Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Este artículo forma parte de la guía de implementación de reglas de reducción de superficie expuesta a ataques.
Probar las reglas de reducción de superficie expuesta a ataques (ASR) es un paso fundamental en la implementación. Debe determinar si alguna de las reglas de ASR bloqueará las aplicaciones de línea de negocio. Al empezar con un grupo pequeño y controlado, puede limitar las posibles interrupciones del trabajo a medida que expande la implementación en toda la organización.
Nota:
Antes de comenzar la fase de prueba de la implementación de reglas de ASR, deshabilite las reglas de ASR relacionadas que estén habilitadas actualmente en el modo Bloquear o Advertir (si procede). Para obtener información sobre cómo usar el informe para buscar reglas ASR habilitadas, consulte Informes de reglas de reducción de superficie expuesta a ataques.
Como se muestra en el diagrama siguiente, comience la implementación de reglas de ASR con el anillo 1.
Evaluación y evaluación de reglas antes de la implementación
En el Plan 2 de Defender para punto de conexión, Administración de vulnerabilidades de Microsoft Defender expone recomendaciones de seguridad relacionadas con reglas ASR que pueden proporcionar indicadores de impacto de alto nivel (por ejemplo, si se observó la actividad de auditoría en todos los dispositivos).
En el portal de Microsoft Defender en https://security.microsoft.com, vaya aRecomendaciones de administración> de exposición (o directamente a la página Recomendaciones de seguridad en https://security.microsoft.com/exposure-recommendations). En la página Recomendaciones de seguridad , seleccione una regla ASR para abrir el control flotante de detalles y, a continuación, seleccione la pestaña Dispositivos . El valor De impacto del usuario muestra el porcentaje de dispositivos que pueden aceptar una nueva directiva que habilita la regla en modo de bloque sin afectar negativamente a la productividad.
Nota:
Para evaluar con precisión el posible efecto de una regla ASR antes de habilitarla en el modo Bloquear o Advertir , debe revisar los datos del modo auditoría y los informes detallados, como el informe regla de reducción de superficie expuesta a ataques o los datos de búsqueda avanzada.
Paso 1: Probar todas las reglas de ASR en modo auditoría
Nota:
Como se describió anteriormente, normalmente puede habilitar las reglas de protección estándar en el modo Bloquear o Advertir sin realizar pruebas.
Normalmente, habilite todas las reglas de ASR en modo auditoría al mismo tiempo para que pueda determinar qué reglas se desencadenan con las actividades empresariales diarias. Comience con los campeones o dispositivos de reglas de ASR en el anillo 1.
Las reglas de ASR en modo auditoría no afectan a los usuarios. Pero las reglas generan eventos registrados que puede evaluar.
Si su organización tiene Microsoft Intune (incluidas en suscripciones como Microsoft 365 E5 o disponibles como complemento), use la directiva de seguridad de punto de conexión de reducción de superficie expuesta a ataques en Intune para configurar y distribuir reglas asr en el modo auditoría. Para obtener instrucciones, consulte Configuración de reglas y exclusiones de ASR en Intune mediante directivas de seguridad de punto de conexión.
Si no tiene Intune, están disponibles otros métodos de implementación de reglas de ASR:
- Microsoft Configuration Manager
- Cualquier solución MDM mediante el CSP de directiva
- Directiva de grupo
- PowerShell
Sugerencia
El método de implementación que usa para las reglas de ASR no afecta a los datos de informes, siempre y cuando los dispositivos estén inscritos en Defender para punto de conexión.
Paso 2: Revisar los datos de la regla ASR y evaluar el impacto
Una vez implementadas las reglas de ASR en el modo auditoría , revise los eventos desencadenados para evaluar sus efectos e identificar posibles exclusiones mediante algunos o todos los métodos siguientes:
En El plan 2 o Microsoft Defender para Empresas de Defender para punto de conexión, use el informe Reglas de reducción de superficie expuesta a ataques en el portal de Microsoft Defender. Para obtener información completa, vea Informe de reglas de reducción de superficie expuesta a ataques (ASR).
En El plan 2 de Defender para punto de conexión, use búsqueda avanzada para buscar eventos de regla de ASR. Para obtener más información, vea Eventos de regla de ASR en Búsqueda avanzada.
En El plan 2 o Defender para Empresas de Defender para punto de conexión, use la escala de tiempo del dispositivo defender para punto de conexión. Para obtener más información, consulte Microsoft Defender para punto de conexión escala de tiempo del dispositivo.
De lo contrario, los eventos de regla de ASR solo están disponibles en Windows Visor de eventos en el dispositivo local. Pero puede usar el reenvío de eventos de Windows para centralizar la recopilación de datos de reglas de ASR.
En concreto, busque id. de evento 1122 en el registrooperativo deMicrosoft>Windows>Defender> de Registros de aplicaciones y servicios> (eventos para reglas en modo auditoría). Para obtener una lista completa de los identificadores de eventos de regla asr y los pasos detallados, consulta Ver eventos de reducción de la superficie expuesta a ataques en Windows Visor de eventos.
Paso 3: Configurar exclusiones de reglas asr
Después de revisar los datos de reglas de ASR del modo auditoría , es posible que encuentre que algunas reglas de ASR bloquean la actividad o las aplicaciones empresariales legítimas (conocidas como falsos positivos). Puede agregar exclusiones para evitar que las reglas de ASR evalúen los archivos o carpetas afectados.
Para obtener información general sobre los tipos de exclusión admitidos para las reglas de ASR, consulte Exclusiones de archivos y carpetas para reglas de ASR.
Si usó una directiva de seguridad de punto de conexión de reducción de superficie expuesta a ataques en Microsoft Intune para implementar las reglas de ASR, use la misma directiva para configurar exclusiones de reglas de ASR. Para obtener instrucciones, consulte Configuración de reglas y exclusiones de ASR en Intune mediante directivas de seguridad de punto de conexión.
Si usó un método diferente para implementar las reglas de ASR, use el mismo método para configurar exclusiones de reglas de ASR:
- Microsoft Configuration Manager
- Directiva de grupo
- Cualquier solución MDM mediante el CSP de directiva
- PowerShell
Sugerencia
Las exclusiones de reglas son mejores que desactivar las reglas o volver a cambiarlas al modo auditoría . Aproveche el modo Advertir en las reglas disponibles para limitar las interrupciones sin deshabilitar la regla por completo. Para obtener más información, vea Modos para reglas de ASR.
Contenido relacionado
- Guía de implementación de reglas de reducción de la superficie expuesta a ataques (ASR)
- Planeamiento de la implementación de reglas de reducción de la superficie expuesta a ataques (ASR)
- Habilitar reglas de la reducción de la superficie expuesta a ataques (ASR)
- Administración y supervisión de la implementación de reglas de reducción de la superficie expuesta a ataques (ASR)
- Informe de reglas de reducción de superficie expuesta a ataques (ASR)
- Solución de problemas de reglas de reducción de superficie expuesta a ataques
- Referencia de reglas de reducción de la superficie expuesta a ataques (ASR)