Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus
Koskee seuraavia:
Hyökkäyspinnat ovat kaikki paikkoja, joissa organisaatiosi on altis kyberuhille ja hyökkäyksille. Hyökkäyspinnan pienentäminen tarkoittaa organisaatiosi laitteiden ja verkon suojaamista, jolloin hyökkääjille jää vähemmän hyökkäystapoja. Hyökkäysalueen vähentämissääntöjen määrittäminen Microsoft Defender for Endpoint voi auttaa.
Hyökkäyspinnan pienentämissäännöt kohdistuvat tiettyihin ohjelmistoihin, kuten:
- Käynnistetään suoritettavat tiedostot ja komentosarjat, jotka yrittävät ladata tai suorittaa tiedostoja
- Suoritetaan hämärtymättömiä tai muuten epäilyttäviä komentosarjoja
- Toiminnot, joita sovellukset eivät yleensä ilmene normaalin päivittäisen työn aikana
Vähentämällä erilaisia hyökkäyspintoja voit auttaa estämään hyökkäysten toistumisen.
Tämä käyttöönottokokoelma sisältää tietoja seuraavista hyökkäysalueen vähentämissääntöjen näkökohdista:
- hyökkäyspinnan vähentämissääntöjen vaatimukset
- hyökkäyspinnan vähentämissääntöjen käyttöönoton suunnittelu
- testihyökkäyksen pinnan pienentämissäännöt
- hyökkäyspinnan pienentämissääntöjen määrittäminen ja käyttöönotto
- hyökkäyspinnan vähentämissäännöt, parhaat käytännöt
- attack surface reduction rules advanced hunting
- attack surface reduction rules event viewer
Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton vaiheet
Kuten missä tahansa uudessa laajassa toteutuksessa, joka voi mahdollisesti vaikuttaa toimialaasi, on tärkeää olla järjestelmällinen suunnittelussa ja toteutuksessa. Hyökkäyspinnan vähentämissääntöjen huolellinen suunnittelu ja käyttöönotto on tarpeen, jotta ne toimivat parhaiten yksilöllisten asiakastyönkulkujen kannalta. Jotta voit työskennellä ympäristössäsi, sinun on suunniteltava, testattava, toteutettava ja operationalisoitava hyökkäysalueen vähentämissäännöt huolellisesti.
Tärkeä ennakkotieto
Suosittelemme, että otat käyttöön seuraavat kolme vakiosuojaussääntöä. Katso artikkeliSta Hyökkäyspinnan pienentämissäännöt tyypin mukaan tärkeitä tietoja kahdentyyppisistä hyökkäyspinnan pienentämissäännöistä.
- Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe)
- Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen
- Estä pysyvyys Windows Management Instrumentation (WMI) -tapahtumatilauksen kautta
Yleensä vakiosuojaussäännöt voidaan ottaa käyttöön niin, että loppukäyttäjällä on pieni tai ei mitään huomattavaa vaikutusta. Jos haluat helpon tavan ottaa käyttöön vakiosuojaussäännöt, katso Yksinkertaistettu vakiosuojausvaihtoehto.
Huomautus
Asiakkaille, jotka käyttävät muuta kuin Microsoft HIPS -tuotetta ja ovat siirtymässä Microsoft Defender for Endpoint hyökkäyksen pinnan vähentämissääntöihin, Microsoft suosittelee HIPS-ratkaisun käyttämistä hyökkäyspinnan vähentämissääntöjen käyttöönoton rinnalla siihen asti, kunnes siirryt valvontatilasta estotilaan. Muista, että sinun on otettava yhteyttä ei-Microsoftin virustentorjuntaohjelman tarjoajaan poissulkemissuositusten aikaansaamiseksi.
Ennen kuin aloitat hyökkäyspinnan pienentämissääntöjen testaamisen tai käyttöönoton
Ensimmäisen valmistelun aikana on tärkeää ymmärtää käyttöön otettavat järjestelmät. Ominaisuuksien ymmärtäminen auttaa määrittämään, mitkä hyökkäyspinnan vähentämissäännöt ovat tärkeimpiä organisaatiosi suojaamisessa. Lisäksi on olemassa useita edellytyksiä, joihin on osallistuttava hyökkäyksen pinnan vähentämiskäyttöönoton valmistelussa.
Tärkeää
Tässä oppaassa on kuvia ja esimerkkejä, joiden avulla voit päättää, miten hyökkäyspinnan pienentämissäännöt määritetään. nämä kuvat ja esimerkit eivät välttämättä vastaa ympäristösi parhaita määritysvaihtoehtoja.
Ennen kuin aloitat, katso Yleiskatsaus hyökkäyspinnan pienentämisestä ja hyökkäyksen pinnan vähentämissääntöjen mystifioimisesta – osa 1 perustiedot. Jos haluat ymmärtää kattavuuden alueita ja mahdollisia vaikutuksia, tutustu nykyisiin hyökkäyspinnan vähentämissääntöihin; katso Hyökkäyspinnan pienentämissääntöjen viittaus. Kun tutustut hyökkäysalueen pienentämissääntöihin, ota huomioon per-rule GUID -yhdistämismääritykset. katso Hyökkäyspinnan pienentämissääntö GUID-matriisiin.
Hyökkäyspinnan pienentämissäännöt ovat vain yksi hyökkäyspinnan vähentämisominaisuus Microsoft Defender for Endpoint sisällä. Tässä asiakirjassa käsitellään tarkemmin hyökkäyspinnan vähentämissääntöjen käyttöönottoa tehokkaasti, jotta voidaan pysäyttää kehittyneet uhat, kuten ihmisen käyttämä kiristyshaittaohjelma ja muut uhat.
Hyökkäyksen pinnan pienentämissääntöjen luettelo luokan mukaan
Seuraavassa taulukossa näytetään hyökkäysalueen pienentämissäännöt luokan mukaan:
Polymorfiset uhat | Sivuttaisen liikkeen & tunnistetietovarkaus | Tuottavuussovellusten säännöt | Sähköpostisäännöt | Komentosarjasäännöt | Muut säännöt |
---|---|---|---|---|---|
Estä suoritettavan tiedoston suorittaminen, elleivät ne täytä levinneisyyttä (1 000 konetta), ikää tai luotettua luetteloehtoa | Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista | Estä Office-sovelluksia luomasta suoritettavaa sisältöä | Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista | Estä himmeä JS/VBS/PS/makrokoodi | Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen [1] |
Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä | Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe)[2] | Estä Office-sovelluksia luomasta aliprosesseja | Estä aliprosessien luominen vain Office-tietoliikennesovelluksia varten | Estä JS/VBS:ää käynnistämästä ladattua suoritettavaa sisältöä | |
Lisäsuojauksen käyttö kiristysohjelmia vastaan | Estä pysyvyys WMI-tapahtumatilauksen kautta | Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin | Estä Office-viestintäsovelluksia luomasta aliprosesseja | ||
Estä Adobe Readeria luomasta aliprosesseja |
(1) Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen on nyt käytettävissä kohdassa Endpoint Security>Attack Surface Reduction.
(2) Jotkin hyökkäyspinnan vähentämissäännöt aiheuttavat huomattavaa melua, mutta eivät estä toimintoja. Jos esimerkiksi päivität Chromea, Chrome käyttää lsass.exe; salasanat tallennetaan laitteen lsass-tiedostoon . Chromen ei kuitenkaan pitäisi käyttää paikallista laitetta lsass.exe. Jos otat lsass-käytön estävän säännön käyttöön, näet useita tapahtumia. Nämä tapahtumat ovat hyviä tapahtumia, koska ohjelmiston päivitysprosessin ei pitäisi käyttää lsass.exe. Tämän säännön käyttäminen estää Chrome-päivityksiä käyttämästä lsassia, mutta ei estä Chromea päivittämästä. Tämä koskee myös muita sovelluksia, jotka tekevät tarpeettomia kutsuja lsass.exe. Lsass-säännön esto estää tarpeettomatkutsut lsassiin, mutta ei estä sovelluksen suorittamista.
Hyökkäyksen pinnan pienentämisen infrastruktuurivaatimukset
Vaikka hyökkäyspinnan vähentämissääntöjen toteuttamismenetelmät ovat mahdollisia useita, tämä opas perustuu infrastruktuuriin, joka koostuu
- Microsoft Entra ID
- Microsoft Intune
- Windows 10- ja Windows 11-laitteet
- Microsoft Defender for Endpoint E5- tai Windows E5 -käyttöoikeuksia
Jotta hyökkäysalueen vähentämissääntöjä ja -raportteja voidaan hyödyntää täysimääräisesti, suosittelemme käyttämään Microsoft Defender XDR E5- tai Windows E5 -käyttöoikeutta ja A5-käyttöoikeutta. Lue lisätietoja Microsoft Defender for Endpoint vähimmäisvaatimuksista.
Huomautus
Hyökkäyspinnan vähentämissääntöjä voi määrittää useilla tavoilla. Hyökkäysalueen pienentämissäännöt voidaan määrittää käyttämällä: Microsoft Intune, PowerShelliä, ryhmäkäytäntö, Microsoft Configuration Manager (ConfigMgr), Intune OMA-URI:tä. Jos käytät eri infrastruktuurimääritystä kuin mitä infrastruktuurivaatimuksissa on lueteltu, voit lukea lisätietoja hyökkäyspinnan pienentämissääntöjen käyttöönotosta käyttämällä muita määrityksiä täällä: Ota hyökkäyspinnan vähentämissäännöt käyttöön.
