Testare le regole per la riduzione della superficie di attacco (ARS)

Le regole di riduzione della superficie di attacco (ASR) di test Microsoft Defender per endpoint (MDE) consentono di determinare se le regole impediranno le operazioni line-of-business prima di abilitare qualsiasi regola. A partire da un piccolo gruppo controllato, è possibile limitare potenziali interruzioni del lavoro quando si espande la distribuzione nell'organizzazione.

In questa sezione della guida alla distribuzione delle regole asr si apprenderà come:

  • configurare le regole usando MEM
  • usare Microsoft Defender per endpoint report delle regole asr
  • configurare le esclusioni delle regole asr
  • abilitare le regole asr usando PowerShell
  • usare Visualizzatore eventi per gli eventi delle regole asr

Nota

Prima di iniziare a testare le regole asr, è consigliabile disabilitare prima tutte le regole impostate in precedenza su audit o enable (se applicabile). Per informazioni sull'uso del report sulle regole asr per disabilitare le regole asr, vedere Report sulle regole di riduzione della superficie di attacco.

Iniziare la distribuzione delle regole di riduzione della superficie di attacco (ASR) con l'anello 1.

Passaggi di test della riduzione della superficie di attacco (regole ASR) di Microsoft Defender per endpoint (MDE). Controllare le regole asr, configurare le esclusioni delle regole asr. Configurare le regole ASR MEM. Esclusioni delle regole asr. Visualizzatore eventi regole ASR.

Passaggio 1: Testare le regole asr usando Audit

Iniziare la fase di test attivando le regole asr con le regole impostate su Audit, a partire dagli utenti o dai dispositivi campione nell'anello 1. In genere, si consiglia di abilitare tutte le regole (in Controllo) in modo da poter determinare quali regole vengono attivate durante la fase di test. Si noti che le regole impostate su Audit non influiscono in genere sulle funzionalità dell'entità o delle entità a cui viene applicata la regola, ma generano eventi registrati per la valutazione; non vi è alcun effetto sugli utenti finali.

Configurare le regole asr con MEM

È possibile usare Microsoft Endpoint Manager (MEM) Endpoint Security per configurare regole asr personalizzate.

  1. Aprire l'interfaccia di amministrazione di Microsoft Endpoint Manager.

  2. Passare a Endpoint SecurityAttack surface reduction (Riduzione della superficie di attacco di Endpoint Security>).

  3. Selezionare Crea criteri.

  4. In Piattaforma selezionare Windows 10 e versioni successive e in Profilo selezionare Regole di riduzione della superficie di attacco.

    Pagina di creazione del profilo per le regole asr

  5. Fare clic su Crea.

  6. Nella scheda Informazioni di base del riquadro Crea profilo aggiungere un nome per i criteri in Nome . In Descrizione aggiungere una descrizione per i criteri delle regole del servizio app.

  7. Nella scheda Impostazioni di configurazione , in Regole di riduzione della superficie di attacco, impostare tutte le regole su Modalità di controllo.

    Configurazione delle regole asr alla modalità di controllo

    Nota

    Ci sono variazioni in alcuni elenchi di modalità regole ASR; Bloccato e Abilitato forniscono la stessa funzionalità.

  8. [Facoltativo] Nel riquadro Tag ambito è possibile aggiungere informazioni sui tag a dispositivi specifici. È anche possibile usare i tag di ambito e il controllo degli accessi in base al ruolo per assicurarsi che gli amministratori corretti abbiano l'accesso e la visibilità corretti per gli oggetti Intune corretti. Altre informazioni: Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito in Intune.

  9. Nel riquadro Assegnazioni è possibile distribuire o "assegnare" il profilo ai gruppi di utenti o dispositivi. Altre informazioni: Assegnare profili di dispositivo in Microsoft Intune

    Nota

    La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.

  10. Esaminare le impostazioni nel riquadro Rivedi e crea . Fare clic su Crea per applicare le regole.

    Pagina Crea profilo

I nuovi criteri di riduzione della superficie di attacco per le regole asr sono elencati in Sicurezza degli endpoint | Riduzione della superficie di attacco.

 Pagina di riduzione della superficie di attacco

Passaggio 2: Comprendere la pagina di creazione di report delle regole del servizio app nel portale di Microsoft 365 Defender

La pagina di creazione di report delle regole asr è disponibile in Microsoft 365 Defender portale>Segnala>le regole di riduzione della superficie di attacco. Questa pagina include tre schede:

  • Rilevamenti
  • Configurazione
  • Aggiungere esclusioni

Scheda Rilevamenti

Fornisce una sequenza temporale di 30 giorni degli eventi di controllo e bloccati rilevati.

Scheda Rilevamenti delle regole di riduzione della superficie di attacco

Il riquadro Regole di riduzione della superficie di attacco offre una panoramica degli eventi rilevati in base alle regole.

Nota

Esistono alcune varianti nei report delle regole asr. Microsoft sta aggiornando il comportamento dei report delle regole asr per offrire un'esperienza coerente.

Pagina Regole di riduzione della superficie di attacco

Fare clic su Visualizza rilevamenti per aprire la scheda Rilevamenti .

Rilevamenti delle regole di riduzione della superficie di attacco

Nel riquadro GroupBy e Filter sono disponibili le opzioni seguenti:

GroupBy restituisce i risultati impostati sui gruppi seguenti:

  • Nessun raggruppamento
  • File rilevato
  • Controllo o blocco
  • Regola
  • App di origine
  • Dispositivo
  • Utente
  • Publisher

Le regole di riduzione della superficie di attacco rilevano il filtro GroupBy

Il filtro apre la pagina Filtro in base alle regole , che consente di definire l'ambito dei risultati solo per le regole asr selezionate:

I rilevamenti delle regole di riduzione della superficie di attacco vengono filtrati in base alle regole

Nota

Se si dispone di una licenza di Microsoft Microsoft 365 Security E5 o A5, Windows E5 o A5, il collegamento seguente apre la scheda Rilevamenti delle riduzioni> della superficie di attacco Microsoft Defender 365 Report>.

Scheda Configurazione

Elenca, in base al computer, lo stato aggregato delle regole asr: Off, Audit, Block.

Scheda Configurazione delle regole di riduzione della superficie di attacco e voce nella relativa pagina

Nella scheda Configurazioni è possibile verificare, in base al dispositivo, quali regole asr sono abilitate e in quale modalità selezionare il dispositivo per cui si desidera esaminare le regole asr.

Le regole di riduzione della superficie di attacco abilitate e la modalità

Il collegamento Introduzione apre l'interfaccia di amministrazione di Microsoft Endpoint Manager, in cui è possibile creare o modificare i criteri di endpoint protection per l'asr:

Voce di menu *Sicurezza endpoint nella pagina Panoramica

In Endpoint security | Panoramica, selezionare Riduzione della superficie di attacco:

Riduzione della superficie di attacco in MEM

Endpoint Security | Si apre il riquadro di riduzione della superficie di attacco:

Riquadro Riduzione della superficie di attacco per la sicurezza degli endpoint

Nota

Se si dispone di una licenza di Microsoft Defender 365 E5 (o Windows E5?), questo collegamento aprirà la scheda Configurazioni di riduzione > della superficie di attacco Microsoft Defender 365 Reports>.

Aggiungere esclusioni

Questa scheda fornisce un metodo per selezionare le entità rilevate (ad esempio, i falsi positivi) per l'esclusione. Quando vengono aggiunte esclusioni, il report fornisce un riepilogo dell'impatto previsto.

Nota

Microsoft Defender le esclusioni av antivirus vengono rispettate dalle regole asr. Vedere Configurare e convalidare le esclusioni in base all'estensione, al nome o alla posizione.

Riquadro per l'esclusione del file rilevato

Nota

Se si dispone di una licenza di Microsoft Defender 365 E5 (o Windows E5?), questo collegamento aprirà la scheda esclusioni della superficie > di attacco del Microsoft Defender 365 Report>.

Per altre informazioni sull'uso del report sulle regole asr per gestire le regole asr, vedere Report sulle regole di riduzione della superficie di attacco.

Usare PowerShell come metodo alternativo per abilitare le regole asr

È possibile usare PowerShell, in alternativa a MEM, per abilitare le regole asr in modalità di controllo per visualizzare un record di app che sarebbero state bloccate se la funzionalità fosse stata completamente abilitata. È anche possibile avere un'idea della frequenza con cui le regole verranno attivate durante l'uso normale.

Per abilitare una regola di riduzione della superficie di attacco in modalità di controllo, usare il cmdlet di PowerShell seguente:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Dove <rule ID> è un valore GUID della regola di riduzione della superficie di attacco.

Per abilitare tutte le regole di riduzione della superficie di attacco aggiunte in modalità di controllo, usare il cmdlet di PowerShell seguente:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

Mancia

Se si vuole controllare completamente il funzionamento delle regole di riduzione della superficie di attacco nell'organizzazione, è necessario usare uno strumento di gestione per distribuire questa impostazione ai dispositivi della rete o delle reti.

È anche possibile usare provider di servizi di configurazione di Criteri di gruppo, Intune o MDM (Mobile Device Management) per configurare e distribuire l'impostazione. Per altre informazioni, vedere l'articolo principale sulle regole di riduzione della superficie di attacco .

Usare Windows Visualizzatore eventi Review come alternativa alla pagina di report delle regole di riduzione della superficie di attacco nel portale di Microsoft 365 Defender

Per esaminare le app che sarebbero state bloccate, aprire Visualizzatore eventi e filtrare l'ID evento 1121 nel log microsoft-Windows-Windows Defender/operativo. Nella tabella seguente sono elencati tutti gli eventi di protezione di rete.

ID evento Descrizione
5007 Evento quando vengono modificate le impostazioni
1121 Evento quando una regola di riduzione della superficie di attacco viene attivata in modalità blocco
1122 Evento quando una regola di riduzione della superficie di attacco viene attivata in modalità di controllo

Argomenti aggiuntivi in questa raccolta di distribuzione

Guida alla distribuzione delle regole di riduzione della superficie di attacco (ASR)

Guida alla distribuzione delle regole del piano di riduzione della superficie di attacco (ASR)

Abilitare le regole per la riduzione della superficie di attacco (ARS)

Distribuire le regole per la riduzione della superficie di attacco (ARS)

Riferimento alle regole per la riduzione della superficie di attacco (ARS)