Planlegg distribusjon av regler for reduksjon av angrepsoverflate

Artikkel
04/26/2024

Gjelder for:

Før du tester eller aktiverer regler for reduksjon av angrepsoverflaten, bør du planlegge distribusjonen. Nøye planlegging hjelper deg med å teste distribusjonen av regler for reduksjon av angrepsoverflaten og komme i forkant av eventuelle regelunntak. Når du planlegger å teste regler for reduksjon av angrepsoverflater, må du sørge for at du starter med riktig forretningsenhet. Start med en liten gruppe personer i en bestemt forretningsenhet. Du kan identifisere noen mestere i en bestemt forretningsenhet som kan gi tilbakemelding for å bidra til å justere implementeringen.

Viktig

Mens du går gjennom prosessen med planlegging, revisjon og aktiver regler for reduksjon av angrepsoverflater, anbefales det at du aktiverer følgende tre standard beskyttelsesregler. Se regler for reduksjon av angrepsoverflate etter type for viktige detaljer om de to typene regler for reduksjon av angrepsoverflate.

Du kan vanligvis aktivere standard beskyttelsesregler med minimal merkbar innvirkning på sluttbrukeren. Hvis du vil ha en enkel metode for å aktivere standard beskyttelsesregler, kan du se: Forenklet standard beskyttelsesalternativ.

Start distribusjonen av ASR-regler med riktig forretningsenhet

Hvordan du velger forretningsenheten for å rulle ut distribusjonen av regler for reduksjon av angrepsoverflaten, avhenger av faktorer som:

Størrelsen på forretningsenheten
Tilgjengelighet av regler for reduksjon av angrepsoverflate
Distribusjon og bruk av:
- Programvare
- Delte mapper
- Bruk av skript
- Office-makroer
- Andre enheter som påvirkes av regler for reduksjon av angrepsoverflaten

Avhengig av forretningsbehovene dine, kan du velge å inkludere flere forretningsenheter for å få et bredt utvalg av programvare, delte mapper, skript, makroer osv. Du kan bestemme deg for å begrense omfanget av den første utrullingen av regler for reduksjon av angrepsoverflaten til én enkelt forretningsenhet. Deretter gjentar du utrullingsprosessen for hele utrullingsprosessen av angrepsoverflaten til de andre forretningsenhetene dine, én om gangen.

Identifiser ASR-regelvinnere

Regler for reduksjon av angrepsoverflater er medlemmer i organisasjonen som kan hjelpe deg med utrullingen av de første reglene for reduksjon av angrepsoverflaten under de foreløpige test- og implementeringsfasene. Dine mestere er vanligvis ansatte som er mer teknisk flinke, og som ikke blir avsporet av uregelmessige arbeidsflytbrudd. Mesternes engasjement fortsetter gjennom den bredere utvidelsen av distribusjon av regler for reduksjon av angrepsoverflaten til organisasjonen. Regler for reduksjon av angrepsoverflaten er først ute med å oppleve hvert nivå i utrullingen av regler for reduksjon av angrepsoverflaten.

Det er viktig å gi en tilbakemeldings- og responskanal for regler for reduksjon av angrepsoverflaten for å varsle deg om å angripe regler for overflatereduksjonsrelaterte arbeidsavbrudd og motta regler for utrulling av angrepsregler for overflatereduksjon.

Få oversikt over bransjespesifikke apper og forstå forretningsenhetsprosessene

Det å ha en full forståelse av programmene og prosessene per forretningsenhet som brukes på tvers av organisasjonen, er avgjørende for en vellykket distribusjon av regler for reduksjon av angrepsoverflaten. I tillegg er det viktig at du forstår hvordan disse appene brukes i de ulike forretningsenhetene i organisasjonen. For å starte bør du få en oversikt over appene som er godkjent for bruk på tvers av bredden i organisasjonen. Du kan bruke verktøy som administrasjonssenteret for Microsoft 365 Apps for å hjelpe deg med å lagre programmer. Se: Oversikt over beholdningen i administrasjonssenteret for Microsoft 365 Apps.

Definer teamroller og ansvarsområder for ASR-regler for rapportering og svar

Tydelig artikulering av roller og ansvar for personer som er ansvarlige for å overvåke og kommunisere status for reduksjon av angrepsoverflate, og aktivitet er en kjerneaktivitet for vedlikehold av angrepsoverflatereduksjon. Derfor er det viktig å fastslå:

Personen eller teamet som er ansvarlig for å samle rapporter
Hvordan og hvem rapporter deles med
Hvordan eskalering er adressert for nylig identifiserte trusler eller uønskede blokkeringer forårsaket av angrepsoverflatereduksjonsregler

Vanlige roller og ansvarsområder omfatter:

IT-administratorer: Implementer regler for reduksjon av angrepsoverflaten, administrer utelatelser. Arbeid med ulike forretningsenheter på apper og prosesser. Sette sammen og dele rapporter til interessenter
Sertifisert sikkerhetsoperasjonssenteranalytiker (CSOC): Ansvarlig for å undersøke blokkerte prosesser med høy prioritet, for å finne ut om trusselen er gyldig eller ikke
Chief information security officer (CISO): Ansvarlig for organisasjonens generelle sikkerhetsstilling og helse

Distribusjon av ASR-regler ringer

For store bedrifter anbefaler Microsoft å distribuere regler for reduksjon av angrepsoverflater i «ringer». Ringer er grupper av enheter som er visuelt representert som konsentriske sirkler som utstråler utover som ikke-overlappende treringer. Når den innerste ringen er distribuert, kan du gå over til neste ring til testfasen. Grundig vurdering av forretningsenhetene dine, regler for reduksjon av angrepsoverflater, apper og prosesser er avgjørende for å definere ringene dine. I de fleste tilfeller har organisasjonen distribusjonsringer for fasede utrullinger av Windows-oppdateringer. Du kan bruke den eksisterende ringutformingen til å implementere regler for reduksjon av angrepsoverflaten. Se: Opprett en distribusjonsplan for Windows