本文是 ASR) 规则部署指南 (攻击面减少的一部分。
在审核模式下测试 ASR 规则后,请从第一个部署圈开始将其转换为 “阻止 ”或 “警告” 模式。
步骤 1:将 ASR 从审核转换为阻止
在“ 审核 ”模式下确定规则的所有必需排除项后,开始将某些规则设置为 “阻止 ”或 “警告” 模式。 从触发事件最少的规则开始。 有关说明,请参阅 配置攻击面减少 (ASR) 规则和排除项。
查看 ASR 规则活动。 此外,请查看支持者的反馈。
根据需要优化排除项或创建新的排除项。
提示
规则排除比关闭规则或将其切换回 审核 模式要好。
利用可用规则中的 “警告” 模式来限制中断。 使用警告 模式可以捕获触发的事件并查看潜在的中断,而不会实际阻止用户访问, (用户可以单击警告通知) 。 有关详细信息,请参阅 ASR 规则模式。
步骤 2:将部署扩展到圈 n + 1
如果确信正确配置了环 1 的 ASR 规则,则可以将部署范围扩大到下一个环 (环 n + 1) 。
每个后续环的部署过程是:
在 审核 模式下启用 ASR 规则。
查看 ASR 规则活动。
根据需要创建排除项。
查看 ASR 规则活动并优化排除项。
将规则设置为 “阻止 模式”。
查看 ASR 规则活动。
根据需要创建排除项。
禁用有问题的规则或将其切换回 审核 模式。