מבט כולל על פריסת כללי הפחתת פני השטח של התקיפה
חל על:
משטחי תקיפה הם כל המקומות שבהם הארגון שלך פגיע לאיומי סייבר ולתקיפות סייבר. הפחתת משטח התקיפה פירושה הגנה על המכשירים והרשת של הארגון שלך, מה שמשאיר לתוקפים פחות דרכים לתקוף. קביעת התצורה של Microsoft Defender עבור כללי הפחתת שטח של תקיפה של נקודת קצה יכולה לעזור.
כללי הפחתת פני השטח של ההתקפה ממקדים אופני פעולה מסוימים של תוכנה, כגון:
- הפעלת קבצי הפעלה וקובצי Script שניסיון להוריד או להפעיל קבצים
- הפעלת קבצי Script מעורפלים או חשודים באופן אחר
- אופני פעולה שאפליקציות אינן מתרחשות בדרך כלל במהלך עבודה רגילה
על-ידי צמצום משטחי ההתקפה השונים, תוכל למנוע מתקפות לקרות מלכתחילה.
אוסף פריסה זה מספק מידע על ההיבטים הבאים של כללי צמצום פני השטח של ההתקפה:
- דרישות כללי הפחתת פני השטח של התקפה
- תוכנית פריסה של כללי הפחתת פני השטח של התקיפה
- כללים להפחתת פני השטח של התקפה בבדיקה
- קביעת תצורה והפעלה של כללי צמצום פני השטח של ההתקפה
- שיטות העבודה המומלצות של כללי הפחתת פני השטח של תקיפה
- התקפה פני השטח הפחתת כללים ציד מתקדם
- כללים הפחתה של פני השטח התקפה מציג האירועים
שלבי פריסה של כללי הפחתת פני השטח של ההתקפה
בדומה לכל יישום חדש בקנה מידה רחב, שעשוי להשפיע על פעולות קו פעולה עסקי, חשוב להיות שיטתי בתכנון וביישום. תכנון ופריסה קפדניים של כללי הפחתת פני השטח של ההתקפה נדרשים כדי לוודא שהם פועלים בצורה הטובה ביותר עבור זרימות העבודה הייחודיות של הלקוחות שלך. כדי לעבוד בסביבה שלך, עליך לתכנן, לבדוק, ליישם ולתפעול את כללי ההפחתה של משטח ההתקפה בזהירות.
אזהרה חשובה על קדם-הפצה
מומלץ להפוך את שלושת כללי ההגנה הסטנדרטית הבאים לזמינים. ראה כללים להפחתת פני השטח של ההתקפה לפי סוג לקבלת פרטים חשובים על שני סוגי כללי צמצום פני השטח של ההתקפה.
- חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe)
- חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים
- חסימת התמדה באמצעות מנוי לאירוע Windows Management Instrumentation (WMI)
בדרך כלל, באפשרותך להפוך את כללי ההגנה הרגילים לזמינים עם השפעה משמעותית מינימלית עד לא משמעותית על משתמש הקצה. לקבלת שיטה קלה להאפשר את כללי ההגנה הרגילים, ראה אפשרות הגנה רגילה פשוטה יותר.
הערה
עבור לקוחות המשתמשים ב- HIPS שאינו של Microsoft ועברים ל- Microsoft Defender for Endpoint עבור כללים להפחתת פני השטח של ההתקפה, Microsoft ממליצה להפעיל את פתרון HIPS לצד פריסת כללי הפחתת שטח התקיפה עד לרגע המעבר ממצב ביקורת למצב חסימה. זכור שעליך ליצור קשר עם ספק האנטי-וירוס שלך שאינו של Microsoft לקבלת המלצות על אי הכללה.
לפני שתתחיל לבדוק או להפעיל כללי הפחתת פני השטח של ההתקפה
במהלך ההכנה הראשונית, חשוב להבין את יכולות המערכות שהכנת. הבנת היכולות עוזרת לך לקבוע אילו כללי הפחתת פני השטח של ההתקפה הם החשובים ביותר להגנה על הארגון שלך. בנוסף, יש כמה דרישות מוקדמות, שאתה חייב להשתתף בהן כהכנה של פריסת ההקטנת פני השטח של ההתקפה.
חשוב
מדריך זה מספק תמונות ודוגמאות שיעזרו לך להחליט כיצד לקבוע את התצורה של כללי צמצום פני השטח של ההתקפה; ייתכן שתמונות ודוגמאות אלה לא ישקפו את אפשרויות התצורה הטובות ביותר עבור הסביבה שלך.
לפני שתתחילו, סקור את מבט כולל על הפחתת פני השטח של ההתקפה ,ו-Demystifying כללים להקטנת פני השטח של ההתקפה - חלק 1 למידע בסיסי. כדי להבין את תחומי הכיסוי וההשפעה הפוטנציאלית, הכר את קבוצת כללי ההפחתה הנוכחית של משטח ההתקפה; ראה חומר עזר בנושא כללי הפחתת פני השטח של ההתקפה. בזמן שאתה מתמצא בערכת כללי ההפחתה של משטח התקיפה, שים לב למיפויי GUID לפי כלל; ראה כלל הפחתת פני השטח של ההתקפה למטריצת GUID.
