Pianificare la distribuzione delle regole di riduzione della superficie di attacco
Si applica a:
Prima di testare o abilitare le regole di riduzione della superficie di attacco, è necessario pianificare la distribuzione. Un'attenta pianificazione consente di testare la distribuzione delle regole di riduzione della superficie di attacco e di superare eventuali eccezioni delle regole. Quando si pianifica di testare le regole di riduzione della superficie di attacco, assicurarsi di iniziare con la business unit corretta. Iniziare con un piccolo gruppo di persone in una business unit specifica. È possibile identificare alcuni campioni all'interno di una business unit specifica che possono fornire commenti e suggerimenti per ottimizzare l'implementazione.
Importante
Durante il processo di pianificazione, controllo e abilitazione delle regole di riduzione della superficie di attacco, è consigliabile abilitare le tre regole di protezione standard seguenti. Per informazioni importanti sui due tipi di regole di riduzione della superficie di attacco, vedere Regole di riduzione della superficie di attacco per tipo.
- Bloccare il furto di credenziali dal sottosistema dell'autorità di sicurezza locale di Windows (lsass.exe)
- Bloccare l'abuso di driver firmati vulnerabili sfruttati
- Bloccare la persistenza tramite la sottoscrizione di eventi di Strumentazione gestione Windows (WMI)
È in genere possibile abilitare le regole di protezione standard con un impatto minimo evidente per l'utente finale. Per un metodo semplice per abilitare le regole di protezione standard, vedere: Opzione di protezione standard semplificata.
Avviare la distribuzione delle regole asr con la business unit corretta
La modalità di selezione della business unit per implementare la distribuzione delle regole di riduzione della superficie di attacco dipende da fattori quali:
- Dimensioni della business unit
- Disponibilità dei campioni delle regole di riduzione della superficie di attacco
- Distribuzione e utilizzo di:
- Software
- Cartelle condivise
- Uso di script
- Macro di Office
- Altre entità interessate dalle regole di riduzione della superficie di attacco
A seconda delle esigenze aziendali, è possibile decidere di includere più business unit per ottenere un ampio campionamento di software, cartelle condivise, script, macro e così via. È possibile decidere di limitare l'ambito della prima implementazione delle regole di riduzione della superficie di attacco a una singola business unit. Ripetere quindi l'intero processo di implementazione delle regole di riduzione della superficie di attacco nelle altre business unit, una alla volta.
Identificare i campioni di regole asr
I campioni delle regole di riduzione della superficie di attacco sono membri dell'organizzazione che possono contribuire all'implementazione iniziale delle regole di riduzione della superficie di attacco durante le fasi preliminari di test e implementazione. I tuoi campioni sono in genere dipendenti più tecnicamente adatti e che non sono deragliati da interruzioni intermittenti del flusso di lavoro. Il coinvolgimento dei campioni continua durante la più ampia espansione della distribuzione delle regole di riduzione della superficie di attacco all'organizzazione. I campioni delle regole di riduzione della superficie di attacco sono i primi a sperimentare ogni livello dell'implementazione delle regole di riduzione della superficie di attacco.
È importante fornire un canale di feedback e risposta per i promotori delle regole di riduzione della superficie di attacco per avvisare l'utente di attaccare interruzioni del lavoro correlate alle regole di riduzione della superficie di attacco e ricevere comunicazioni correlate all'implementazione delle regole di riduzione della superficie di attacco.
Ottenere l'inventario delle app line-of-business e comprendere i processi delle business unit
Avere una conoscenza completa delle applicazioni e dei processi per unità aziendale usati nell'organizzazione è fondamentale per una distribuzione corretta delle regole di riduzione della superficie di attacco. Inoltre, è fondamentale comprendere il modo in cui queste app vengono usate all'interno delle varie business unit dell'organizzazione. Per iniziare, è necessario ottenere un inventario delle app approvate per l'uso nell'intera organizzazione. È possibile usare strumenti come l'interfaccia di amministrazione Microsoft 365 Apps per semplificare l'inventario delle applicazioni software. Vedere: Panoramica dell'inventario nell'interfaccia di amministrazione Microsoft 365 Apps.
Definire i ruoli e le responsabilità del team delle regole asr per la creazione di report e la risposta
L'articolazione chiara dei ruoli e delle responsabilità delle persone responsabili del monitoraggio e della comunicazione dello stato e dell'attività delle regole di riduzione della superficie di attacco è un'attività fondamentale della manutenzione della riduzione della superficie di attacco. Di conseguenza, è importante determinare:
- La persona o il team responsabile della raccolta dei report
- Come e con chi vengono condivisi i report
- Come viene eseguita l'escalation per le minacce appena identificate o blocchi indesiderati causati dalle regole di riduzione della superficie di attacco
I ruoli e le responsabilità tipici includono:
- Amministratori IT: implementare le regole di riduzione della superficie di attacco, gestire le esclusioni. Usare business unit diverse in app e processi. Assemblaggio e condivisione di report agli stakeholder
- Analista certificato del Centro operativo di sicurezza (CSOC): responsabile dell'analisi dei processi bloccati con priorità elevata per determinare se la minaccia è valida o meno
- Chief Information Security Officer (CISO): responsabile del comportamento di sicurezza generale e dell'integrità dell'organizzazione
Distribuzione dell'anello delle regole asr
Per le grandi aziende, Microsoft consiglia di distribuire regole di riduzione della superficie di attacco in "anelli". Gli anelli sono gruppi di dispositivi rappresentati visivamente come cerchi concentrici che si irradiano verso l'esterno come anelli ad albero non sovrapposti. Quando l'anello più interno viene distribuito correttamente, è possibile passare all'anello successivo nella fase di test. Una valutazione approfondita delle business unit, delle regole di riduzione della superficie di attacco, delle app e dei processi è fondamentale per definire gli anelli. Nella maggior parte dei casi, l'organizzazione dispone di circuiti di distribuzione per l'implementazione in più fasi degli aggiornamenti di Windows. È possibile usare la progettazione dell'anello esistente per implementare le regole di riduzione della superficie di attacco. Vedere: Create un piano di distribuzione per Windows
Altri articoli in questa raccolta di distribuzione
Panoramica della distribuzione delle regole di riduzione della superficie di attacco
Testare le regole di riduzione della superficie di attacco
Abilitare regole di riduzione della superficie di attacco
Rendere operative le regole di riduzione della superficie di attacco
Informazioni di riferimento sulle regole di riduzione della superficie di attacco
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.