Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La revisione degli eventi in Visualizzatore eventi è utile quando si valutano le funzionalità di riduzione della superficie di attacco. Ad esempio, è possibile abilitare la modalità di controllo per le funzionalità o le impostazioni e quindi verificare cosa accadrebbe se fossero completamente abilitate. È anche possibile visualizzare gli effetti delle funzionalità di riduzione della superficie di attacco quando sono completamente abilitate.
Questo articolo descrive come usare Windows Visualizzatore eventi per visualizzare gli eventi dalle funzionalità di riduzione della superficie di attacco, tra cui:
- Regole per la riduzione della superficie di attacco
- Accesso controllato alle cartelle
- Protezione dagli exploit
- Protezione di rete
Per visualizzare gli eventi di riduzione della superficie di attacco, sono disponibili le opzioni seguenti, come illustrato nel resto di questo articolo:
- Esplorare gli eventi di riduzione della superficie di attacco in Windows Visualizzatore eventi: come passare agli eventi di riduzione della superficie di attacco in Visualizzatore eventi e agli ID evento per ogni funzionalità di riduzione della superficie di attacco.
- Usare viste personalizzate in Windows Visualizzatore eventi per visualizzare gli eventi di riduzione della superficie di attacco: come creare o importare visualizzazioni personalizzate per filtrare Visualizzatore eventi per funzionalità asr specifiche e modelli di query XML pronti per l'uso.
Consiglio
È possibile usare l'inoltro eventi di Windows per centralizzare la raccolta di eventi di riduzione della superficie di attacco da più dispositivi.
Il portale di Microsoft Defender fornisce anche report per le funzionalità di riduzione della superficie di attacco più facili da usare rispetto a Windows Visualizzatore eventi:
Esplorare gli eventi di riduzione della superficie di attacco in Windows Visualizzatore eventi
Tutti gli eventi di riduzione della superficie di attacco si trovano nei log delle applicazioni e dei servizi. Per visualizzare gli eventi di riduzione della superficie di attacco, seguire questa procedura:
Selezionare Start, digitare Visualizzatore eventi e quindi premere INVIO per aprire Visualizzatore eventi.
InVisualizzatore eventi espandere Registri >applicazioni e serviziMicrosoft > Windows.
Continuare ad espandere il percorso per i diversi tipi di eventi di riduzione della superficie di attacco, come descritto nelle sottosezioni seguenti.
Trovare e filtrare gli eventi che si desidera visualizzare come descritto nelle sottosezioni seguenti.
Eventi della regola ASR
Gli eventi delle regole ASR si trovano nel logoperativodi Windows Defender>:
| ID evento | Descrizione |
|---|---|
| 1121 | Evento quando la regola viene attivata in modalità blocco |
| 1122 | Evento quando la regola viene attivata in modalità di controllo |
| 1129 | Evento quando l'utente esegue l'override del blocco in modalità di avviso |
| 5007 | Evento quando vengono modificate le impostazioni |
Eventi di accesso controllato alle cartelle
Gli eventi di accesso controllato alle cartelle si trovano in Windows Defender>Operational.
