Planejar a implantação de regras de redução de superfície de ataque
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
Antes de testar ou habilitar regras de redução de superfície de ataque, você deve planejar sua implantação. O planejamento cuidadoso ajuda você a testar a implantação de regras de redução de superfície de ataque e a se antecipar a quaisquer exceções de regra. Ao planejar testar regras de redução de superfície de ataque, certifique-se de começar com a unidade de negócios certa. Comece com um pequeno grupo de pessoas em uma unidade de negócios específica. Você pode identificar alguns campeões em uma determinada unidade de negócios que podem fornecer comentários para ajudar a ajustar sua implementação.
Importante
Enquanto você estiver passando pelo processo de planejamento, auditoria e habilitação de regras de redução de superfície de ataque, é recomendável habilitar as três regras de proteção padrão a seguir. Consulte Regras de redução de superfície de ataque por tipo para obter detalhes importantes sobre os dois tipos de regras de redução da superfície de ataque.
- Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
- Bloquear o abuso de motoristas conectados vulneráveis explorados
- Bloquear a persistência por meio da assinatura de evento WMI (Instrumentação de Gerenciamento do Windows)
Normalmente, você pode habilitar as regras de proteção padrão com impacto mínimo perceptível para o usuário final. Para obter um método fácil para habilitar as regras de proteção padrão, consulte: opção de proteção padrão simplificada.
Iniciar a implantação de regras ASR com a unidade de negócios certa
A forma como você seleciona a unidade de negócios para implantar a implantação de regras de redução de superfície de ataque depende de fatores como:
- Tamanho da unidade de negócios
- Disponibilidade de campeões de regras de redução de superfície de ataque
- Distribuição e uso de:
- Software
- Pastas compartilhadas
- Uso de scripts
- Macros do Office
- Outras entidades afetadas por regras de redução de superfície de ataque
Dependendo das suas necessidades comerciais, você pode decidir incluir várias unidades de negócios para obter uma ampla amostragem de software, pastas compartilhadas, scripts, macros etc. Você pode decidir limitar o escopo de sua primeira distribuição de regras de redução de superfície de ataque a uma única unidade de negócios. Em seguida, repita todo o processo de distribuição de regras de redução de superfície de ataque para suas outras unidades de negócios, uma por vez.
Identificar campeões de regras ASR
Os defensores das regras de redução de superfície de ataque são membros em sua organização que podem ajudar com a distribuição das regras iniciais de redução de superfície de ataque durante as fases preliminares de teste e implementação. Seus campeões normalmente são funcionários que são mais tecnicamente adeptos, e que não são descarrilados por interrupções intermitentes no fluxo de trabalho. O envolvimento dos campeões continua durante toda a expansão mais ampla da implantação de regras de redução de superfície de ataque para sua organização. Os campeões de regras de redução de superfície de ataque são os primeiros a experimentar cada nível da distribuição de regras de redução da superfície de ataque.
É importante fornecer um canal de comentários e resposta para os defensores das regras de redução da superfície de ataque para alertá-lo para atacar interrupções de trabalho relacionadas a redução de superfície e receber comunicações relacionadas à distribuição de regras de redução de superfície de ataque.
Obter inventário de aplicativos de linha de negócios e entender os processos da unidade de negócios
Ter uma compreensão completa dos aplicativos e dos processos por unidade comercial que são usados em toda a sua organização é fundamental para uma implantação bem-sucedida de regras de redução de superfície de ataque. Além disso, é imperativo que você entenda como esses aplicativos são usados nas várias unidades de negócios da sua organização. Para começar, você deve obter um inventário dos aplicativos aprovados para uso em toda a amplitude da organização. Você pode usar ferramentas como o centro de administração Microsoft 365 Apps para ajudar a inventar aplicativos de software. Confira: Visão geral do inventário no centro de administração Microsoft 365 Apps.
Definir funções e responsabilidades de equipe de regras ASR de relatório e resposta
Claramente articular funções e responsabilidades de pessoas responsáveis por monitorar e comunicar regras de redução de superfície de ataque status e atividade é uma atividade central da manutenção da redução da superfície de ataque. Portanto, é importante determinar:
- A pessoa ou equipe responsável pela coleta de relatórios
- Como e com quem os relatórios são compartilhados
- Como a escalada é tratada para ameaças recém-identificadas ou bloqueios indesejados causados por regras de redução de superfície de ataque
Funções e responsabilidades típicas incluem:
- Administradores de TI: implementar regras de redução de superfície de ataque, gerenciar exclusões. Trabalhe com diferentes unidades de negócios em aplicativos e processos. Montagem e compartilhamento de relatórios para os stakeholders
- Analista do CSOC (Centro de Operações de Segurança Certificado): responsável por investigar processos bloqueados e de alta prioridade, para determinar se a ameaça é válida ou não
- CISO (chief information security officer): responsável pela postura de segurança geral e pela integridade da organização
Implantação do anel de regras ASR
Para grandes empresas, a Microsoft recomenda implantar regras de redução de superfície de ataque em "anéis". Anéis são grupos de dispositivos que são representados visualmente como círculos concêntricos que irradiam para fora como anéis de árvore não sobrevoados. Quando o anel mais interno for implantado com êxito, você poderá fazer a transição para o próximo anel para a fase de teste. A avaliação completa de suas unidades de negócios, os campeões de regras de redução de superfície de ataque, aplicativos e processos é imperativo para definir seus anéis. Na maioria dos casos, sua organização tem anéis de implantação para distribuições em fases de atualizações do Windows. Você pode usar o design do anel existente para implementar regras de redução de superfície de ataque. Confira: Create um plano de implantação para Windows
Outros artigos nesta coleção de implantação
Visão geral da implantação de regras de redução de superfície de ataque
Testar regras de redução de superfície de ataque
Habilitar regras da redução da superfície de ataque
Operacionalizar regras de redução de superfície de ataque
Referência de regras de redução de superfície de ataque
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de