Přehled nasazení pravidel omezení potenciální oblasti útoku

Článek
07/26/2024

Platí pro:

Oblasti útoků jsou místa, kde je vaše organizace zranitelná vůči kybernetickým hrozbám a útokům. Zmenšení prostoru pro útoky znamená ochranu zařízení a sítě vaší organizace, takže útočníci budou mít méně možností útoku. Může vám pomoct konfigurace pravidel omezení potenciální oblasti útoku v programu Microsoft Defender for Endpoint.

Pravidla omezení potenciální oblasti útoku cílí na určité chování softwaru, například:

Spouštění spustitelných souborů a skriptů, které se pokoušejí stáhnout nebo spustit soubory
Spouštění obfuskovaných nebo jinak podezřelých skriptů
Chování, ke kterému aplikace obvykle nedochází při běžné každodenní práci

Když zmenšíte různé oblasti útoku, můžete zabránit tomu, aby k útokům docházelo.

Tato kolekce nasazení poskytuje informace o následujících aspektech pravidel omezení potenciální oblasti útoku:

požadavky na pravidla omezení potenciální potenciální oblasti útoku
plánování nasazení pravidel omezení potenciální oblasti útoku
test pravidel omezení potenciální oblasti útoku
konfigurace a povolení pravidel omezení potenciální oblasti útoku
osvědčené postupy pro omezení potenciální oblasti útoku
pokročilé proaktivní vyhledávání pravidel omezení potenciální oblasti útoku
prohlížeč událostí pravidel omezení potenciální oblasti útoku

Postup nasazení pravidel omezení potenciální oblasti útoku

Stejně jako u jakékoli nové rozsáhlé implementace, která by mohla potenciálně ovlivnit vaše obchodní operace, je důležité být při plánování a implementaci metodikou. Pečlivé plánování a nasazení pravidel omezení potenciální oblasti útoku je nezbytné, aby se zajistilo, že budou fungovat co nejlépe pro vaše jedinečné pracovní postupy zákazníků. Pokud chcete pracovat ve svém prostředí, musíte pečlivě plánovat, testovat, implementovat a zprovoznit pravidla omezení potenciální oblasti útoku.

Důležitá upozornění před nasazením

Doporučujeme povolit následující tři standardní pravidla ochrany. Důležité podrobnosti o dvou typech pravidel omezení potenciální oblasti útoku najdete v tématu Pravidla omezení potenciální oblasti útoku podle typu .

Obvykle můžete povolit standardní pravidla ochrany s minimálním až žádným znatelným dopadem na koncového uživatele. Jednoduchou metodu povolení standardních pravidel ochrany najdete v tématu Zjednodušená možnost standardní ochrany.

Poznámka

Zákazníkům, kteří používají hips jiné společnosti než Microsoft a přecházejí na pravidla omezení potenciální oblasti útoku v programu Microsoft Defender for Endpoint, microsoft doporučuje spuštění řešení HIPS společně s nasazením pravidel omezení potenciální oblasti útoku až do okamžiku, kdy přejdete z režimu auditování do režimu blokování. Mějte na paměti, že s doporučeními k vyloučení se musíte obrátit na jiného poskytovatele antivirové ochrany než od Microsoftu.

Než začnete testovat nebo povolit pravidla omezení potenciální oblasti útoku

Během počáteční přípravy je důležité pochopit schopnosti systémů, které jste zavedli. Pochopení možností vám pomůže určit, která pravidla omezení potenciální oblasti útoku jsou pro ochranu vaší organizace nejdůležitější. Kromě toho existuje několik předpokladů, kterým se musíte věnovat při přípravě nasazení omezení potenciální potenciální oblasti útoku.

Důležité

Tato příručka obsahuje obrázky a příklady, které vám pomůžou při rozhodování, jak nakonfigurovat pravidla omezení potenciální oblasti útoku. Tyto image a příklady nemusí odrážet nejlepší možnosti konfigurace pro vaše prostředí.

Než začnete, přečtěte si základní informace v přehledu o omezení potenciální oblasti útoku a v části 1 věnované demystifikace pravidel omezení potenciální oblasti útoku . Pokud chcete porozumět oblastem pokrytí a potenciálnímu dopadu, seznamte se s aktuální sadou pravidel omezení potenciální oblasti útoku; Viz Referenční informace k pravidlu omezení potenciální oblasti útoku. Zatímco se seznamujete s sadou pravidel omezení potenciální oblasti útoku, poznamenejte si mapování GUID pro jednotlivá pravidla. Viz Pravidlo omezení potenciální oblasti útoku na matici GUID.

Pravidla omezení potenciální oblasti útoku jsou pouze jednou z možností omezení potenciální oblasti útoku v rámci Microsoft Defenderu for Endpoint. Tento dokument se podrobněji zaměřuje na efektivní nasazení pravidel omezení potenciální oblasti útoku, aby se zabránilo pokročilým hrozbám, jako je ransomware ovládaný člověkem a další hrozby.

Seznam pravidel omezení potenciální oblasti útoku podle kategorie

V následující tabulce jsou uvedena pravidla omezení potenciální oblasti útoku podle kategorie:

Polymorfní hrozby	Laterální pohyb & krádež přihlašovacích údajů	Pravidla aplikací pro produktivitu	Pravidla e-mailu	Pravidla skriptů	Pravidla různého použití
Blokovat spuštění spustitelných souborů, pokud nesplňují rozšířenost (1 000 počítačů), věk nebo kritéria seznamu důvěryhodných položek	Blokování vytváření procesů pocházejících z příkazů PSExec a WMI	Blokování aplikací Office ve vytváření spustitelného obsahu	Blokování spustitelného obsahu z e-mailového klienta a webové pošty	Blokový obfuskovaný kód JS/VBS/PS/makra	Blokovat zneužití zneužívaného ohroženého podepsaného ovladače ^[1]
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB	Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)^[2]	Blokování aplikací Office ve vytváření podřízených procesů	Blokovat vytváření podřízených procesů jenom komunikačním aplikacím Office	Blokovat js/VBS spuštění staženého spustitelného obsahu
Použití pokročilé ochrany proti ransomwaru	Blokování trvalosti prostřednictvím odběru událostí WMI	Blokovat aplikacím Office vkládání kódu do jiných procesů	Blokování komunikačních aplikací Office ve vytváření podřízených procesů
		Blokovat Adobe Readeru vytváření podřízených procesů

(1) Blokování zneužití zneužívaného ohroženého podepsaného ovladače je nyní k dispozici v částiOmezení potenciální oblasti útokuzabezpečení> koncového bodu.

(2) Některá pravidla omezení potenciální oblasti útoku generují značný hluk, ale neblokují funkčnost. Pokud například aktualizujete Chrome, chrome přistupuje klsass.exe; hesla se ukládají do lsass na zařízení. Chrome by ale neměl přistupovat k místnímu zařízení lsass.exe. Pokud pravidlo povolíte, aby blokoval přístup k lsass, zobrazí se mnoho událostí. Tyto události jsou vhodné, protože proces aktualizace softwaru by neměl mít přístup k lsass.exe. Použití tohoto pravidla zablokuje přístup aktualizací Chromu k lsass, ale neblokuje chrome v aktualizaci. To platí i pro jiné aplikace, které zbytečně volaly lsass.exe. Pravidlo blokování přístupu k lsass blokuje nepotřebná volání služby lsass, ale neblokuje spuštění aplikace.

Požadavky na infrastrukturu omezení potenciální oblasti útoku

I když je možné implementovat více metod implementace pravidel omezení potenciální oblasti útoku, je tato příručka založená na infrastruktuře, která se skládá z

Microsoft Entra ID
Microsoft Intune
Zařízení s Windows 10 a Windows 11
Licence Microsoft Defenderu for Endpoint E5 nebo Windows E5

Pokud chcete plně využít výhod pravidel omezení potenciální oblasti útoku a generování sestav, doporučujeme použít licenci Microsoft Defender XDR E5 nebo Windows E5 a A5. Další informace najdete v tématu Minimální požadavky pro Microsoft Defender for Endpoint.

Poznámka

Existuje několik metod, jak nakonfigurovat pravidla omezení potenciální oblasti útoku. Pravidla omezení potenciální oblasti útoku je možné nakonfigurovat pomocí Microsoft Intune, PowerShellu, zásad skupiny, Microsoft Configuration Manageru (ConfigMgr) a Intune OMA-URI. Pokud používáte jinou konfiguraci infrastruktury, než je uvedená v části Požadavky na infrastrukturu, můžete se o nasazení pravidel omezení potenciální oblasti útoku pomocí jiných konfigurací dozvědět více tady: Povolení pravidel omezení potenciální oblasti útoku.

Závislosti pravidel omezení potenciální oblasti útoku

Antivirová ochrana v programu Microsoft Defender musí být povolená a nakonfigurovaná jako primární antivirové řešení a musí být v následujícím režimu:

Primární antivirové/antimalwarové řešení
Stav: Aktivní režim

Antivirová ochrana v programu Microsoft Defender nesmí být v žádném z následujících režimů:

Pasivní
Pasivní režim s detekcí a odezvou koncového bodu (EDR) v režimu blokování
Omezená pravidelná kontrola (LPS)
Pryč

Další informace najdete v tématech Ochrana do cloudu a Antivirová ochrana v programu Microsoft Defender .

Aby bylo možné povolit pravidla omezení potenciální oblasti útoku, musí být povolená služba Cloud Protection (MAPS).

Antivirová ochrana v programu Microsoft Defender bezproblémově spolupracuje s cloudovými službami Microsoftu. Tyto služby cloudové ochrany, označované také jako Microsoft Advanced Protection Service (MAPS), vylepšují standardní ochranu v reálném čase a pravděpodobně poskytují nejlepší antivirovou ochranu. Cloudová ochrana je zásadní pro prevenci porušení malwaru a důležitou součástí pravidel omezení potenciální oblasti útoku. Zapněte ochranu do cloudu v Antivirové ochraně v programu Microsoft Defender.

Pro pravidla omezení potenciální oblasti útoku musí být součástí antivirové ochrany v programu Microsoft Defender aktuální verze.

Následující verze součástí Antivirové ochrany v programu Microsoft Defender nesmí být větší než dvě verze starší než aktuálně dostupná verze:

Verze aktualizace antivirové platformy v programu Microsoft Defender – Platforma Antivirová ochrana v programu Microsoft Defender se aktualizuje každý měsíc.
Verze modulu Antivirová ochrana v programu Microsoft Defender – Antivirová ochrana v programu Microsoft Defender se aktualizuje každý měsíc.
Antivirová ochrana v programu Microsoft Defender – Společnost Microsoft průběžně aktualizuje bezpečnostní informace v programu Microsoft Defender (označované také jako definice a podpis), aby řešila nejnovější hrozby a upřesňující logiku detekce.

Udržování aktuálních verzí antivirové ochrany v programu Microsoft Defender pomáhá snížit počet falešně pozitivních výsledků a zlepšit možnosti detekce antivirové ochrany v programu Microsoft Defender. Další podrobnosti o aktuálních verzích a o tom, jak aktualizovat různé součásti Antivirové ochrany v programu Microsoft Defender, najdete na stránce podpora platformy Microsoft Defender Antivirus.

Varování

Některá pravidla nefungují dobře, pokud se nepodepisovaná, interně vyvinutá aplikace a skripty používají ve velkém. Nasazení pravidel omezení potenciální oblasti útoku je obtížnější, pokud se nevynucuje podepisování kódu.

Další články v této kolekci nasazení

Testování pravidel omezení potenciální oblasti útoku

Povolení pravidel omezení potenciální oblasti útoku

Zprovoznění pravidel omezení potenciální oblasti útoku

Referenční informace k pravidlu omezení potenciální oblasti útoku

Odkazy

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.

Sdílet prostřednictvím

Přehled nasazení pravidel omezení potenciální oblasti útoku

Postup nasazení pravidel omezení potenciální oblasti útoku

Důležitá upozornění před nasazením

Než začnete testovat nebo povolit pravidla omezení potenciální oblasti útoku

Seznam pravidel omezení potenciální oblasti útoku podle kategorie

Požadavky na infrastrukturu omezení potenciální oblasti útoku

Závislosti pravidel omezení potenciální oblasti útoku

Aby bylo možné povolit pravidla omezení potenciální oblasti útoku, musí být povolená služba Cloud Protection (MAPS).

Pro pravidla omezení potenciální oblasti útoku musí být součástí antivirové ochrany v programu Microsoft Defender aktuální verze.

Varování

Další články v této kolekci nasazení

Odkazy

Blogy

Kolekce pravidel omezení potenciální oblasti útoku

Microsoft Defender

Lokality pro správu

Váš názor

Další materiály