כללים להפחתת פני השטח של ההתקפה הם יכולת אחת בלבד של יכולות צמצום פני השטח של ההתקפה בתוך Microsoft Defender עבור נקודת קצה. מסמך זה מפרטים יותר על פריסת כללים להפחתת פני השטח של ההתקפה באופן יעיל כדי להפסיק איומים מתקדמים כגון תוכנת כופר המופעלת על-ידי בני אדם ואיומים אחרים.
רשימת כללי הפחתת פני השטח של ההתקפה לפי קטגוריה
הטבלה הבאה מציגה כללי צמצום פני השטח של ההתקפה לפי קטגוריה:
| איומים פולימורפים | גניבת אישורים & רוחביות | כללי יישומי פרודוקטיביות | כללי דואר אלקטרוני | כללי Script | כללי שונות |
|---|---|---|---|---|---|
| חסימת הפעלה של קבצי הפעלה, אלא אם הם עומדים בקריטריוני שכיחות (1,000 מחשבים), גיל או רשימה מהימנה | חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI | חסימת אפליקציות Office מפני יצירת תוכן בר הפעלה | חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט | חסימת קוד JS/VBS/PS/macro מעורפל | חסימת שימוש לרעה במנהלי התקנים פגיעים חתומים [1] |
| חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB | חסימת גניבת אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe)[2] | חסימת אפליקציות Office ביצירת תהליכי צאצא | חסימת יצירת תהליכי צאצא ביישומי תקשורת של Office בלבד | חסימת JS/VBS מהפעלת תוכן הפעלה שהורד | |
| השתמש בהגנה מתקדמת מפני תוכנות כופר | חסימת התמדה באמצעות מנוי לאירוע WMI | חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים | חסימת אפליקציות תקשורת של Office ביצירת תהליכי צאצא | ||
| חסימת Adobe Reader ביצירת תהליכי צאצא |
(1) חסימת שימוש לרעה במנהלי התקנים> פגיעים חתומים זמינה כעת תחת הפחתת Surface של התקפה של אבטחת נקודתקצה.
(2) כללים מסוימים של צמצום פני השטח של ההתקפה יוצרים רעש משמעותי, אך אינם חוסמיים פונקציונליות. לדוגמה, אם אתה מעדכן את Chrome, Chrome ניגשlsass.exe; סיסמאות מאוחסנות ב - lsass במכשיר. עם זאת, Chrome לא אמור לגשת למכשיר מקומיlsass.exe. אם אתה מאפשר לכלל לחסום גישה ל - lsass, אתה רואה אירועים רבים. אירועים אלה הם אירועים טובים מאחר שתהליך עדכון התוכנה אינו אמור לגשת lsass.exe. השימוש בכלל זה חוסם את הגישה ל- Lsass על-ידי עדכוני Chrome, אך אינו חוסם את העדכון של Chrome. הדבר נכון גם לגבי אפליקציות אחרות ש מבצעות שיחות מיותרות lsass.exe. הגישה לחסימה ל- lsass חוסמת שיחות מיותרות ל- lsass, אך אינה חוסמת את הפעלת היישום.
דרישות תשתית להפחתת פני השטח של ההתקפה
למרות ששיטות מרובות של יישום כללי הפחתת פני השטח של ההתקפה אפשריות, מדריך זה מבוסס על תשתית המורכבת
- מזהה Microsoft Entra
- Microsoft Intune
- מכשירי Windows 10 ו- Windows 11
- Microsoft Defender עבור רשיונות Endpoint E5 או Windows E5
כדי לנצל את כל כללי ההפחתה והדיווח של השטח לתקיפה, מומלץ להשתמש ברישיון Microsoft Defender XDR E5 או ב- Windows E5 וב- A5. קבל מידע נוסף בדרישות המינימום עבור Microsoft Defender עבור נקודת קצה.
הערה
קיימות שיטות מרובות לקבוע את התצורה של כללי הפחתת פני השטח של ההתקפה. ניתן לקבוע את התצורה של כללי הפחתת פני השטח של ההתקפה באמצעות: Microsoft Intune, PowerShell, מדיניות קבוצתית, מנהל התצורה של Microsoft (ConfigMgr), Intune OMA-URI. אם אתה משתמש בתצורה של תשתית שונה מהתצורה המפורטת עבור דרישות התשתית , תוכל לקבל מידע נוסף על פריסת כללי הפחתת פני השטח של ההתקפה באמצעות תצורות אחרות כאן: אפשר כללי צמצום שטח תקיפה.
יחסי תלות של כללים להפחתת פני השטח של ההתקפה
יש להפוך את האנטי-וירוס של Microsoft Defender לזמין ולהגדיר אותו כפתרון אנטי-וירוס ראשי, והוא חייב להיות במצב הבא:
- פתרון אנטי-וירוס/נגד תוכנות זדוניות ראשי
- מצב: מצב פעיל
האנטי-וירוס של Microsoft Defender אינו יכול להיכלל אף אחד מהמצבים הבאים:
- סביל
- מצב פאסיבי עם זיהוי ותגובה של נקודות קצה (EDR) במצב חסימה
- סריקה תקופתית מוגבלת (LPS)
- לא פעיל
ראה הגנה מבוססת ענן והאנטי-וירוס של Microsoft Defender לקבלת מידע נוסף.
יש להפוך את ההגנה על הענן (MAPS) לזמינה כדי לאפשר כללי צמצום שטח תקיפה
האנטי-וירוס של Microsoft Defender פועל בצורה חלקה עם שירותי הענן של Microsoft. שירותי הגנה בענן אלה, הנקראים גם שירות ההגנה המתקדם של Microsoft (MAPS), משפרים את ההגנה בזמן אמת הסטנדרטית, ומספקים את הגנת האנטי-וירוס הטובה ביותר. הגנה על הענן היא קריטית כדי למנוע הפרות של תוכנות זדוניות ורכיב קריטי של כללי הפחתת פני השטח של ההתקפה. הפעל הגנה מבוססת ענן באנטי-וירוס של Microsoft Defender.
רכיבי האנטי-וירוס של Microsoft Defender חייבים להיות גרסאות עדכניות עבור כללי צמצום פני השטח של התקיפה
גירסאות רכיבי האנטי-וירוס הבאות של Microsoft Defender חייבות להיות לא יותר משתי גירסאות ישנות יותר מהגירסה הזמינה כעת ביותר:
- גירסת העדכון של פלטפורמת האנטי-וירוס של Microsoft Defender - פלטפורמת האנטי-וירוס של Microsoft Defender מתעדכנת מדי חודש.
- גירסת מנגנון האנטי-וירוס של Microsoft Defender - מנגנון האנטי-וירוס של Microsoft Defender מתעדכן מדי חודש.
- בינת אבטחה של האנטי-וירוס של Microsoft Defender - Microsoft מעדכנת באופן שוטף את בינת האבטחה של Microsoft Defender (המכונה גם הגדרה וחתימה) כדי לטפל באיומים העדכניים ביותר ולמקד את לוגיקת הזיהוי.
שמירה על עדכניות הגירסאות של האנטי-וירוס של Microsoft Defender מסייעת להפחית את כללי ההפחתה של משטח התקיפה לקבלת תוצאות חיוביות מוטעות ומשפרת את יכולות הזיהוי של האנטי-וירוס של Microsoft Defender. לקבלת פרטים נוספים על הגירסאות הנוכחיות וכיצד לעדכן את רכיבי האנטי-וירוס השונים של Microsoft Defender, בקר בתמיכה של פלטפורמת האנטי-וירוס של Microsoft Defender.
אזהרה
כללים מסוימים אינם פועלים היטב אם היישום וקובץ ה- Script שפותח באופן פנימי אינם פועלים כראוי. קשה יותר לפרוס כללי צמצום שטח תקיפה אם חתימת קוד אינה נאכפת.
מאמרים אחרים באוסף פריסה זה
כללים להקטנת פני השטח של ההתקפה בבדיקה
אפשר כללי צמצום פני השטח של ההתקפה
תפעול כללי צמצום פני השטח של ההתקפה
חומר עזר לכללי הפחתת פני השטח של ההתקפה
הפניות
בלוגים
כללים להקטנת פני השטח של התקפה Demystifying - חלק 1
כללים להקטנת פני השטח של ההתקפה Demystifying - חלק 2
Demystifying attack surface reduction rules - Part 3
כללים להקטנת פני השטח של ההתקפה Demystifying - חלק 4
אוסף כללי צמצום פני השטח של ההתקפה
מבט כולל על צמצום פני השטח של ההתקפה
השתמש בכללי הפחתת פני השטח של ההתקפה כדי למנוע הידבקות בתוכנות זדוניות
אפשר כללי צמצום פני השטח של ההתקפה - תצורות חלופיות
חומר עזר לכללי הפחתת פני השטח של ההתקפה
שאלות נפוצות בנושא צמצום שטח תקיפה
Microsoft Defender
טיפול בתוצאות חיוביות/שליליות מוטעות ב- Microsoft Defender עבור נקודת קצה
הגנה מבוססת ענן והאנטי-וירוס של Microsoft Defender
הפעלת הגנה מבוססת ענן באנטי-וירוס של Microsoft Defender
קביעת תצורה ואימתה של פריטים שאינם נכללים בהתבסס על סיומת, שם או מיקום
תמיכה פלטפורמת אנטי-וירוס של Microsoft Defender
מבט כולל על המלאי במרכז הניהול של יישומי Microsoft 365
יצירת תוכנית פריסה עבור Windows
השתמש בפקדי גישה מבוססי תפקיד (RBAC) ותגיות טווח עבור IT מבוזר ב- Intune
הקצאת פרופילי מכשיר ב- Microsoft Intune
אתרי ניהול
מרכז הניהול של Microsoft Intune
תצורות של כללי הפחתת פני השטח של ההתקפה
הכללות של צמצום פני השטח של ההתקפה
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.