攻击面减少 (ASR) 规则部署指南

攻击面减少 (ASR) 规则针对 Windows 设备上的风险软件行为，攻击者通常通过恶意软件 (攻击这些行为，例如，启动下载文件的脚本、运行经过模糊处理的脚本以及将代码注入其他进程) 。 有关 ASR 规则及其要求的简介，请参阅 攻击面减少 (ASR) 规则概述。

本指南可帮助你规划、测试、实施和管理 ASR 规则部署，以有效阻止高级威胁，例如人为操作的勒索软件。

重要

本指南提供的图像和示例可帮助你决定如何配置 ASR 规则。 这些映像和示例可能无法反映环境的最佳配置选项。

部署前的重要注意事项

通常，可以在“阻止”或“警告”模式下启用标准保护规则，而无需进行测试。 在将其他 ASR 规则切换到“阻止”或“警告”模式之前，应在“审核”模式下测试这些规则。

开始之前

在开始部署过程之前，请查看以下文档：

• 减少攻击面概述
• 攻击面减少 (ASR) 规则参考

部署步骤

使用以下文章来规划、测试、实施和管理 ASR 规则部署：

1. 规划 ASR 规则部署：确定基础结构要求，选择业务部门和支持者，并定义团队角色。
2. 测试 ASR 规则：在 审核 模式下配置规则、查看报告并添加排除项。
3. 启用 ASR 规则：将规则从 审核 模式转换为 阻止 模式，并扩展到其他部署圈。
4. 管理和监视 ASR 规则：监视正在进行的活动、管理误报以及使用高级搜寻。

相关内容

• ASR) 规则概述 (攻击面减少
• 攻击面减少 (ASR) 规则参考
• 配置攻击面减少 (ASR) 规则和排除
• ASR) 规则报告 (攻击面减少
• 关于攻击面减少的常见问题解答
• 揭秘攻击面减少规则 - 第 1 部分
• 揭秘攻击面减少规则 - 第 2 部分
• 揭秘攻击面减少规则 - 第 3 部分
• 揭秘攻击面减少规则 - 第 4 部分