Hyökkäyspinnan pienentämissääntöjen toteuttaminen

  • Artikkeli

Koskee seuraavia:

Hyökkäyspinnan pienentämissääntöjen toteuttaminen siirtää ensimmäisen testiringin käyttöön otettuun toiminnalliseen tilaan.

Hyökkäyspinnan vähentämissääntöjen käyttöönottomenettely

Vaihe 1: Siirtymähyökkäyksen pinnan vähentämissäännöt valvonnasta lohkoon

  1. Kun kaikki poikkeukset on määritetty valvontatilassa, aloita hyökkäyspinnan pienentämissääntöjen määrittäminen "estä"-tilaan alkaen säännöstä, jossa on vähiten käynnistettyjä tapahtumia. Katso Hyökkäysalueen pienentämissääntöjen käyttöönotto.
  2. Tarkista Microsoft Defender portaalin raportointisivu. Lisätietoja on artikkelissa Uhkien suojausraportti Microsoft Defender for Endpoint. Lue myös palautetta mestareiltasi.
  3. Tarkenna poissulkemisia tai luo uusia poissulkemisia tarpeen mukaan.
  4. Vaihda ongelmalliset säännöt takaisin auditointiin.

Huomautus

Ongelmallisille säännöille (sääntöjä, jotka aiheuttavat liikaa melua) on parempi luoda poissulkemisia kuin poistaa säännöt käytöstä tai siirtyä takaisin auditointiin. Sinun on määritettävä, mikä on parasta ympäristöllesi.

Vihje

Kun se on käytettävissä, voit rajoittaa häiriöitä sääntöjen Varoita-tilan asetuksella. Kun otat hyökkäyspinnan pienentämissäännöt käyttöön Warn-tilassa, voit siepata käynnistettyjä tapahtumia ja tarkastella niiden mahdollisia häiriöitä estämättä todellisuudessa loppukäyttäjän käyttöoikeutta. Lisätietoja: Käyttäjien varoitustila.

Miten Varoita-tila toimii?

Varoitustila on käytännössä estämisohje, mutta käyttäjä voi poistaa eston annetun työnkulun tai sovelluksen myöhempien suoritusten estosta. Varoitustilan eston poistaminen laitteessa, käyttäjässä, tiedostossa ja prosessiyhdistelmässä. Varoitustilan tiedot tallennetaan paikallisesti, ja niiden kesto on 24 tuntia.

Vaihe 2: Laajenna käyttöönotto niin, että se soi n + 1

Kun olet varma, että olet määrittänyt oikein hyökkäyspinnan pienentämissäännöt renkaalle 1, voit laajentaa käyttöönoton laajuutta seuraavaan renkaan (rengas n + 1).

Käyttöönottoprosessi, vaiheet 1–3, on periaatteessa sama jokaiselle myöhemmälle renkaalle:

  1. Testaa sääntöjä auditoinnissa
  2. Tarkastele hyökkäyspinnan pienentämisen käynnistämisiä valvontatapahtumia Microsoft Defender-portaalissa
  3. Create poissulkemiset
  4. Tarkistus: tarkenna, lisää tai poista poissulkemisia tarpeen mukaan
  5. Aseta säännöt estettäväksi
  6. Tarkista raportointisivu Microsoft Defender portaalissa.
  7. Create poissulkemiset.
  8. Poista ongelmalliset säännöt käytöstä tai vaihda ne takaisin Valvonta-kohtaan.

Hyökkäyspinnan pienentämissääntöjen mukauttaminen

Kun jatkat hyökkäysalueen vähentämissääntöjen käyttöönottoa, hyökkäyspinnan vähentämissääntöjen mukauttaminen voi olla sinusta tarpeellista tai hyödyllistä.

Jätä pois tiedostoja ja kansioita

Voit halutessasi poistaa hyökkäyksen pinnan pienentämissääntöjen arvioimasta tiedostot ja kansiot. Kun tiedosto jätetään pois, sitä ei estetä suorittamasta, vaikka hyökkäysalueen pienentämissääntö havaitsee, että tiedosto sisältää haitallista toimintaa.

Harkitse esimerkiksi kiristysohjelmasääntöä:

Kiristyshaittaohjelmasääntö on suunniteltu auttamaan yritysasiakkaita vähentämään kiristyshaittaohjelmahyökkäysten riskejä ja samalla varmistamaan liiketoiminnan jatkuvuuden. Oletusarvoisesti kiristyshaittaohjelmasääntövirheet varovaisuuden puolella ja suojaavat tiedostoilta, jotka eivät ole vielä saavuttaneet riittävää mainetta ja luottamusta. Uudelleenkorostamiseksi kiristyshaittaohjelmasääntö käynnistyy vain tiedostoihin, jotka eivät ole saaneet tarpeeksi positiivista mainetta ja levinneisyyttä miljoonien asiakkaidemme käyttötietojen perusteella. Yleensä lohkot ovat itse ratkaistuja, koska kunkin tiedoston "maine ja luottamus" -arvot päivitetään asteittain, kun ei-ongelmallinen käyttö kasvaa.

Jos lohkot eivät ole itse ratkaistuja ajoissa, asiakkaat voivat - omalla vastuullaan - käyttää joko omatoimista mekanismia tai IOC (Indicator of Compromise) -pohjaista "allowlist"-ominaisuutta poistaakseen tiedostojen eston itse.

Varoitus

Tiedostojen tai kansioiden sulkeminen tai eston poistaminen saattaa sallia laitteiden suorittamisen ja tartuttamisen epäluotettomille tiedostoille. Tiedostojen tai kansioiden jättäminen pois voi heikentää huomattavasti hyökkäysalueen pienentämissääntöjen tarjoamaa suojausta. Tiedostoja, jotka sääntö olisi estänyt, voidaan suorittaa, eikä raporttia tai tapahtumaa tallenneta.

Poissulkemista voidaan soveltaa kaikkiin sääntöihin, jotka sallivat poissulkemiset tai joita sovelletaan tiettyihin sääntökohtaisiin poissulkemisiin. Voit määrittää resurssille yksittäisen tiedoston, kansiopolun tai toimialueen täyden nimen.

Poikkeusta sovelletaan vain, kun pois jätetty sovellus tai palvelu käynnistyy. Jos esimerkiksi lisäät poissulkemisen jo käynnissä olevalle päivityspalvelulle, päivityspalvelu jatkaa tapahtumien käynnistämistä, kunnes palvelu pysäytetään ja käynnistetään uudelleen.

Hyökkäyspinnan pienentäminen tukee ympäristömuuttujia ja yleismerkkejä. Jos haluat lisätietoja yleismerkkien käytöstä, katso yleismerkkien käyttö tiedostonimi- ja kansiopolkujen tai tunnisteiden poissulkemisluetteloissa. Jos kohtaat ongelmia sääntöihin, jotka havaitsevat tiedostoja, joita ei mielestäsi pitäisi havaita, testaa sääntö valvontatilassa.

Lisätietoja kustakin säännöstä on hyökkäysalueen vähentämisen sääntöjen viiteartikkelissa .

Tiedostojen ja kansioiden jättäminen pois ryhmäkäytäntö avulla

  1. Avaa ryhmäkäytäntö hallintatietokoneesi ryhmäkäytäntö hallintakonsoli. Napsauta hiiren kakkospainikkeella ryhmäkäytäntö Objekti, jonka haluat määrittää, ja valitse Muokkaa.

  2. Siirry ryhmäkäytäntö Hallintaeditorissatietokoneen määritykseen ja valitse hallintamallit.

  3. Laajenna puu Windowsin osiin>Microsoft Defender virustentorjunta>Microsoft Defender Hyödynnä Guard-hyökkäyksen>pinnan pienentämistä.

  4. Kaksoisnapsauta Sulje tiedostot ja polut pois hyökkäysalueen pienentämissäännöistä -asetusta ja määritä asetukseksi Käytössä. Valitse Näytä ja kirjoita kukin tiedosto tai kansio Arvon nimi - sarakkeeseen. Kirjoita kunkin kohteen Arvo-sarakkeeseen 0.

Varoitus

Älä käytä lainausmerkkejä, sillä Niitä ei tueta Value-nimisarakkeessa tai Value-sarakkeessa .

Tiedostojen ja kansioiden jättäminen pois PowerShellin avulla

  1. Kirjoita powershell aloitusvalikossa, napsauta Windows PowerShell hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.

  2. Kirjoita seuraava cmdlet-komento:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    Lisää luetteloon kansioita jatkossakin -laajennuksen avulla Add-MpPreference -AttackSurfaceReductionOnlyExclusions .

    Tärkeää

    Käytä Add-MpPreference sovellusten lisäämiseksi luetteloon. Cmdlet-komennon Set-MpPreference käyttäminen korvaa aiemmin luodun luettelon.

Tiedostojen ja kansioiden jättäminen pois MDM CSP:iden avulla

Lisää poissulkemisia käyttämällä ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions-määrityspalveluntarjoajaa (CSP).

Mukauta ilmoitusta

Voit mukauttaa säännön käynnistysilmoituksen ja estää sovelluksen tai tiedoston. Katso Windowsin suojaus artikkeli.

Tämän käyttöönottokokoelman lisäartikkelit

Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus

Hyökkäyspinnan vähentämissääntöjen käyttöönoton suunnitteleminen

Hyökkäyspinnan pienentämissääntöjen testaaminen

Hyökkäyksen pinnan pienentämissääntöjen operationalisoiminen

Hyökkäyksen pinnan pienentämissääntöjen viittaus

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.