Planowanie wdrożenia reguł zmniejszania obszaru podatnego na ataki
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
Przed przetestowaniem lub włączeniem reguł zmniejszania obszaru podatnego na ataki należy zaplanować wdrożenie. Dokładne planowanie ułatwia przetestowanie wdrożenia reguł zmniejszania obszaru ataków i wyprzedzanie wszelkich wyjątków reguł. Podczas planowania testowania reguł zmniejszania obszaru podatnego na ataki upewnij się, że zaczynasz od odpowiedniej jednostki biznesowej. Zacznij od niewielkiej grupy osób w określonej jednostce biznesowej. W ramach określonej jednostki biznesowej możesz zidentyfikować niektórych mistrzów, którzy mogą przekazywać opinie, aby ułatwić dostosowanie implementacji.
Ważna
Podczas procesu planowania, inspekcji i włączania reguł zmniejszania obszaru ataków zaleca się włączenie następujących trzech standardowych reguł ochrony. Aby uzyskać ważne informacje na temat dwóch typów reguł zmniejszania obszaru ataków, zobacz Reguły zmniejszania obszaru podatnego na ataki według typu.
- Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe)
- Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców
- Blokowanie trwałości za pomocą subskrypcji zdarzeń Instrumentacji zarządzania Windows (WMI)
Zazwyczaj można włączyć standardowe reguły ochrony z minimalnym zauważalnym wpływem na użytkownika końcowego. Aby uzyskać prostą metodę włączania standardowych reguł ochrony, zobacz: Uproszczona standardowa opcja ochrony.
Rozpoczynanie wdrażania reguł usługi ASR przy użyciu odpowiedniej jednostki biznesowej
Wybór jednostki biznesowej do wdrożenia reguł zmniejszania obszaru ataków zależy od takich czynników jak:
- Rozmiar jednostki biznesowej
- Dostępność mistrzów reguł zmniejszania obszaru ataków
- Dystrybucja i użycie:
- Oprogramowanie
- Foldery udostępnione
- Korzystanie ze skryptów
- Makra pakietu Office
- Inne jednostki, których dotyczą reguły zmniejszania obszaru ataków
W zależności od potrzeb biznesowych możesz zdecydować się na uwzględnienie wielu jednostek biznesowych w celu uzyskania szerokiego próbkowania oprogramowania, folderów udostępnionych, skryptów, makr itp. Możesz zdecydować się na ograniczenie zakresu pierwszego wdrożenia reguł zmniejszania obszaru ataków do jednej jednostki biznesowej. Następnie powtórz cały proces wdrażania reguł zmniejszania obszaru ataków do innych jednostek biznesowych, pojedynczo.
Identyfikowanie mistrzów reguł usługi ASR
Mistrzowie reguł zmniejszania obszaru podatnego na ataki to członkowie organizacji, którzy mogą pomóc w początkowym wdrożeniu reguł zmniejszania obszaru podatnego na ataki podczas wstępnych faz testowania i implementacji. Twoi mistrzowie to zazwyczaj pracownicy, którzy są bardziej technicznie biegli i którzy nie są wykolejone przez sporadyczne przerwy w przepływie pracy. Zaangażowanie mistrzów jest kontynuowane w ramach szerszego rozszerzania wdrażania reguł zmniejszania obszaru ataków w organizacji. Mistrzowie reguł zmniejszania obszaru podatnego na ataki muszą najpierw zapoznać się z każdym poziomem wprowadzania reguł zmniejszania obszaru ataków.
Ważne jest, aby udostępnić opinię i kanał reagowania dla mistrzów reguł zmniejszania obszaru ataków, aby otrzymywać alerty dotyczące zakłóceń w pracy związanych z regułami zmniejszania obszaru podatnego na ataki i otrzymywać komunikaty związane z wdrażaniem reguł zmniejszania obszaru podatnego na ataki.
Uzyskiwanie spisu aplikacji biznesowych i zrozumienie procesów jednostki biznesowej
Pełne zrozumienie aplikacji i procesów jednostki biznesowej używanych w całej organizacji ma kluczowe znaczenie dla pomyślnego wdrożenia reguł zmniejszania obszaru ataków. Ponadto konieczne jest zrozumienie sposobu, w jaki te aplikacje są używane w różnych jednostkach biznesowych w organizacji. Aby rozpocząć, należy uzyskać spis aplikacji zatwierdzonych do użycia w całej organizacji. Możesz użyć narzędzi, takich jak centrum administracyjne Aplikacje Microsoft 365, aby pomóc w spisie aplikacji. Zobacz: Omówienie spisu w centrum administracyjnym Aplikacje Microsoft 365.
Definiowanie ról i obowiązków zespołu reguł asr raportowania i reagowania
Jasne określenie ról i obowiązków osób odpowiedzialnych za monitorowanie i komunikowanie stanu i działania reguł zmniejszania obszaru podatnego na ataki jest podstawową działalnością konserwacji zmniejszania obszaru podatnego na ataki. Dlatego ważne jest, aby określić:
- Osoba lub zespół odpowiedzialny za zbieranie raportów
- Jak i komu są udostępniane raporty
- Jak rozwiązywana jest eskalacja dla nowo zidentyfikowanych zagrożeń lub niechcianych blokad spowodowanych przez reguły zmniejszania obszaru ataków
Typowe role i obowiązki obejmują:
- Administratorzy IT: zaimplementuj reguły zmniejszania obszaru ataków, zarządzaj wykluczeniami. Praca z różnymi jednostkami biznesowymi w aplikacjach i procesach. Składanie i udostępnianie raportów zainteresowanym stronom
- Analityk certyfikowanego centrum operacji zabezpieczeń (CSOC): odpowiedzialny za badanie procesów o wysokim priorytecie, zablokowanych w celu ustalenia, czy zagrożenie jest prawidłowe, czy nie
- Dyrektor ds. zabezpieczeń informacji (CISO): odpowiedzialny za ogólną kondycję i stan bezpieczeństwa organizacji
Wdrażanie pierścienia reguł usługi ASR
W przypadku dużych przedsiębiorstw firma Microsoft zaleca wdrożenie reguł zmniejszania obszaru podatnego na ataki w "pierścieniach". Pierścienie to grupy urządzeń, które są wizualnie reprezentowane jako okręgi koncentryczne, które promieniują na zewnątrz, jak pierścienie drzewa bez przewrócenia. Po pomyślnym wdrożeniu najbardziej wewnętrznego pierścienia można przejść do następnego pierścienia do fazy testowania. Dokładna ocena jednostek biznesowych, mistrzów reguł zmniejszania obszaru ataków, aplikacji i procesów jest niezbędna do zdefiniowania pierścieni. W większości przypadków organizacja ma pierścienie wdrażania dla etapowych wdrożeń aktualizacji systemu Windows. Możesz użyć istniejącego projektu pierścienia, aby zaimplementować reguły zmniejszania obszaru podatnego na ataki. Zobacz: Twórca plan wdrażania systemu Windows
Inne artykuły w tej kolekcji wdrożeń
Omówienie wdrażania reguł zmniejszania obszaru podatnego na ataki
Reguły zmniejszania obszaru ataków testowych
Włączanie reguł zmniejszania obszaru ataków
Operacjonalizowanie reguł zmniejszania obszaru podatnego na ataki
Dokumentacja reguł zmniejszania obszaru podatnego na ataki
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla