Hyökkäyspinnan vähentämissääntöjen käyttöönoton suunnitteleminen

  • Artikkeli

Koskee seuraavia:

Ennen kuin testaat tai otat käyttöön hyökkäysalueen vähentämissääntöjä, suunnittele käyttöönotto. Huolellinen suunnittelu auttaa testaamaan hyökkäysalueen vähentämissääntöjen käyttöönottoa ja pääsemään sääntöpoikkeusten edelle. Kun suunnittelet hyökkäyspinnan vähentämissääntöjen testaamista, varmista, että aloitat oikealla liiketoimintayksiköllä. Aloita pienestä henkilöryhmästä tietyssä liiketoimintayksikössä. Voit tunnistaa tietyn liiketoimintayksikön mestareita, jotka voivat antaa palautetta toteutuksen hienosäätämiseksi.

Hyökkäyksen pinnanvähennyssäännöt suunnittelevat toimia.

Tärkeää

Kun suunnittelet, valvot ja otat käyttöön hyökkäyspinnan vähentämissääntöjä, on suositeltavaa ottaa käyttöön seuraavat kolme vakiosuojaussääntöä. Katso artikkeliSta Hyökkäyspinnan pienentämissäännöt tyypin mukaan tärkeitä tietoja kahdentyyppisistä hyökkäyspinnan pienentämissäännöistä.

Voit yleensä ottaa käyttöön vakiosuojaussäännöt niin, että vaikutus loppukäyttäjään on hyvin pieni. Jos haluat helpon tavan ottaa käyttöön vakiosuojaussäännöt, katso: Yksinkertaistettu vakiosuojausvaihtoehto.

ALOITA ASR-sääntöjen käyttöönotto oikealla liiketoimintayksiköllä

Se, miten valitset liiketoimintayksikön hyökkäyspinnan vähentämissääntöjen käyttöönottoa varten, riippuu esimerkiksi seuraavista tekijöistä:

  • Liiketoimintayksikön koko
  • Hyökkäyspinnan vähentämissääntöjen mestareiden saatavuus
  • Jakelu ja käyttö:
    • Ohjelmisto
    • Jaetut kansiot
    • Komentosarjojen käyttö
    • Office-makrot
    • Muut entiteetit, joihin hyökkäyspinnan vähentämissäännöt vaikuttavat

Liiketoimintatarpeistasi riippuen saatat päättää sisällyttää useita liiketoimintayksiköitä, jotta saat laajan näytteenoton ohjelmistoista, jaetuista kansioista, komentosarjoista, makroista jne. Saatat päättää rajoittaa ensimmäisen hyökkäysalueen vähentämissääntöjen käyttöönoton yksittäiseen liiketoimintayksikköön. Toista sitten koko hyökkäysalueen vähennyssääntöjen käyttöönottoprosessi muille liiketoimintayksiköille yksi kerrallaan.

ASR-sääntöjen mestareiden tunnistaminen

Hyökkäyspinnan vähentämissääntöjen puolustajat ovat organisaatiosi jäseniä, jotka voivat auttaa ensimmäisen hyökkäyspinnan pienentämissääntöjen käyttöönotossa alustavan testauksen ja toteutusvaiheen aikana. Mestarit ovat tyypillisesti työntekijöitä, jotka ovat teknisesti taitavia ja joita ajoittaiset työnkulun katkokset eivät suista raiteilta. Mestareiden osallistuminen jatkuu koko hyökkäysalueen vähentämissääntöjen laajemman laajentamisen ajan organisaatiossasi. Hyökkäyspinnan vähentämissääntöjen puolustajat kokevat ensin hyökkäyksen pinnan pienentämissääntöjen jokaisen tason.

On tärkeää antaa palaute- ja vastauskanava hyökkäyspinnan vähentämissääntöjen mestareille, jotta he voivat varoittaa sinua hyökkäämään pinnan vähentämisen sääntöihin liittyvistä työhäiriöistä ja vastaanottamaan hyökkäyspinnan vähentämissääntöjen käyttöönottoon liittyvää viestintää.

