Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus

Artikkeli
07/26/2024

Koskee seuraavia:

Hyökkäyspinnat ovat kaikki paikkoja, joissa organisaatiosi on altis kyberuhille ja hyökkäyksille. Hyökkäyspinnan pienentäminen tarkoittaa organisaatiosi laitteiden ja verkon suojaamista, jolloin hyökkääjille jää vähemmän hyökkäystapoja. Microsoft Defenderin määrittäminen päätepistehyökkäyksen pinnan pienentämissääntöjä varten voi auttaa.

Hyökkäyspinnan pienentämissäännöt kohdistuvat tiettyihin ohjelmistoihin, kuten:

Käynnistetään suoritettavat tiedostot ja komentosarjat, jotka yrittävät ladata tai suorittaa tiedostoja
Suoritetaan hämärtymättömiä tai muuten epäilyttäviä komentosarjoja
Toiminnot, joita sovellukset eivät yleensä ilmene normaalin päivittäisen työn aikana

Vähentämällä erilaisia hyökkäyspintoja voit auttaa estämään hyökkäysten toistumisen.

Tämä käyttöönottokokoelma sisältää tietoja seuraavista hyökkäysalueen vähentämissääntöjen näkökohdista:

hyökkäyspinnan vähentämissääntöjen vaatimukset
hyökkäyspinnan vähentämissääntöjen käyttöönoton suunnittelu
testihyökkäyksen pinnan pienentämissäännöt
hyökkäyspinnan pienentämissääntöjen määrittäminen ja käyttöönotto
hyökkäyspinnan vähentämissäännöt, parhaat käytännöt
attack surface reduction rules advanced hunting
attack surface reduction rules event viewer

Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton vaiheet

Kuten missä tahansa uudessa laajassa toteutuksessa, joka voi mahdollisesti vaikuttaa toimialaasi, on tärkeää olla järjestelmällinen suunnittelussa ja toteutuksessa. Hyökkäyspinnan vähentämissääntöjen huolellinen suunnittelu ja käyttöönotto on tarpeen, jotta ne toimivat parhaiten yksilöllisten asiakastyönkulkujen kannalta. Jotta voit työskennellä ympäristössäsi, sinun on suunniteltava, testattava, toteutettava ja operationalisoitava hyökkäysalueen vähentämissäännöt huolellisesti.

Tärkeä ennakkotieto

Suosittelemme, että otat käyttöön seuraavat kolme vakiosuojaussääntöä. Katso artikkeliSta Hyökkäyspinnan pienentämissäännöt tyypin mukaan tärkeitä tietoja kahdentyyppisistä hyökkäyspinnan pienentämissäännöistä.

Yleensä vakiosuojaussäännöt voidaan ottaa käyttöön niin, että loppukäyttäjällä on pieni tai ei mitään huomattavaa vaikutusta. Jos haluat helpon tavan ottaa käyttöön vakiosuojaussäännöt, katso Yksinkertaistettu vakiosuojausvaihtoehto.

Huomautus

Asiakkaille, jotka käyttävät muuta kuin Microsoft HIPS -tuotetta ja ovat siirtymässä Microsoft Defender for Endpoint Attack Surfacen vähentämissääntöihin, Microsoft suosittelee HIPS-ratkaisun käyttämistä hyökkäyspinnan vähentämissääntöjen käyttöönoton rinnalla siihen asti, kunnes siirryt valvontatilasta estotilaan. Muista, että sinun on otettava yhteyttä ei-Microsoftin virustentorjuntaohjelman tarjoajaan poissulkemissuositusten aikaansaamiseksi.

Ennen kuin aloitat hyökkäyspinnan pienentämissääntöjen testaamisen tai käyttöönoton

Ensimmäisen valmistelun aikana on tärkeää ymmärtää käyttöön otettavat järjestelmät. Ominaisuuksien ymmärtäminen auttaa määrittämään, mitkä hyökkäyspinnan vähentämissäännöt ovat tärkeimpiä organisaatiosi suojaamisessa. Lisäksi on olemassa useita edellytyksiä, joihin on osallistuttava hyökkäyksen pinnan vähentämiskäyttöönoton valmistelussa.

Tärkeää

Tässä oppaassa on kuvia ja esimerkkejä, joiden avulla voit päättää, miten hyökkäyspinnan pienentämissäännöt määritetään. nämä kuvat ja esimerkit eivät välttämättä vastaa ympäristösi parhaita määritysvaihtoehtoja.