| ID evento | Descrizione |
|---|---|
| 5007 | Evento quando vengono modificate le impostazioni |
| 1124 | Evento di accesso controllato alle cartelle controllato |
| 1123 | Evento di accesso controllato alle cartelle bloccato |
| 1127 | Evento blocco di scrittura del settore dell'accesso controllato alle cartelle bloccato |
| 1128 | Audited controlled folder access sector write block event |
Eventi di protezione dagli exploit
I seguenti eventi di protezione dagli exploit si trovano nei log modalità kernel Security-Mitigations eSecurity-Mitigations User Mode:The following exploit protection events are located in the Security-Mitigations>Kernel Mode and Security-Mitigations> User Mode logs:
| ID evento | Descrizione |
|---|---|
| 1 | Controllo di ACG |
| 2 | Applicazione di ACG |
| 3 | Non consente il controllo dei processi figlio |
| 4 | Non consente il blocco dei processi figlio |
| 5 | Controllo di Blocca immagini con bassa integrità |
| 6 | Blocco di Blocca immagini con bassa integrità |
| 7 | Controllo di Blocca immagini remote |
| 8 | Blocca di Blocca immagini remote |
| 9 | Controllo di Disabilita le chiamate di sistema win32k |
| 10 | Blocco di Disabilita le chiamate di sistema win32k |
| 11 | Controllo di Controllo integrità codice |
| 12 | Blocco di Controllo integrità codice |
| 13 | Controllo di EAF |
| 14 | Applicazione di EAF |
| 15 | Controllo di EAF+ |
| 16 | Applicazione di EAF+ |
| 17 | Controllo di IAF |
| 18 | Applicazione di IAF |
| 19 | Controllo di ROP StackPivot |
| 20 | Applicazione di ROP StackPivot |
| 21 | Controllo di ROP CallerCheck |
| 22 | Applicazione di ROP CallerCheck |
| 23 | Controllo di ROP SimExec |
| 24 | Applicazione di ROP SimExec |
L'evento di protezione dagli exploit seguente si trova nel logoperativoWER-Diagnostics>:
| ID evento | Descrizione |
|---|---|
| 5 | Blocco di CFG |
Il seguente evento di protezione dagli exploit si trova nel logoperativoWin32k>:
| ID evento | Descrizione |
|---|---|
| 260 | Tipo di carattere non attendibile |
Eventi di protezione della rete
Gli eventi di protezione della rete si trovano in Windows Defender>Operational.
| ID evento | Descrizione |
|---|---|
| 5007 | Evento quando vengono modificate le impostazioni |
| 1125 | Evento quando la protezione di rete viene attivata in modalità di controllo |
| 1126 | Evento quando la protezione di rete viene attivata in modalità blocco |
Usare viste personalizzate in Windows Visualizzatore eventi per visualizzare gli eventi di riduzione della superficie di attacco
È possibile creare visualizzazioni personalizzate in Windows Visualizzatore eventi per visualizzare solo gli eventi per specifiche funzionalità di riduzione della superficie di attacco. Il modo più semplice consiste nell'importare una visualizzazione personalizzata come file XML. È anche possibile copiare il codice XML direttamente in Visualizzatore eventi.
Per i modelli XML pronti per l'uso, vedere la sezione Modelli XML personalizzati per gli eventi di riduzione della superficie di attacco .
Importare una visualizzazione personalizzata XML esistente
Creare un file di .txt vuoto e copiare il codice XML per la visualizzazione personalizzata da usare nel file .txt. Eseguire questo passaggio per ognuna delle visualizzazioni personalizzate che si desidera usare. Rinominare i file nel modo seguente (assicurarsi di modificare il tipo da .txt a .xml):
- Visualizzazione personalizzata degli eventi di accesso controllato alle cartelle: cfa-events.xml
- Visualizzazione personalizzata degli eventi di protezione dagli exploit: ep-events.xml
- Visualizzazione personalizzata degli eventi di riduzione della superficie di attacco: asr-events.xml
- Visualizzazione personalizzata degli eventi di protezione di rete: np-events.xml
Selezionare Start, digitare Visualizzatore eventi e quindi premere INVIO per aprire Visualizzatore eventi.
Selezionare Azione>Importa visualizzazione personalizzata...
Passare al file XML per la visualizzazione personalizzata desiderata e selezionarlo.
Seleziona Apri.
La visualizzazione personalizzata filtra per visualizzare solo gli eventi correlati a tale funzionalità.
Copiare direttamente il codice XML
Selezionare Start, digitare Visualizzatore eventi e quindi premere INVIO per aprire Visualizzatore eventi.
Nel riquadro Azioni selezionare Crea visualizzazione personalizzata...
Passare alla scheda XML e selezionare Modifica query manualmente. Un avviso indica che non è possibile modificare la query usando la scheda Filtro quando si usa l'opzione XML. Selezionare Sì.
Incollare il codice XML per la funzionalità da cui filtrare gli eventi nella sezione XML.
Selezionare OK. Specificare un nome per il filtro. La visualizzazione personalizzata filtra per visualizzare solo gli eventi correlati a tale funzionalità.
Modelli XML personalizzati per gli eventi di riduzione della superficie di attacco
XML per gli eventi delle regole di riduzione della superficie di attacco
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML per gli eventi di accesso controllato alle cartelle
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML per gli eventi di protezione dagli exploit
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML per gli eventi di protezione di rete
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>