeken te openen.

3. Selecteer onder Actiesde optie Aangepaste weergave importeren....

4. Selecteer het bestand cfa-events.xml waaruit het is geëxtraheerd. U kunt ook de XML rechtstreeks kopiëren.

5. Selecteer OK.

U kunt een aangepaste weergave maken waarmee gebeurtenissen worden gefilterd om alleen de volgende gebeurtenissen weer te geven, die allemaal betrekking hebben op gecontroleerde maptoegang:

De 'engineversie' die wordt vermeld voor gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen in het gebeurtenislogboek, wordt gegenereerd door Defender voor Eindpunt, niet door het besturingssysteem. Defender voor Eindpunt is geïntegreerd met Windows 10 en Windows 11, zodat deze functie werkt op alle apparaten waarop Windows 10 of Windows 11 zijn geïnstalleerd.

Zie ook

• Implementatieoverzicht van regels voor het verminderen van kwetsbaarheid voor aanvallen
• Implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen plannen
• Regels voor het verminderen van kwetsbaarheid voor aanvallen testen
• Regels voor het verminderen van aanvalsoppervlakken inschakelen
• Regels voor het verminderen van kwetsbaarheid voor aanvallen operationeel maken
• Rapport Regels voor het verminderen van kwetsbaarheid voor aanvallen
• Uitsluitingen voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus