Sdílet prostřednictvím

Plánování nasazení pravidel omezení potenciální oblasti útoku

  • Článek

Platí pro:

Než otestujete nebo povolíte pravidla omezení potenciální oblasti útoku, měli byste naplánovat nasazení. Pečlivé plánování vám pomůže otestovat nasazení pravidel omezení potenciální oblasti útoku a získat náskok před všemi výjimkami pravidel. Při plánování testování pravidel omezení potenciální oblasti útoku se ujistěte, že začínáte se správnou organizační jednotkou. Začněte s malou skupinou lidí v konkrétní obchodní jednotce. V rámci konkrétní obchodní jednotky můžete identifikovat některé šampiony, kteří vám můžou poskytnout zpětnou vazbu, která vám pomůže vyladit vaši implementaci.

Plánovací kroky pravidel omezení potenciální oblasti útoku

Důležité

Zatímco procházíte procesem plánování, auditování a povolení pravidel omezení potenciální oblasti útoku, doporučujeme povolit následující tři standardní pravidla ochrany. Důležité podrobnosti o dvou typech pravidel omezení potenciální oblasti útoku najdete v tématu Pravidla omezení potenciální oblasti útoku podle typu .

Obvykle můžete povolit standardní pravidla ochrany s minimálním znatelným dopadem na koncového uživatele. Jednoduchou metodu povolení standardních pravidel ochrany najdete v tématu Zjednodušená možnost standardní ochrany.

Spuštění nasazení pravidel ASR se správnou obchodní jednotkou

Způsob výběru organizační jednotky pro zavedení nasazení pravidel omezení potenciální oblasti útoku závisí na faktorech, jako jsou:

  • Velikost organizační jednotky
  • Dostupnost pravidel omezení potenciální oblasti útoku
  • Distribuce a využití:
    • Software
    • Sdílené složky
    • Použití skriptů
    • Makra Office
    • Další entity ovlivněné pravidly omezení potenciální oblasti útoku

V závislosti na vašich obchodních potřebách se můžete rozhodnout zahrnout více organizačních jednotek, abyste získali široký vzorkování softwaru, sdílených složek, skriptů, maker atd. Můžete se rozhodnout omezit rozsah prvního zavedení pravidel omezení potenciální oblasti útoku na jednu obchodní jednotku. Pak postupně opakujte celý proces zavedení pravidel omezení potenciální oblasti útoku do ostatních obchodních jednotek.

Identifikace šampionů pravidel ASR

Šampióni pravidel omezení potenciální oblasti útoku jsou členy vaší organizace, kteří vám můžou pomoct s počátečním zavedením pravidel omezení potenciální oblasti útoku během předběžných fází testování a implementace. Vašimi šampiony jsou obvykle zaměstnanci, kteří jsou technicky zdatnější a kteří nejsou znechuceni přerušovanými výpadky pracovního toku. Zapojení šampionů pokračuje po celou dobu širšího rozšíření nasazování pravidel omezení potenciální oblasti útoku do vaší organizace. Jako první si projdou každou úroveň zavedení pravidel omezení potenciální oblasti útoku.

Pro vaše šampiony pravidel omezení potenciální oblasti útoku je důležité poskytnout kanál zpětné vazby a reakce, který vás upozorní na přerušení práce související s pravidly omezení potenciální oblasti útoku a obdrží komunikaci související s pravidly omezení potenciální oblasti útoku.

Získejte inventář obchodních aplikací a seznamte se s procesy obchodních jednotek.

Úplné porozumění aplikacím a procesům jednotlivých obchodních jednotek, které se používají ve vaší organizaci, je pro úspěšné nasazení pravidel omezení potenciální oblasti útoku velmi důležité. Kromě toho je nezbytné, abyste pochopili, jak se tyto aplikace používají v různých organizačních jednotkách ve vaší organizaci. Nejprve byste měli získat inventář aplikací, které jsou schválené pro použití v celé organizaci. K inventarizaci softwarových aplikací můžete použít nástroje, jako je centrum pro správu Microsoft 365 Apps. Viz Přehled inventáře v Centru pro správu Microsoft 365 Apps.

Definování rolí a zodpovědností týmu pravidel ASR a odpovědí na ně

Klíčovou aktivitou údržby redukce potenciální oblasti útoku je jasně artikulování rolí a odpovědností osob zodpovědných za monitorování a komunikaci pravidel omezení potenciální oblasti útoku. Proto je důležité určit:

  • Osoba nebo tým zodpovědný za shromažďování sestav
  • Jak a s kým se sestavy sdílí
  • Jak se řeší eskalace nově identifikovaných hrozeb nebo nežádoucích blokování způsobených pravidly omezení potenciální oblasti útoku

Mezi typické role a odpovědnosti patří:

  • Správci IT: Implementujte pravidla omezení potenciální oblasti útoku a spravujte vyloučení. Pracujte s různými obchodními jednotkami na aplikacích a procesech. Sestavování a sdílení sestav zúčastněným stranám
  • Certifikovaný analytik csoc (Security Operations Center): Zodpovídá za zkoumání blokovaných procesů s vysokou prioritou, aby bylo možné určit, jestli je hrozba platná, nebo ne.
  • Ředitel pro bezpečnost informací (CISO): Zodpovídá za celkový stav zabezpečení a zdraví organizace.

Nasazení okruhu pravidel ASR

Pro velké podniky Microsoft doporučuje nasadit pravidla omezení potenciální oblasti útoku v "okruhech". Kruhy jsou skupiny zařízení, které jsou vizuálně znázorněny jako soustředné kruhy, které vyzařují směrem ven jako nepřekrývající stromové prstence. Po úspěšném nasazení nejvnitřnějšího okruhu můžete přejít na další okruh do fáze testování. Při definování okruhů je nezbytné důkladné posouzení obchodních jednotek, pravidel omezení potenciální oblasti útoku, aplikací a procesů. Ve většině případů má vaše organizace okruhy nasazení pro postupné zavádění aktualizací Windows. Stávající návrh okruhu můžete použít k implementaci pravidel omezení potenciální oblasti útoku. Viz Create plánu nasazení pro Windows.

Přehled nasazení pravidel omezení potenciální oblasti útoku

Testování pravidel omezení potenciální oblasti útoku

Povolení pravidel omezení potenciální oblasti útoku

Zprovoznění pravidel omezení potenciální oblasti útoku

Referenční informace k pravidlu omezení potenciální oblasti útoku

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.