Planeamiento de la implementación de reglas de reducción de la superficie expuesta a ataques (ASR)

Aplícase a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Este artículo forma parte de la guía de implementación de reglas de reducción de superficie expuesta a ataques.

Antes de probar o habilitar las reglas de reducción de la superficie expuesta a ataques (ASR), planee la implementación. En este artículo se describe una metodología de planificación que puede ajustar para satisfacer sus necesidades empresariales.

Sugerencia

Normalmente, puede habilitar las reglas de protección estándar en el modo Bloquear o Advertir sin realizar pruebas. Debe probar otras reglas de ASR en modo auditoría antes de cambiarlas al modo Bloquear o Advertir . Para obtener más información, consulte la guía de implementación de reglas de ASR.

Requisitos de infraestructura para la guía de implementación

Aunque hay varias maneras de habilitar las reglas de ASR, esta guía de implementación se basa en una infraestructura que usa:

Microsoft Entra ID
Microsoft Intune
dispositivos Windows 10 y Windows 11
licencias de Microsoft Defender para punto de conexión E5 o Windows E5

Para aprovechar al máximo las reglas de ASR y los informes, use una licencia de Microsoft 365 E5, Windows E5 o Microsoft 365 A5. Para obtener más información, consulte Requisitos mínimos para Microsoft Defender para punto de conexión.

Nota:

Si va a realizar la transición de un sistema de prevención de intrusiones de host (HIPS) que no es de Microsoft a Microsoft Defender reglas de Antivirus y ASR, ejecute la solución HIPS junto con las reglas de ASR hasta que habilite las reglas en modo de bloque durante la fase de implementación. Póngase en contacto con el proveedor de soluciones antivirus para obtener recomendaciones de exclusión.

Paso 1: Identificar unidades de negocio

La selección de la primera unidad de negocio para recibir reglas de ASR en la fase de prueba depende de los siguientes factores:

Tamaño de la unidad de negocio (más pequeño es más fácil de administrar)
Disponibilidad de los campeones de reglas de ASR
Distribución y uso del software afectado. Por ejemplo:
- Software
- Carpetas compartidas
- Scripts
- Macros de Office

Las necesidades empresariales pueden dictar claramente una de las siguientes opciones:

Incluya varias unidades de negocio para obtener un amplio muestreo de software, carpetas compartidas, scripts, macros y aplicaciones de línea de negocio que podrían afectar a las reglas de ASR.
Limite el ámbito inicial a una sola unidad de negocio, trabaje en todos los problemas de esa unidad de negocio y repita el lanzamiento a otras unidades de negocio individualmente.

Paso 2: Identificación de los campeones de reglas de ASR

Los expertos en reglas de ASR son personas de las unidades de negocio afectadas que pueden ayudarle durante las fases preliminares de pruebas e implementación. Normalmente, un campeón tiene más aptitudes técnicas y no le importa las interrupciones intermitentes del flujo de trabajo. La participación de los campeones continúa a lo largo de la expansión más amplia de la implementación de reglas de ASR en su organización. Los campeones de reglas de ASR son los primeros en experimentar cada nivel del lanzamiento de reglas de ASR.

Es importante proporcionar un canal de comentarios y respuesta para que los campeones de reglas de ASR le alerten de interrupciones del trabajo y reciban comunicaciones de lanzamiento de reglas de ASR.

Paso 3: Inventario de aplicaciones de línea de negocio y comprensión de los procesos de la unidad de negocio

Una comprensión completa de las aplicaciones y los procesos empresariales de su organización es fundamental para una implementación correcta de reglas de ASR. Es imperativo que entienda cómo se usan esas aplicaciones dentro de las distintas unidades de negocio de su organización.

Realice un inventario de las aplicaciones aprobadas en su organización. Puede usar herramientas como el centro de administración de Aplicaciones Microsoft 365 para ayudarle. Para obtener más información, consulte Introducción al inventario en el centro de administración de Aplicaciones Microsoft 365.

Nota:

Algunas reglas de ASR no funcionan bien si usas con frecuencia scripts y aplicaciones no firmados y desarrollados internamente. Es más difícil implementar reglas de ASR si no se aplica la firma de código.

Paso 4: Definición de roles y responsabilidades del equipo de reglas de ASR de informes y respuesta

Articular claramente los roles y responsabilidades para supervisar y comunicar el estado y la actividad de las reglas de ASR. Por lo tanto, es importante determinar:

Quién es responsable de recopilar informes.
Cómo y con quién se comparten los informes.
Cómo escalar y abordar nuevas amenazas o bloques no deseados mediante reglas de ASR.

Entre los roles y responsabilidades típicos se incluyen:

Administradores de TI: implemente reglas de ASR y administre exclusiones. Trabaje con diferentes unidades de negocio en aplicaciones y procesos. Cree y comparta informes con las partes interesadas.
Analistas certificados del Centro de operaciones de seguridad (CSOC): investigue los procesos bloqueados de alta prioridad.
Director de seguridad de la información (CISO): responsable de la posición de seguridad general y el estado de la organización.

Paso 5: Definir anillos de implementación de reglas ASR

En el caso de las grandes empresas, implemente reglas ASR en anillos. Los anillos se definen mediante la evaluación de las unidades de negocio, los campeones de reglas de ASR, las aplicaciones y los procesos. Después de implementar correctamente las reglas de ASR en el primer anillo, puede realizar la transición al siguiente anillo en la fase de prueba, etc. Si ya ha definido anillos para el lanzamiento por fases de actualizaciones de Windows, es probable que pueda usar esos mismos anillos para implementar reglas de ASR.

Para obtener más información sobre los anillos, vea Windows: Crear un plan de implementación.

Comentarios

Resultoulle útil esta páxina?

Last updated on 2026-05-23