Планирование развертывания правил сокращения направлений атак

Статья
04/27/2024

Область применения:

Перед тестированием или включением правил сокращения направлений атак следует спланировать развертывание. Тщательное планирование помогает протестировать развертывание правил сокращения направлений атак и опередить любые исключения правил. При планировании тестирования правил сокращения направлений атак убедитесь, что вы начинаете с правильного бизнес-подразделения. Начните с небольшой группы людей в определенном подразделении. Вы можете определить некоторых лидеров в определенном бизнес-подразделении, которые могут предоставить отзывы для настройки реализации.

Важно!

Во время планирования, аудита и включения правил сокращения направлений атак рекомендуется включить следующие три стандартных правила защиты. Важные сведения о двух типах правил сокращения направлений атаки см. в статье Правила сокращения направлений атак по типу .

Как правило, можно включить стандартные правила защиты с минимальным заметным воздействием на конечного пользователя. Простой способ включения стандартных правил защиты см. в статье Упрощенный стандартный параметр защиты.

Начните развертывание правил ASR с правильным бизнес-подразделением

Выбор бизнес-подразделения для развертывания развертывания правил сокращения направлений атак зависит от таких факторов, как:

Размер подразделения
Доступность чемпионов по сокращению направлений атак
Распространение и использование:
- Программное обеспечение
- Общие папки
- Использование скриптов
- Макросы Office
- Другие сущности, затронутые правилами сокращения направлений атак

В зависимости от бизнес-потребностей вы можете включить несколько бизнес-подразделений, чтобы получить широкую выборку программного обеспечения, общих папок, скриптов, макросов и т. д. Вы можете ограничить область первого развертывания правил сокращения направлений атак одним бизнес-подразделением. Затем повторите весь процесс развертывания правил сокращения направлений атак в других подразделениях по отдельности.

Определение чемпионов правил ASR

Лидеры правил сокращения направлений атак — это члены организации, которые могут помочь с первоначальным развертыванием правил сокращения направлений атак на этапах предварительного тестирования и реализации. Ваши лидеры, как правило, сотрудники, которые более технически искусны и не сорваны периодическими сбоями рабочего потока. Участие чемпионов продолжается на протяжении всего расширения развертывания правил сокращения направлений атак в вашей организации. Ваши лидеры правил сокращения направлений атак первыми испытают каждый уровень правил сокращения направлений атаки.

Важно предоставить канал обратной связи и ответов для лидеров правил сокращения направлений атак, чтобы предупредить вас о нарушениях работы, связанных с правилами сокращения направлений атак, и получать сообщения, связанные с правилами сокращения направлений атаки.

Получение инвентаризации бизнес-приложений и понимание процессов бизнес-подразделений

Полное представление о приложениях и процессах для отдельных бизнес-подразделений, используемых в вашей организации, имеет решающее значение для успешного развертывания правил сокращения направлений атак. Кроме того, необходимо понимать, как эти приложения используются в различных подразделениях вашей организации. Для начала необходимо получить список приложений, которые утверждены для использования во всей организации. Для инвентаризации программных приложений можно использовать такие средства, как центр администрирования Приложения Microsoft 365. См. статью Обзор инвентаризации в Центре администрирования Приложения Microsoft 365.

Определение ролей и обязанностей группы правил ASR для отчетов и реагирования

Четкое формулировка ролей и обязанностей лиц, ответственных за мониторинг и информирование о состоянии и действиях правил сокращения направлений атаки, является основным действием по сокращению направлений атак. Поэтому важно определить:

Лицо или команда, ответственные за сбор отчетов
Как и кому предоставляется общий доступ к отчетам
Как решается эскалация новых выявленных угроз или нежелательных блокировок, вызванных правилами сокращения направлений атаки

Типичные роли и обязанности:

ИТ-администраторы: реализуйте правила сокращения направлений атак, управляйте исключениями. Работайте с различными подразделениями по приложениям и процессам. Сборка отчетов и предоставление общего доступа к ним заинтересованным лицам
Сертифицированный аналитик центра управления безопасностью (CSOC): отвечает за исследование высокоприоритетных, заблокированных процессов, чтобы определить, является ли угроза допустимой или нет.
Главный сотрудник по информационной безопасности (CISO): отвечает за общее состояние безопасности и работоспособность организации

Развертывание круга правил ASR

Для крупных предприятий корпорация Майкрософт рекомендует развернуть правила сокращения направлений атак в "кольцах". Кольца — это группы устройств, визуально представленные в виде концентрических кругов, которые излучаются наружу, как неперекрывающиеся круги дерева. Когда внутреннее кольцо успешно развернуто, можно перейти к следующему кольцу на этапе тестирования. Тщательная оценка бизнес-подразделений, чемпионов по правилам сокращения направлений атак, приложений и процессов является обязательным условием для определения кругов. В большинстве случаев в вашей организации есть круги развертывания для поэтапного развертывания обновлений Windows. Вы можете использовать имеющуюся структуру круга для реализации правил сокращения направлений атак. См. Create план развертывания для Windows

Другие статьи в этой коллекции развертывания

Общие сведения о развертывании правил сокращения направлений атак

Проверка правил сокращения направлений атак

Включение правил сокращения направлений атак

Ввод в эксплуатацию правил сокращения направлений атак

Справочник по правилам сокращения направлений атак

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.