Hanki liiketoiminta-aluesovellusten varasto ja tutustu liiketoimintayksikön prosesseihin

Koko organisaatiossa käytettävien sovellusten ja liiketoimintayksikkökohtaisten prosessien täydellinen ymmärtäminen on erittäin tärkeää hyökkäyspinnan pienentämissääntöjen onnistuneen käyttöönoton kannalta. Lisäksi sinun on ymmärrettävä, miten näitä sovelluksia käytetään organisaatiosi eri liiketoimintayksiköissä. Aloita hankkimaan luettelo sovelluksista, jotka on hyväksytty käytettäväksi koko organisaatiossa. Voit käyttää Microsoft 365 -sovellukset hallintakeskuksen kaltaisia työkaluja ohjelmistojen inventointiin. Katso: Luettelon yleiskatsaus Microsoft 365 -sovellukset hallintakeskuksessa.

Raportointien ja vastausten ASR-sääntöjen määrittäminen ryhmärooleille ja vastuille

Hyökkäyksen pinnan vähentämissääntöjen tilan ja toiminnan valvonnasta ja viestinnästä vastaavien henkilöiden selkeästi artikuloitujen roolien ja vastuiden esittäminen on keskeinen toiminta hyökkäyksen pinnan vähentämisen ylläpidossa. Siksi on tärkeää määrittää:

  • Raporttien keräämisestä vastaava henkilö tai ryhmä
  • Miten ja kenen kanssa raportit jaetaan
  • Miten eskalointi korjataan äskettäin tunnistetuissa uhissa tai hyökkäyksen pinnan vähentämissääntöjen aiheuttamista ei-toivotuista tukoksista

Tyypillisiä rooleja ja vastuita ovat seuraavat:

  • IT-järjestelmänvalvojat: Ota käyttöön hyökkäysalueen vähentämissäännöt, hallitse poissulkemisia. Työskentele eri liiketoimintayksiköiden kanssa sovelluksissa ja prosesseissa. Raporttien kokoaminen ja jakaminen sidosryhmille
  • Sertifioitu tietoturvakeskuksen (CSOC) analyytikko: Vastuussa korkean prioriteetin ja estettyjen prosessien tutkimisesta sen määrittämiseksi, onko uhka kelvollinen vai ei
  • Tietoturvapäällikkö (CISO): Vastuussa organisaation yleisestä suojausasennosta ja kunnosta

ASR-sääntöjen rengaskäyttöönotto

Suurissa yrityksissä Microsoft suosittelee hyökkäyspinnan vähentämissääntöjen käyttöönottoa "renkaissa". Renkaat ovat laiteryhmiä, jotka esitetään visuaalisesti samankeskisinä ympyröinä, jotka säteilevät ulospäin kuin koristeettomat puurenkaat. Kun sisin rengas otetaan onnistuneesti käyttöön, voit siirtyä seuraavaan kehään testausvaiheeseen. Liiketoimintayksiköiden, hyökkäyspinnan vähentämissääntöjen, sovellusten ja prosessien perusteellinen arviointi on välttämätöntä renkaiden määrittämisen kannalta. Useimmissa tapauksissa organisaatiossasi on käyttöönottorenkaita Windows-päivitysten vaiheittaista käyttöönottoa varten. Voit käyttää olemassa olevaa rengasrakennetta hyökkäyspinnan vähentämissääntöjen käyttöönottoon. Katso: windowsin käyttöönottosuunnitelman Create

Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus

Hyökkäyspinnan pienentämissääntöjen testaaminen

Hyökkäyspinnan pienentämissääntöjen käyttöönotto

Hyökkäyksen pinnan pienentämissääntöjen operationalisoiminen

Hyökkäyksen pinnan pienentämissääntöjen viittaus

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.