Pianificare la distribuzione delle regole di riduzione della superficie di attacco

  • Si applica a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Questo articolo fa parte della guida alla distribuzione delle regole di riduzione della superficie di attacco.

Prima di testare o abilitare le regole di riduzione della superficie di attacco, pianificare la distribuzione. Questo articolo descrive una metodologia di pianificazione che è possibile modificare per soddisfare le esigenze aziendali.

Diagramma dei passaggi di pianificazione delle regole asr: determinare gli anelli di distribuzione, identificare i campioni, le app di inventario e definire i ruoli del team.

Consiglio

In genere, è possibile abilitare le regole di protezione standard in modalità Blocco o Avviso senza test. È consigliabile testare altre regole asr in modalità di controllo prima di passare alla modalità Blocca o Avvisa . Per altre informazioni, vedere la guida alla distribuzione delle regole asr.

Requisiti dell'infrastruttura per la guida alla distribuzione

Anche se esistono diversi modi per abilitare le regole asr, questa guida alla distribuzione si basa su un'infrastruttura che usa:

  • Microsoft Entra ID
  • Microsoft Intune
  • dispositivi Windows 10 e Windows 11
  • licenze di Microsoft Defender per endpoint E5 o Windows E5

Per sfruttare al meglio le regole e i report asr, usare una licenza di Microsoft 365 E5, Windows E5 o Microsoft 365 A5. Per altre informazioni, vedere Requisiti minimi per Microsoft Defender per endpoint.

Nota

Se si esegue la transizione da un sistema di prevenzione delle intrusioni host non Microsoft (HIPS) a regole Microsoft Defender Antivirus e ASR, eseguire la soluzione HIPS insieme alle regole ASR fino a quando non si abilitano le regole in modalità blocco durante la fase di implementazione. Per consigli sull'esclusione, contattare il provider di soluzioni antivirus.

Passaggio 1: Identificare le business unit

La modalità di selezione della prima business unit per la ricezione delle regole asr nella fase di test dipende dai fattori seguenti:

  • Dimensioni della business unit (più piccolo è più facile da gestire)
  • Disponibilità dei campioni di regole asr
  • Distribuzione e utilizzo del software interessato. Ad esempio:
    • Software
    • Cartelle condivise
    • Script
    • Macro di Office

Le esigenze aziendali possono determinare chiaramente una delle opzioni seguenti:

  • Includere più business unit per ottenere un ampio campionamento di software, cartelle condivise, script, macro e app line-of-business che potrebbero influire sulle regole asr.
  • Limitare l'ambito iniziale a una singola business unit, risolvere tutti i problemi in tale business unit, quindi ripetere l'implementazione ad altre business unit singolarmente.

Passaggio 2: Identificare i campioni di regole asr

I campioni delle regole ASR sono persone nelle business unit interessate che possono aiutarti durante le fasi preliminari di test e implementazione. In genere, un campione ha più competenze tecniche e non si preoccupa delle interruzioni intermittenti del flusso di lavoro. Il coinvolgimento dei campioni continua durante la più ampia espansione della distribuzione delle regole asr all'organizzazione. I campioni di regole asr sono i primi a sperimentare ogni livello dell'implementazione delle regole asr.

È importante fornire un canale di feedback e risposta per i promotori delle regole asr per avvisare l'utente delle interruzioni del lavoro e ricevere comunicazioni di implementazione delle regole asr.

Passaggio 3: Inventario delle app line-of-business e comprensione dei processi delle business unit

Una conoscenza completa delle app e dei processi aziendali nell'organizzazione è fondamentale per una distribuzione corretta delle regole asr. È fondamentale comprendere il modo in cui queste app vengono usate all'interno delle diverse business unit dell'organizzazione.

Eseguire l'inventario delle app approvate nell'organizzazione. È possibile usare strumenti come l'interfaccia di amministrazione Microsoft 365 Apps. Per altre informazioni, vedere Panoramica dell'inventario nell'interfaccia di amministrazione Microsoft 365 Apps.

Nota

Alcune regole asr non funzionano correttamente se si usano spesso app e script non firmati e sviluppati internamente. È più difficile distribuire le regole asr se non si applica la firma del codice.

Passaggio 4: Definire i ruoli e le responsabilità del team per la creazione di report e la risposta alle regole asr

Articolare chiaramente i ruoli e le responsabilità per il monitoraggio e la comunicazione dello stato e dell'attività delle regole asr. Di conseguenza, è importante determinare:

  • Chi è responsabile della raccolta di report.
  • Come e con chi vengono condivisi i report.
  • Come eseguire l'escalation e affrontare nuove minacce o blocchi indesiderati dalle regole asr.

I ruoli e le responsabilità tipici includono:

  • Amministratori IT: implementare le regole asr e gestire le esclusioni. Usare business unit diverse in app e processi. Creare e condividere report agli stakeholder.
  • Analisti certificati del Centro operativo di sicurezza (CSOC): analizzare i processi bloccati ad alta priorità.
  • Chief Information Security Officer (CISO): responsabile del comportamento di sicurezza generale e dell'integrità dell'organizzazione.

Passaggio 5: Definire gli anelli di distribuzione delle regole ASR

Per le grandi aziende, distribuire le regole asr negli anelli. Gli anelli vengono definiti tramite la valutazione di business unit, campioni di regole ASR, app e processi. Dopo aver distribuito correttamente le regole asr al primo anello, è possibile passare all'anello successivo nella fase di test e così via. Se sono già stati definiti anelli per l'implementazione graduale degli aggiornamenti di Windows, è probabile che sia possibile usare gli stessi anelli per distribuire le regole asr.

Per altre informazioni sugli anelli, vedere Windows: Creare un piano di distribuzione.

Contenuto correlato

  • Last updated on