Применение правил сокращения направлений атак

  • Статья

Область применения:

Реализация правил сокращения направлений атак перемещает первый тестовый круг в включенное функциональное состояние.

Процедура реализации правил сокращения направлений атак

Шаг 1. Переход правил сокращения направлений атак с аудита на блок

  1. После определения всех исключений в режиме аудита начните устанавливать для некоторых правил сокращения направлений атак режим "блокировать", начиная с правила с наименьшим числом активированных событий. См . раздел Включение правил сокращения направлений атак.
  2. Просмотрите страницу отчетов на портале Microsoft Defender. См. статью Отчет о защите от угроз в Microsoft Defender для конечной точки. Также ознакомьтесь с отзывами от своих чемпионов.
  3. Уточняйте исключения или создавайте новые исключения по мере необходимости.
  4. Переключите проблемные правила обратно на Аудит.

Примечание.

Для проблемных правил (правил, создающих слишком много шума), лучше создать исключения, чем отключить правила или вернуться к аудиту. Вам потребуется определить, что лучше всего подходит для вашей среды.

Совет

Если это возможно, воспользуйтесь параметром режима предупреждения в правилах, чтобы ограничить перерывы. Включение правил сокращения направлений атаки в режиме предупреждения позволяет записывать события, вызванные триггерами, и просматривать их потенциальные нарушения, фактически не блокируя доступ конечных пользователей. Дополнительные сведения: Режим предупреждения для пользователей.

Как работает режим предупреждения?

Режим предупреждения фактически является инструкцией Блокировать, но с возможностью для пользователя "разблокировать" последующие выполнения заданного потока или приложения. Режим предупреждения разблокирует для каждого устройства, пользователя, файла и сочетания процессов. Сведения о режиме предупреждения хранятся локально и имеют продолжительность 24 часа.

Шаг 2. Развертывание для вызова n+ 1

Если вы уверены, что правильно настроили правила сокращения направлений атак для круга 1, вы можете расширить область развертывания до следующего круга (круг n +1).

Процесс развертывания, шаги 1–3, по сути, одинаков для каждого последующего круга:

  1. Правила тестирования в аудите
  2. Просмотр событий аудита, вызванных сокращением направлений атаки, на портале Microsoft Defender
  3. Создание исключений
  4. Проверка: уточнение, добавление или удаление исключений по мере необходимости
  5. Задайте для правил значение "блокировать"
  6. Просмотрите страницу отчетов на портале Microsoft Defender.
  7. Создание исключений.
  8. Отключите проблемные правила или переключите их обратно на аудит.

Настройка правил сокращения направлений атак

Продолжая расширять развертывание правил сокращения направлений атак, вам может потребоваться или полезно настроить включенные правила сокращения направлений атак.

Исключить файлы и папки

Вы можете исключить файлы и папки из оценки с помощью правил сокращения направлений атак. При исключении файл не блокируется, даже если правило сокращения направлений атаки обнаруживает, что файл содержит вредоносное поведение.

Например, рассмотрим правило программы-шантажиста:

Правило программы-шантажиста предназначено для того, чтобы помочь корпоративным клиентам снизить риски атак программ-шантажистов, обеспечивая непрерывность бизнес-процессов. По умолчанию правило-шантажист содержит ошибки на стороне осторожности и защиты от файлов, которые еще не достигли достаточной репутации и доверия. Чтобы еще раз подчеркнуть, правило программы-шантажиста активируется только для файлов, которые не получили достаточно положительной репутации и распространенности, на основе метрик использования миллионов наших клиентов. Как правило, блоки разрешаются самостоятельно, так как значения "репутации и доверия" каждого файла постепенно обновляются по мере увеличения использования без проблем.

В случаях, когда блоки не решаются самостоятельно, клиенты могут на свой страх и риск использовать механизм самообслуживания или функцию "списка разрешенных" на основе индикатора компрометации (МОК), чтобы самостоятельно разблокировать файлы.

Предупреждение

Исключение или разблокирование файлов или папок может привести к запуску небезопасных файлов и заражению устройств. Исключение файлов или папок может значительно снизить защиту, предоставляемую правилами сокращения направлений атак. Файлы, которые были заблокированы правилом, будут разрешены к запуску, и отчет или событие не будут записаны.

Исключение может применяться ко всем правилам, разрешающим исключения, или к определенным правилам с помощью исключений по каждому правилу. Можно указать отдельный файл, путь к папке или полное доменное имя ресурса.

Исключение применяется только при запуске исключенного приложения или службы. Например, если добавить исключение для уже запущенной службы обновлений, служба обновления продолжает активировать события до тех пор, пока служба не будет остановлена и не перезапущена.

Сокращение направлений атак поддерживает переменные среды и подстановочные знаки. Сведения об использовании подстановочных знаков см. в разделе Использование подстановочных знаков в списках исключений имени файла и папки или расширений. Если у вас возникли проблемы с правилами, обнаруживающими файлы, которые, по-моему, не должны быть обнаружены, используйте режим аудита для проверки правила.

Дополнительные сведения о каждом правиле см. в справочной статье о правилах сокращения направлений атак .

Использование групповая политика для исключения файлов и папок

  1. На компьютере управления групповыми политиками откройте консоль управления групповыми политиками. Щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите изменить.

  2. В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.

  3. Разверните дерево для компонентов> Windows Microsoft Defender Антивирусная программа> Microsoft DefenderСокращение зоны атакExploit Guard>.

  4. Дважды щелкните параметр Исключить файлы и пути из правила уменьшения направлений атаки и задайте для параметра Значение Включено. Выберите Показать и введите каждый файл или папку в столбце Имя значения . Введите 0 в столбце Значение для каждого элемента.

Предупреждение

Не используйте кавычки, так как они не поддерживаются ни для столбца Имя значения , ни для столбца Значение .

Использование PowerShell для исключения файлов и папок

  1. Введите powershell в меню «Пуск», щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора.

  2. Введите следующий командлет:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    Продолжайте использовать Add-MpPreference -AttackSurfaceReductionOnlyExclusions для добавления дополнительных папок в список.

    Важно!

    Используйте Add-MpPreference для добавления или добавления приложений в список. С помощью командлета Set-MpPreference перезаписывается существующий список.

Использование CSP MDM для исключения файлов и папок

Используйте поставщик службы конфигурации ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions для добавления исключений.

Настройка уведомлений

Вы можете настроить уведомление, если правило активируется и блокирует приложение или файл. См. статью Безопасность Windows.

Дополнительные статьи в этой коллекции развертывания

Общие сведения о развертывании правил сокращения направлений атак

Планирование развертывания правил сокращения направлений атак

Проверка правил сокращения направлений атак

Ввод в эксплуатацию правил сокращения направлений атак

Справочник по правилам сокращения направлений атак

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.