Hyökkäyksen pinnan pienentämissääntöjen riippuvuudet
Microsoft Defender virustentorjunta on otettava käyttöön ja määritettävä ensisijaiseksi virustentorjuntaratkaisuksi, ja sen on oltava seuraavassa tilassa:
- Ensisijainen virustentorjunta- tai haittaohjelmien torjuntaratkaisu
- Tila: aktiivinen tila
Microsoft Defender virustentorjunta ei saa olla missään seuraavista tiluksista:
- Passiivinen
- Passiivitila, jossa päätepisteen tunnistaminen ja vastaus (EDR) lohkotilassa
- Rajoitettu säännöllinen skannaus (LPS)
- Pois
Lisätietoja on artikkelissa Pilvipalvelun toimittama suojaus ja Microsoft Defender virustentorjunta.
Cloud Protection (MAPS) on otettava käyttöön, jotta hyökkäyspinnan vähentämissäännöt voidaan ottaa käyttöön
Microsoft Defender virustentorjunta toimii saumattomasti Microsoftin pilvipalveluiden kanssa. Nämä pilvisuojauspalvelut, joita kutsutaan myös nimellä Microsoft Advanced Protection Service (MAPS), parantavat tavallista reaaliaikaista suojausta ja tarjoavat luultavasti parhaan virustentorjuntapuolustuksen. Pilvisuojaus on tärkeää haittaohjelmamurtojen estämisessä ja hyökkäyksen pinnan vähentämissääntöjen kriittisessä osassa. Ota pilvipalveluun toimitettu suojaus käyttöön Microsoft Defender virustentorjuntaohjelmassa.
Microsoft Defender virustentorjuntakomponentit ovat hyökkäyspinnan vähentämissääntöjen nykyisiä versioita
Seuraavat Microsoft Defender virustentorjuntakomponentin versiot eivät saa olla enempää kuin kaksi versiota, jotka ovat vanhempia kuin tällä hetkellä saatavilla oleva versio:
- Microsoft Defender Virustentorjuntaympäristön päivitysversio – Microsoft Defender virustentorjuntaympäristö päivitetään kuukausittain.
- Microsoft Defender virustentorjuntaohjelman versio – Microsoft Defender virustentorjuntaohjelma päivitetään kuukausittain.
- Microsoft Defender virustentorjunnan suojaustiedot: Microsoft päivittää jatkuvasti Microsoft Defender suojaustietoja (kutsutaan myös määritelmäksi ja allekirjoitukseksi) uusimpien uhkien käsittelemiseksi ja tunnistuslogiikan tarkentamiseksi.
Microsoft Defender virustentorjuntaversioiden pitäminen ajan tasalla auttaa vähentämään hyökkäyspinnan vähentämissääntöjä epätosipositiivisista tuloksista ja parantaa Microsoft Defender virustentorjunnan tunnistusominaisuuksia. Lisätietoja nykyisistä versioista ja virustentorjuntaohjelman eri Microsoft Defender osien päivittämisestä on Microsoft Defender virustentorjuntaympäristön tuessa.
Varoitus
Jotkin säännöt eivät toimi hyvin, jos allekirjoittamattomat, sisäisesti kehitetyt sovellukset ja komentosarjat ovat suuressa käytössä. Hyökkäyspinnan vähentämissääntöjen käyttöönotto on vaikeampaa, jos koodin allekirjoittamista ei valvota.
Muut tämän käyttöönottokokoelman artikkelit
Hyökkäyspinnan pienentämissääntöjen testaaminen
Hyökkäyspinnan pienentämissääntöjen käyttöönotto
Hyökkäyksen pinnan pienentämissääntöjen operationalisoiminen
Hyökkäyksen pinnan pienentämissääntöjen viittaus
Viittaus
Blogit
Hyökkäyspinnan vähentämissääntöjen mystifiointi – osa 1
Hyökkäyspinnan vähentämissääntöjen demystifying – osa 2
Hyökkäyspinnan vähentämissääntöjen mystistäminen – osa 3
Hyökkäyspinnan vähentämissääntöjen demystifying – osa 4
Hyökkäyspinnan pienentämissääntöjen kerääminen
Hyökkäyspinnan vähentämisen yleiskatsaus
Hyökkäyspinnan vähentämissääntöjen käyttö haittaohjelmatartuntojen estämiseksi
Hyökkäyspinnan pienentämissääntöjen käyttöönotto – vaihtoehtoiset määritykset
Hyökkäyksen pinnan pienentämissääntöjen viittaus
Hyökkäyspinta-alan rajoittamisen usein kysytyt kysymykset
Microsoft Defender
Pilvipalvelun toimittama suojaus ja Microsoft Defender virustentorjunta
Määritä ja vahvista poissulkemiset tunnisteen, nimen tai sijainnin perusteella
Microsoft Defender virustentorjuntaympäristön tuki
Varaston yleiskatsaus Microsoft 365 -sovellukset hallintakeskuksessa
Windowsin käyttöönottosuunnitelman Create
Laiteprofiilien määrittäminen Microsoft Intune
Hallintasivustot
Microsoft Intune hallintakeskus
Hyökkäyspinta-alan rajoittaminen
Hyökkäysalueen pienentämissääntöjen määritykset
Hyökkäyksen pinnan pienentämissääntöjen poikkeukset
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle