Támadásifelület-csökkentési szabályok üzembe helyezésének megtervezése

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag

Mielőtt teszteli vagy engedélyezi a támadásifelület-csökkentési szabályokat, tervezze meg az üzembe helyezést. A gondos tervezés segít tesztelni a támadásifelület-csökkentési szabályok üzembe helyezését, és megelőzni a szabálykivételeket. A támadásifelület-csökkentési szabályok tesztelésének tervezésekor győződjön meg arról, hogy a megfelelő üzleti egységgel kezd. Első lépésként egy adott üzleti egység egy kis csoportját kell használnia. Azonosíthat néhány bajnokot egy adott üzleti egységen belül, akik visszajelzést küldhetnek az implementáció finomhangolásához.

Fontos

Miközben végigvezeti a támadásifelület-csökkentési szabályok tervezésének, naplózásának és engedélyezésének folyamatán, javasoljuk, hogy engedélyezze az alábbi három szabványos védelmi szabályt. A támadásifelület-csökkentési szabályok két típusával kapcsolatos fontos részletekért lásd: Támadásifelület-csökkentési szabályok típus szerint.

• A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása
• A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása
• Adatmegőrzés letiltása a Windows Management Instrumentation (WMI) esemény-előfizetésen keresztül

A szabványos védelmi szabályokat általában úgy engedélyezheti, hogy a végfelhasználóra minimálisan észrevehető hatást gyakoroljon. A szabványos védelmi szabályok egyszerű engedélyezésének módja: Egyszerűsített szabványos védelmi lehetőség.

Indítsa el az ASR-szabályok üzembe helyezését a megfelelő üzleti egységben

A támadásifelület-csökkentési szabályok üzembe helyezéséhez szükséges üzleti egység kiválasztása az alábbi tényezőktől függ:

• Az üzleti egység mérete
• A támadásifelület-csökkentési szabályok bajnokainak rendelkezésre állása
• A következő disztribúciója és használata:
  • Szoftver
  • Megosztott mappák
  • Szkriptek használata
  • Office-makrók
  • A támadásifelület-csökkentési szabályok által érintett egyéb entitások

Az üzleti igényektől függően dönthet úgy, hogy több üzleti egységet is belefoglal, hogy széles körű mintavételt kapjon a szoftverekről, a megosztott mappákról, a szkriptekről, a makrókról stb. Dönthet úgy, hogy egyetlen üzleti egységre korlátozza az első támadásifelület-csökkentési szabályok hatókörét. Ezután ismételje meg a teljes támadásifelület-csökkentési szabályok bevezetésének folyamatát a többi üzleti egységben, egyenként.

ASR-szabályok bajnokainak azonosítása

A támadásifelület-csökkentési szabályok bajnokai a szervezet tagjai, akik segíthetnek a kezdeti támadásifelület-csökkentési szabályok bevezetésében az előzetes tesztelési és megvalósítási fázisokban. A bajnokok általában olyan alkalmazottak, akik technikailag ügyesebbek, és akik nem kisiklanak időszakos munkafolyamat-kimaradások miatt. A bajnokok részvétele a támadásifelület-csökkentési szabályok szervezeten belül történő szélesebb körű bővítésében folytatódik. A támadásifelület-csökkentési szabályok bajnokai először a támadásifelület-csökkentési szabályok minden szintjét átélik.

Fontos, hogy visszajelzési és válaszcsatornát biztosítson a támadásifelület-csökkentési szabályok bajnokai számára, amely figyelmezteti Önt a támadásifelület-csökkentési szabályokkal kapcsolatos munkakimaradásokra, és fogadja a támadásifelület-csökkentési szabályok bevezetéséhez kapcsolódó kommunikációt.

Az üzletági alkalmazások leltárának lekérése és az üzletiegység-folyamatok megismerése

A szervezeten belül használt alkalmazások és üzletiegység-folyamatok teljes körű ismerete elengedhetetlen a támadásifelület-csökkentési szabályok sikeres üzembe helyezéséhez. Emellett fontos tisztában lenni azzal, hogyan használják ezeket az alkalmazásokat a szervezet különböző üzleti egységei. Első lépésként le kell szereznie a szervezet teljes területén való használatra jóváhagyott alkalmazások leltárát. A szoftveralkalmazások leltározásához olyan eszközöket használhat, mint a Microsoft 365-alkalmazások Felügyeleti központ. Lásd: A leltár áttekintése a Microsoft 365-alkalmazások Felügyeleti központban.

Jelentéskészítési és reagálási ASR-szabályok csapatszerepköreinek és felelősségeinek meghatározása

A támadásifelület-csökkentési szabályok állapotának és tevékenységének monitorozásáért és közléséért felelős személyek szerepének és felelősségének egyértelmű megfogalmazása a támadásifelület-csökkentési karbantartás alapvető tevékenysége. Ezért fontos meghatározni a következőt:

• A jelentések gyűjtéséért felelős személy vagy csapat
• Hogyan és kivel osztják meg a jelentéseket?
• Az eszkaláció kezelése a támadásifelület-csökkentési szabályok által okozott újonnan azonosított fenyegetések vagy nemkívánatos blokkolások esetén

A tipikus szerepkörök és felelősségek a következők:

• Informatikai rendszergazdák: Támadásifelület-csökkentési szabályok implementálása, kizárások kezelése. Különböző üzleti egységekkel dolgozhat alkalmazásokon és folyamatokon. Jelentések összeállítása és megosztása az érintettekkel
• Minősített biztonsági műveleti központ (CSOC) elemzője: Felelős a magas prioritású, blokkolt folyamatok vizsgálatáért annak megállapításáért, hogy a fenyegetés érvényes-e vagy sem
• Információbiztonsági főtisztviselő (CISO): Felelős a szervezet általános biztonsági helyzetéért és állapotáért

ASR-szabályok gyűrű üzembe helyezése

Nagyvállalatok számára a Microsoft a támadásifelület-csökkentési szabályok "körökben" történő üzembe helyezését javasolja. A gyűrűk olyan eszközcsoportok, amelyek vizuálisan koncentrikus körökként jelennek meg, amelyek kifelé sugaradnak, mint a nem összecsukható fagyűrűk. A legbelső gyűrű sikeres üzembe helyezése után áttérhet a következő körre a tesztelési fázisba. A gyűrűk meghatározásához elengedhetetlen az üzleti egységek, a támadásifelület-csökkentési szabályok bajnokainak, alkalmazásainak és folyamatainak alapos felmérése. A legtöbb esetben a szervezet üzembehelyezési köröket biztosít a Windows-frissítések szakaszos bevezetéséhez. A meglévő körkialakítás használatával implementálhatja a támadásifelület-csökkentési szabályokat. Lásd: Központi telepítési terv Létrehozás Windowshoz

Az üzembe helyezési gyűjtemény további cikkei

Támadásifelület-csökkentési szabályok üzembe helyezésének áttekintése

Támadásifelület-csökkentési szabályok tesztelése

Támadásifelület-csökkentési szabályok engedélyezése

Támadásifelület-csökkentési szabályok üzembe helyezése

Támadásifelület-csökkentési szabályok referenciája

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.