Ennen kuin aloitat, katso Yleiskatsaus hyökkäyspinnan pienentämisestä ja hyökkäyksen pinnan vähentämissääntöjen mystifioimisesta – osa 1 perustiedot. Jos haluat ymmärtää kattavuuden alueita ja mahdollisia vaikutuksia, tutustu nykyisiin hyökkäyspinnan vähentämissääntöihin; katso Hyökkäyspinnan pienentämissääntöjen viittaus. Kun tutustut hyökkäysalueen pienentämissääntöihin, ota huomioon per-rule GUID -yhdistämismääritykset. katso Hyökkäyspinnan pienentämissääntö GUID-matriisiin.

Hyökkäyspinnan vähentämissäännöt ovat vain yksi ominaisuus hyökkäysalueen vähentämisominaisuuksista Microsoft Defender for Endpointissa. Tässä asiakirjassa käsitellään tarkemmin hyökkäyspinnan vähentämissääntöjen käyttöönottoa tehokkaasti, jotta voidaan pysäyttää kehittyneet uhat, kuten ihmisen käyttämä kiristyshaittaohjelma ja muut uhat.

Hyökkäyksen pinnan pienentämissääntöjen luettelo luokan mukaan

Seuraavassa taulukossa näytetään hyökkäysalueen pienentämissäännöt luokan mukaan:

Polymorfiset uhat	Sivuttaisen liikkeen & tunnistetietovarkaus	Tuottavuussovellusten säännöt	Sähköpostisäännöt	Komentosarjasäännöt	Muut säännöt
Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä (1 000 konetta), ikää tai luotettua luetteloehtoa	Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista	Estä Office-sovelluksia luomasta suoritettavaa sisältöä	Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista	Estä himmeä JS/VBS/PS/makrokoodi	Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten ^{väärinkäytön estäminen [1]}
Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä	Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe)^[2]	Estä Office-sovelluksia luomasta aliprosesseja	Estä aliprosessien luominen vain Office-tietoliikennesovelluksia varten	Estä JS/VBS:ää käynnistämästä ladattua suoritettavaa sisältöä
Lisäsuojauksen käyttö kiristysohjelmia vastaan	Estä pysyvyys WMI-tapahtumatilauksen kautta	Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin	Estä Office-viestintäsovelluksia luomasta aliprosesseja
		Estä Adobe Readeria luomasta aliprosesseja

(1) Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen on nyt käytettävissä kohdassa Endpoint Security>Attack Surface Reduction.

(2) Jotkin hyökkäyspinnan vähentämissäännöt aiheuttavat huomattavaa melua, mutta eivät estä toimintoja. Jos esimerkiksi päivität Chromea, Chrome käyttää lsass.exe; salasanat tallennetaan laitteen lsass-tiedostoon . Chromen ei kuitenkaan pitäisi käyttää paikallista laitetta lsass.exe. Jos otat lsass-käytön estävän säännön käyttöön, näet useita tapahtumia. Nämä tapahtumat ovat hyviä tapahtumia, koska ohjelmiston päivitysprosessin ei pitäisi käyttää lsass.exe. Tämän säännön käyttäminen estää Chrome-päivityksiä käyttämästä lsassia, mutta ei estä Chromea päivittämästä. Tämä koskee myös muita sovelluksia, jotka tekevät tarpeettomia kutsuja lsass.exe. Lsass-säännön esto estää tarpeettomatkutsut lsassiin, mutta ei estä sovelluksen suorittamista.

Hyökkäyksen pinnan pienentämisen infrastruktuurivaatimukset

Vaikka hyökkäyspinnan vähentämissääntöjen toteuttamismenetelmät ovat mahdollisia useita, tämä opas perustuu infrastruktuuriin, joka koostuu

Microsoft Entra ID
Microsoft Intune
Windows 10- ja Windows 11 -laitteet
Microsoft Defender for Endpoint E5- tai Windows E5 -käyttöoikeudet

Jotta hyökkäysalueen vähentämissääntöjä ja -raportointia voidaan hyödyntää täysimääräisesti, suosittelemme käyttämään Microsoft Defender XDR E5- tai Windows E5 -käyttöoikeutta ja A5-käyttöoikeutta. Lisätietoja on artikkelissa Microsoft Defender for Endpointin vähimmäisvaatimukset.

Huomautus

Hyökkäyspinnan vähentämissääntöjä voi määrittää useilla tavoilla. Hyökkäysalueen pienentämissäännöt voidaan määrittää käyttämällä: Microsoft Intune, PowerShell, Ryhmäkäytäntö, Microsoft Configuration Manager (ConfigMgr), Intune OMA-URI. Jos käytät eri infrastruktuurimääritystä kuin mitä infrastruktuurivaatimuksissa on lueteltu, voit lukea lisätietoja hyökkäyspinnan pienentämissääntöjen käyttöönotosta käyttämällä muita määrityksiä täällä: Ota hyökkäyspinnan vähentämissäännöt käyttöön.

