Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fa parte della guida alla distribuzione delle regole di riduzione della superficie di attacco.
Il test delle regole di riduzione della superficie di attacco (ASR) è un passaggio critico nella distribuzione. È necessario determinare se eventuali regole asr bloccano le app line-of-business. A partire da un piccolo gruppo controllato, è possibile limitare potenziali interruzioni del lavoro quando si espande la distribuzione all'interno dell'organizzazione.
Nota
Prima di iniziare la fase di test della distribuzione delle regole del servizio app, disabilitare tutte le regole asr correlate attualmente abilitate in modalità blocco o avviso (se applicabile). Per informazioni sull'uso del report per trovare le regole asr abilitate, vedere Report sulle regole di riduzione della superficie di attacco.
Come illustrato nel diagramma seguente, iniziare la distribuzione delle regole del servizio app con l'anello 1.
Valutare e valutare le regole prima della distribuzione
In Defender per endpoint piano 2, Gestione delle vulnerabilità di Microsoft Defender presenta raccomandazioni di sicurezza correlate alle regole asr che possono fornire indicatori di impatto di alto livello (ad esempio, se l'attività di controllo è stata osservata tra dispositivi).
Nel portale di Microsoft Defender in https://security.microsoft.compassare aRaccomandazioni sulla gestione> dell'esposizione (o direttamente alla pagina Raccomandazioni per la sicurezza in https://security.microsoft.com/exposure-recommendations). Nella pagina Consigli di sicurezza selezionare una regola asr per aprire il riquadro a comparsa dei dettagli e quindi selezionare la scheda Dispositivi . Il valore Impatto utente mostra la percentuale di dispositivi che possono accettare un nuovo criterio che abilita la regola in modalità blocco senza influire negativamente sulla produttività.
Nota
Per valutare accuratamente il potenziale effetto di una regola asr prima di abilitarla in modalità blocco o avviso , è necessario esaminare i dati della modalità di controllo e i report dettagliati, ad esempio il report della regola di riduzione della superficie di attacco o i dati di ricerca avanzati.
Passaggio 1: Testare tutte le regole asr in modalità di controllo
Nota
Come descritto in precedenza, è in genere possibile abilitare le regole di protezione standard in modalità Blocca o Avvisa senza test.
In genere, abilitare tutte le regole asr contemporaneamente in modalità di controllo in modo da poter determinare quali regole vengono attivate dalle attività aziendali quotidiane. Inizia con i tuoi campioni di regola asr o i dispositivi nell'anello 1.
Le regole asr in modalità di controllo non influiscono sugli utenti. Ma le regole generano eventi registrati che è possibile valutare.
Se l'organizzazione dispone di Microsoft Intune (incluse in sottoscrizioni come Microsoft 365 E5 o disponibili come componente aggiuntivo), usare i criteri di sicurezza degli endpoint di riduzione della superficie di attacco in Intune per configurare e distribuire le regole asr in modalità di controllo. Per istruzioni, vedere Configure ASR rules and exclusions in Intune using endpoint security policies (Configurare le regole e le esclusioni asr in Intune usando i criteri di sicurezza degli endpoint).
Se non si dispone di Intune, sono disponibili altri metodi di distribuzione delle regole asr:
- Microsoft Configuration Manager
- Qualsiasi soluzione MDM che usa il provider di servizi di configurazione dei criteri
- Criteri di gruppo
- PowerShell
Consiglio
Il metodo di distribuzione usato per le regole asr non influisce sui dati di report, purché i dispositivi siano registrati in Defender per endpoint.
Passaggio 2: Esaminare i dati delle regole asr e valutare l'impatto
Dopo la distribuzione delle regole asr in modalità di controllo , esaminare gli eventi attivati per valutarne gli effetti e identificare potenziali esclusioni usando alcuni o tutti i metodi seguenti:
In Defender per endpoint Piano 2 o Microsoft Defender for Business usare il report Regole di riduzione della superficie di attacco nel portale di Microsoft Defender. Per informazioni complete, vedere Report sulle regole di riduzione della superficie di attacco (ASR).
In Defender per endpoint Piano 2 usare Ricerca avanzata per trovare gli eventi delle regole asr. Per altre informazioni, vedere Eventi delle regole asr in Ricerca avanzata.
In Defender per Endpoint Piano 2 o Defender for Business usare la sequenza temporale del dispositivo Defender per endpoint. Per altre informazioni, vedere Microsoft Defender per endpoint sequenza temporale del dispositivo.
In caso contrario, gli eventi delle regole ASR sono disponibili solo in Windows Visualizzatore eventi nel dispositivo locale. È tuttavia possibile usare Inoltro eventi di Windows per centralizzare la raccolta di dati delle regole asr.
In particolare, cercare l'ID evento 1122 nel logoperativo di Applicazioni e servizi>di Microsoft>Windows>Defender> (eventi per le regole in modalità di controllo). Per un elenco completo degli ID evento della regola ASR e passaggi dettagliati, vedere Visualizzare gli eventi di riduzione della superficie di attacco in Windows Visualizzatore eventi.
Passaggio 3: Configurare le esclusioni delle regole asr
Dopo aver esaminato i dati delle regole asr dalla modalità di controllo , è possibile che alcune regole asr blocchino le app o le attività aziendali legittime (note come falsi positivi). È possibile aggiungere esclusioni per impedire alle regole asr di valutare i file o le cartelle interessati.
Per una panoramica dei tipi di esclusione supportati per le regole asr, vedere Esclusioni di file e cartelle per le regole asr.
Se sono stati usati criteri di sicurezza degli endpoint di riduzione della superficie di attacco in Microsoft Intune per distribuire le regole asr, usare lo stesso criterio per configurare le esclusioni delle regole asr. Per istruzioni, vedere Configure ASR rules and exclusions in Intune using endpoint security policies (Configurare le regole e le esclusioni asr in Intune usando i criteri di sicurezza degli endpoint).
Se è stato usato un metodo diverso per distribuire le regole asr, usare lo stesso metodo per configurare le esclusioni delle regole asr:
- Microsoft Configuration Manager
- Criteri di gruppo
- Qualsiasi soluzione MDM che usa il provider di servizi di configurazione dei criteri
- PowerShell
Consiglio
Le esclusioni delle regole sono migliori rispetto alla disattivazione delle regole o al passaggio alla modalità di controllo . Sfruttare la modalità Avvisa nelle regole disponibili per limitare le interruzioni senza disabilitare completamente la regola. Per altre informazioni, vedere Modalità per le regole asr.
Contenuto correlato
- Guida alla distribuzione delle regole di riduzione della superficie di attacco (ASR)
- Pianificare la distribuzione delle regole di riduzione della superficie di attacco
- Abilitare le regole per la riduzione della superficie di attacco (ARS)
- Gestire e monitorare la distribuzione delle regole di riduzione della superficie di attacco
- Report delle regole di riduzione della superficie di attacco
- Risolvere i problemi relativi alle regole di riduzione della superficie di attacco
- Riferimento alle regole per la riduzione della superficie di attacco (ARS)