Habilitación de la implementación de reglas de reducción de la superficie expuesta a ataques (ASR)

Este artículo forma parte de la guía de implementación de reglas de reducción de superficie expuesta a ataques (ASR).

Después de probar las reglas de ASR en el modo auditoría, realice la transición al modo Bloquear o Advertir , empezando por el primer anillo de implementación.

Paso 1: Transición de ASR de auditoría a bloque

1. Después de determinar todas las exclusiones necesarias para las reglas en modo auditoría , empiece a establecer algunas reglas en modo Bloquear o Advertir . Comience con la regla con el menor número de eventos desencadenados. Para obtener instrucciones, consulte Configuración de reglas y exclusiones de reducción de superficie expuesta a ataques (ASR).

2. Revise la actividad de regla de ASR. Revise también los comentarios de los campeones.

3. Refine las exclusiones o cree nuevas exclusiones según sea necesario.

Sugerencia

Las exclusiones de reglas son mejores que desactivar las reglas o volver a cambiarlas al modo auditoría .

Aproveche el modo Advertir en las reglas disponibles para limitar las interrupciones. El modo de advertencia le permite capturar eventos desencadenados y ver posibles interrupciones sin bloquear realmente el acceso del usuario (pueden hacer clic a través de la notificación de advertencia). Para obtener más información, vea Modos de regla de ASR.

Paso 2: Expandir la implementación al anillo n + 1

Cuando esté seguro de que ha configurado correctamente las reglas de ASR para el anillo 1, puede ampliar el ámbito de la implementación al siguiente anillo (anillo n + 1).

El proceso de implementación de cada anillo posterior es:

1. Habilite las reglas de ASR en modo auditoría .

2. Revise la actividad de regla de ASR.

3. Cree exclusiones según sea necesario.

4. Revise la actividad de reglas de ASR y refine las exclusiones.

5. Establezca reglas en Modo de bloqueo .

6. Revise la actividad de regla de ASR.

7. Cree exclusiones según sea necesario.

8. Deshabilite las reglas problemáticas o vuelva a cambiarlas al modo auditoría .

Contenido relacionado

• Guía de implementación de reglas de reducción de la superficie expuesta a ataques (ASR)
• Planeamiento de la implementación de reglas de reducción de la superficie expuesta a ataques (ASR)
• Prueba de la implementación de reglas de reducción de la superficie expuesta a ataques (ASR)
• Administración y supervisión de la implementación de reglas de reducción de la superficie expuesta a ataques (ASR)
• Introducción a las reglas de reducción de superficie expuesta a ataques (ASR)
• Configuración de reglas y exclusiones de reducción de superficie expuesta a ataques (ASR)