Hyökkäyksen pinnan pienentämissääntöjen riippuvuudet

Microsoft Defenderin virustentorjunta on otettava käyttöön ja määritettävä ensisijaiseksi virustentorjuntaratkaisuksi, ja sen on oltava seuraavassa tilassa:

Ensisijainen virustentorjunta- tai haittaohjelmien torjuntaratkaisu
Tila: aktiivinen tila

Microsoft Defenderin virustentorjunta ei saa olla missään seuraavista tiluksista:

Passiivi
Passiivitila, jossa päätepisteen tunnistaminen ja vastaus (EDR) lohkotilassa
Rajoitettu säännöllinen skannaus (LPS)
Pois

Lisätietoja on kohdassa Pilvipalvelun tarjoama suojaus ja Microsoft Defenderin virustentorjunta .

Cloud Protection (MAPS) on otettava käyttöön, jotta hyökkäyspinnan vähentämissäännöt voidaan ottaa käyttöön

Microsoft Defenderin virustentorjunta toimii saumattomasti Microsoftin pilvipalveluiden kanssa. Nämä pilvisuojauspalvelut, joita kutsutaan myös nimellä Microsoft Advanced Protection Service (MAPS), parantavat tavallista reaaliaikaista suojausta ja tarjoavat luultavasti parhaan virustentorjuntapuolustuksen. Pilvisuojaus on tärkeää haittaohjelmamurtojen estämisessä ja hyökkäyksen pinnan vähentämissääntöjen kriittisessä osassa. Ota pilvipalveluun toimitettu suojaus käyttöön Microsoft Defenderin virustentorjuntaohjelmassa.

Microsoft Defenderin virustentorjuntakomponenttien on oltava nykyisiä versioita, jotta hyökkäysalueen vähentämissäännöt voidaan tehdä

Seuraavat Microsoft Defenderin virustentorjuntakomponentin versiot eivät saa olla enempää kuin kaksi versiota, jotka ovat vanhempia kuin tällä hetkellä saatavilla oleva versio:

Microsoft Defenderin virustentorjuntaympäristön päivitysversio - Microsoft Defenderin virustentorjuntaympäristö päivitetään kuukausittain.
Microsoft Defenderin virustentorjuntaohjelman versio – Microsoft Defenderin virustentorjuntaohjelma päivitetään kuukausittain.
Microsoft Defenderin virustentorjunnan suojaustiedot : Microsoft päivittää jatkuvasti Microsoft Defenderin suojaustietoja (kutsutaan myös määritelmäksi ja allekirjoitukseksi) uusimpien uhkien käsittelemiseksi ja tunnistuslogiikan tarkentamiseksi.

Microsoft Defenderin virustentorjuntaversioiden pitäminen ajan tasalla auttaa vähentämään hyökkäysalueen vähentämissääntöjä epätosipositiivisista tuloksista ja parantaa Microsoft Defenderin virustentorjunnan tunnistusominaisuuksia. Lisätietoja nykyisistä versioista ja eri Microsoft Defenderin virustentorjuntakomponenttien päivittämisestä on Microsoft Defenderin virustentorjuntaympäristön tuessa.

Varoitus

Jotkin säännöt eivät toimi hyvin, jos allekirjoittamattomat, sisäisesti kehitetyt sovellukset ja komentosarjat ovat suuressa käytössä. Hyökkäyspinnan vähentämissääntöjen käyttöönotto on vaikeampaa, jos koodin allekirjoittamista ei valvota.

Muut tämän käyttöönottokokoelman artikkelit

Hyökkäyspinnan pienentämissääntöjen testaaminen

Hyökkäyspinnan pienentämissääntöjen käyttöönotto

Hyökkäyksen pinnan pienentämissääntöjen operationalisoiminen

Hyökkäyksen pinnan pienentämissääntöjen viittaus

Viittaus

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.

Jaa

Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus

Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton vaiheet

Tärkeä ennakkotieto

Ennen kuin aloitat hyökkäyspinnan pienentämissääntöjen testaamisen tai käyttöönoton

Hyökkäyksen pinnan pienentämissääntöjen luettelo luokan mukaan

Hyökkäyksen pinnan pienentämisen infrastruktuurivaatimukset

Hyökkäyksen pinnan pienentämissääntöjen riippuvuudet

Cloud Protection (MAPS) on otettava käyttöön, jotta hyökkäyspinnan vähentämissäännöt voidaan ottaa käyttöön

Microsoft Defenderin virustentorjuntakomponenttien on oltava nykyisiä versioita, jotta hyökkäysalueen vähentämissäännöt voidaan tehdä

Varoitus

Muut tämän käyttöönottokokoelman artikkelit

Viittaus

Blogit

Hyökkäyspinnan pienentämissääntöjen kerääminen

Microsoft Defender

Hallintasivustot

Palaute

Lisäresursseja