Planifier le déploiement des règles de réduction de la surface d’attaque
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
Avant de tester ou d’activer des règles de réduction de la surface d’attaque, vous devez planifier votre déploiement. Une planification minutieuse vous aide à tester le déploiement de vos règles de réduction de la surface d’attaque et à anticiper les exceptions de règle. Lorsque vous envisagez de tester les règles de réduction de la surface d’attaque, veillez à commencer par l’unité commerciale appropriée. Commencez par un petit groupe de personnes dans une unité commerciale spécifique. Vous pouvez identifier des champions au sein d’une unité commerciale particulière qui peuvent fournir des commentaires pour vous aider à optimiser votre implémentation.
Importante
Pendant que vous suivez le processus de planification, d’audit et d’activation des règles de réduction de la surface d’attaque, il est recommandé d’activer les trois règles de protection standard suivantes. Pour plus d’informations sur les deux types de règles de réduction de la surface d’attaque, consultez Règles de réduction de la surface d’attaque par type .
- Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe)
- Bloquer les abus de conducteurs vulnérables exploités signés
- Bloquer la persistance via l’abonnement aux événements WMI (Windows Management Instrumentation)
Vous pouvez généralement activer les règles de protection standard avec un impact minime sur l’utilisateur final. Pour obtenir une méthode simple permettant d’activer les règles de protection standard, consultez : Option de protection standard simplifiée.
Démarrer le déploiement de règles ASR avec l’unité commerciale appropriée
La façon dont vous sélectionnez l’unité commerciale pour déployer votre déploiement de règles de réduction de la surface d’attaque dépend de facteurs tels que :
- Taille de l’unité commerciale
- Disponibilité des champions des règles de réduction de la surface d’attaque
- Distribution et utilisation de :
- Logiciels
- Dossiers partagés
- Utilisation de scripts
- Macros Office
- Autres entités affectées par les règles de réduction de la surface d’attaque
En fonction des besoins de votre entreprise, vous pouvez décider d’inclure plusieurs unités commerciales pour obtenir un large échantillonnage de logiciels, de dossiers partagés, de scripts, de macros, etc. Vous pouvez décider de limiter l’étendue de votre premier déploiement de règles de réduction de la surface d’attaque à une seule unité commerciale. Ensuite, répétez l’ensemble du processus de déploiement des règles de réduction de la surface d’attaque à vos autres unités commerciales, une à la fois.
Identifier les champions des règles ASR
Les champions des règles de réduction de la surface d’attaque sont des membres de votre organization qui peuvent vous aider à déployer vos règles de réduction de la surface d’attaque initiales pendant les phases préliminaires de test et d’implémentation. Vos champions sont généralement des employés qui sont plus techniquement habiles et qui ne sont pas déraillé par des interruptions intermittentes de flux de travail. L’implication des champions se poursuit tout au long de l’expansion plus large du déploiement des règles de réduction de la surface d’attaque à vos organization. Vos champions des règles de réduction de la surface d’attaque sont les premiers à découvrir chaque niveau du déploiement des règles de réduction de la surface d’attaque.
Il est important de fournir un canal de rétroaction et de réponse pour que vos champions des règles de réduction de la surface d’attaque vous alertent en cas d’interruptions de travail liées aux règles de réduction de la surface d’attaque et reçoivent des communications relatives aux règles de réduction de la surface d’attaque.
Obtenir un inventaire des applications métier et comprendre les processus de l’unité commerciale
Avoir une compréhension complète des applications et des processus par unité commerciale utilisés dans votre organization est essentiel pour un déploiement réussi des règles de réduction de la surface d’attaque. En outre, il est impératif que vous compreniez comment ces applications sont utilisées dans les différentes unités commerciales de votre organization. Pour commencer, vous devez obtenir un inventaire des applications approuvées pour une utilisation dans toute l’étendue de la organization. Vous pouvez utiliser des outils tels que le centre d’administration Microsoft 365 Apps pour vous aider à inventorier les applications logicielles. Consultez : Vue d’ensemble de l’inventaire dans le centre d’administration Microsoft 365 Apps.
Définir les rôles et responsabilités de l’équipe des règles ASR de rapports et de réponse
L’expression claire des rôles et responsabilités des personnes responsables de la surveillance et de la communication des règles de réduction de la surface d’attaque status et l’activité est une activité principale de la maintenance de la réduction de la surface d’attaque. Par conséquent, il est important de déterminer :
- La personne ou l’équipe responsable de la collecte des rapports
- Comment et avec qui les rapports sont partagés
- Comment l’escalade est traitée pour les menaces nouvellement identifiées ou les blocages indésirables causés par les règles de réduction de la surface d’attaque
Les rôles et responsabilités classiques sont les suivants :
- Administrateurs informatiques : implémentez des règles de réduction de la surface d’attaque, gérez les exclusions. Travaillez avec différentes unités commerciales sur les applications et les processus. Assemblage et partage de rapports avec les parties prenantes
- Analyste CSOC (Certified Security Operations Center) : responsable de l’examen des processus de haute priorité et bloqués pour déterminer si la menace est valide ou non
- Responsable de la sécurité de l’information (CISO) : Responsable de la posture de sécurité globale et de l’intégrité du organization
Déploiement en anneau de règles ASR
Pour les grandes entreprises, Microsoft recommande de déployer des règles de réduction de la surface d’attaque dans des « anneaux ». Les anneaux sont des groupes d’appareils qui sont représentés visuellement sous forme de cercles concentriques qui rayonnent vers l’extérieur comme des anneaux d’arbre qui ne se détériorent pas. Lorsque l’anneau le plus interne est correctement déployé, vous pouvez passer à l’anneau suivant dans la phase de test. Une évaluation approfondie de vos unités commerciales, des champions des règles de réduction de la surface d’attaque, des applications et des processus est impérative pour définir vos anneaux. Dans la plupart des cas, votre organization a des anneaux de déploiement pour les déploiements par phases des mises à jour Windows. Vous pouvez utiliser votre conception d’anneau existante pour implémenter des règles de réduction de la surface d’attaque. Voir : Create un plan de déploiement pour Windows
Autres articles de cette collection de déploiement
Vue d’ensemble du déploiement des règles de réduction de la surface d’attaque
Règles de réduction de la surface d’attaque de test
Activer les règles de réduction de la surface d’attaque
Opérationnaliser les règles de réduction de la surface d’attaque
Informations de référence sur les règles de réduction de la surface d’attaque
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour