Panoramica delle regole di riduzione della superficie di attacco

Si applica a:

Piattaforme

  • Windows

Consiglio

Come complemento di questo articolo, vedere la guida alla configurazione dell'analizzatore della sicurezza per esaminare le procedure consigliate e imparare a rafforzare le difese, migliorare la conformità e esplorare il panorama della sicurezza informatica con fiducia. Per un'esperienza personalizzata basata sull'ambiente in uso, è possibile accedere alla guida alla configurazione automatica di Security Analyzer nel interfaccia di amministrazione di Microsoft 365.

Perché le regole di riduzione della superficie di attacco sono importanti

La superficie di attacco dell'organizzazione include tutte le posizioni in cui un utente malintenzionato potrebbe compromettere i dispositivi o le reti dell'organizzazione. Ridurre la superficie di attacco significa proteggere i dispositivi e la rete dell'organizzazione, lasciando agli utenti malintenzionati un minor numero di modi per eseguire gli attacchi. La configurazione delle regole di riduzione della superficie di attacco in Microsoft Defender per endpoint può essere utile.

Le regole di riduzione della superficie di attacco sono destinate a determinati comportamenti software, ad esempio:

  • Avvio di file eseguibili e script che tentano di scaricare o eseguire file
  • Esecuzione di script offuscati o in altro modo sospetti
  • Esecuzione di comportamenti che le app in genere non avviano durante il normale lavoro quotidiano

Tali comportamenti software sono talvolta visti in applicazioni legittime. Tuttavia, questi comportamenti sono spesso considerati rischiosi perché vengono comunemente abusati dagli utenti malintenzionati tramite malware. Le regole di riduzione della superficie di attacco possono limitare i comportamenti rischiosi basati sul software e proteggere l'organizzazione.

Per un processo end-to-end sequenziale su come gestire le regole di riduzione della superficie di attacco, vedere:

Valutare le regole prima della distribuzione

È possibile valutare in che modo una regola di riduzione della superficie di attacco potrebbe influire sulla rete aprendo la raccomandazione sulla sicurezza per tale regola in Gestione delle vulnerabilità di Microsoft Defender.

Raccomandazione per la riduzione della superficie di attacco

Nel riquadro dei dettagli della raccomandazione verificare l'impatto dell'utente per determinare quale percentuale dei dispositivi può accettare un nuovo criterio che abilita la regola in modalità di blocco senza influire negativamente sulla produttività.

Vedere Requisiti nell'articolo "Abilitare le regole di riduzione della superficie di attacco" per informazioni sui sistemi operativi supportati e altre informazioni sui requisiti.

Modalità di controllo per la valutazione

Modalità di controllo

Usare la modalità di controllo per valutare il modo in cui le regole di riduzione della superficie di attacco influiranno sull'organizzazione, se abilitate. Eseguire prima tutte le regole in modalità di controllo per comprendere in che modo influiscono sulle applicazioni line-of-business. Molte applicazioni line-of-business sono scritte con problemi di sicurezza limitati e potrebbero eseguire attività in modi simili al malware.

Esclusioni

Monitorando i dati di controllo e aggiungendo esclusioni per le applicazioni necessarie, è possibile distribuire regole di riduzione della superficie di attacco senza ridurre la produttività.

Esclusioni per regola

Per informazioni sulla configurazione delle esclusioni per regola, vedere la sezione Configurare le regole di riduzione della superficie di attacco per regola nell'articolo Testare le regole di riduzione della superficie di attacco.

Modalità di avviso per gli utenti

(NUOVO!) Prima di avvisare le funzionalità della modalità, le regole di riduzione della superficie di attacco abilitate potrebbero essere impostate su modalità di controllo o modalità blocco. Con la nuova modalità di avviso, ogni volta che il contenuto viene bloccato da una regola di riduzione della superficie di attacco, gli utenti visualizzano una finestra di dialogo che indica che il contenuto è bloccato. La finestra di dialogo offre anche all'utente un'opzione per sbloccare il contenuto. L'utente può quindi ritentare l'azione e l'operazione viene completata. Quando un utente sblocca il contenuto, il contenuto rimane sbloccato per 24 ore e quindi il blocco riprende.

La modalità di avviso consente all'organizzazione di applicare regole di riduzione della superficie di attacco senza impedire agli utenti di accedere al contenuto necessario per eseguire le proprie attività.

Requisiti per il funzionamento della modalità di avviso

La modalità di avviso è supportata nei dispositivi che eseguono le versioni seguenti di Windows:

Microsoft Defender Antivirus deve essere in esecuzione con protezione in tempo reale in modalità attiva.

Assicurarsi inoltre che siano installati Microsoft Defender aggiornamenti antivirus e antimalware.

  • Requisito minimo di rilascio della piattaforma: 4.18.2008.9
  • Requisito minimo di rilascio del motore: 1.1.17400.5

Per altre informazioni e per ottenere gli aggiornamenti, vedere Aggiornamento per Microsoft Defender piattaforma antimalware.

Casi in cui la modalità di avviso non è supportata

La modalità di avviso non è supportata per tre regole di riduzione della superficie di attacco quando vengono configurate in Microsoft Intune. Se si usa Criteri di gruppo per configurare le regole di riduzione della superficie di attacco, è supportata la modalità di avviso. Le tre regole che non supportano la modalità di avviso quando vengono configurate in Microsoft Intune sono le seguenti:

Inoltre, la modalità di avviso non è supportata nei dispositivi che eseguono versioni precedenti di Windows. In questi casi, le regole di riduzione della superficie di attacco configurate per l'esecuzione in modalità di avviso vengono eseguite in modalità blocco.

Notifiche e avvisi

Ogni volta che viene attivata una regola di riduzione della superficie di attacco, nel dispositivo viene visualizzata una notifica. È possibile personalizzare la notifica con i dettagli aziendali e le informazioni sul contatto.

Inoltre, quando vengono attivate determinate regole di riduzione della superficie di attacco, vengono generati avvisi.

Le notifiche e gli avvisi generati possono essere visualizzati nel portale di Microsoft Defender.

Per informazioni specifiche sulla funzionalità di notifica e avviso, vedere: Dettagli degli avvisi e delle notifiche per regola nell'articolo Informazioni di riferimento sulle regole di riduzione della superficie di attacco.

Eventi avanzati di ricerca e riduzione della superficie di attacco

È possibile usare la ricerca avanzata per visualizzare gli eventi di riduzione della superficie di attacco. Per semplificare il volume dei dati in ingresso, solo i processi univoci per ogni ora sono visualizzabili con la ricerca avanzata. Il tempo di un evento di riduzione della superficie di attacco è la prima volta che l'evento viene visualizzato entro l'ora.

Si supponga, ad esempio, che un evento di riduzione della superficie di attacco si verifichi su 10 dispositivi durante le ore 14:00. Si supponga che il primo evento si sia verificato alle 2:15 e l'ultimo alle 2:45. Con la ricerca avanzata, viene visualizzata un'istanza di tale evento (anche se si è verificato effettivamente su 10 dispositivi) e il relativo timestamp sarà 14:15.

Per altre informazioni sulla ricerca avanzata, vedere Ricerca proattiva delle minacce con ricerca avanzata.

Funzionalità di riduzione della superficie di attacco nelle versioni di Windows

È possibile impostare le regole di riduzione della superficie di attacco per i dispositivi che eseguono una delle seguenti edizioni e versioni di Windows:

Anche se le regole di riduzione della superficie di attacco non richiedono una licenza di Windows E5, se hai Windows E5, ottieni funzionalità di gestione avanzate. Le funzionalità avanzate, disponibili solo in Windows E5, includono:

Queste funzionalità avanzate non sono disponibili con una licenza di Windows Professional o Windows E3. Tuttavia, se si dispone di tali licenze, è possibile usare Visualizzatore eventi e Microsoft Defender log antivirus per esaminare gli eventi delle regole di riduzione della superficie di attacco.

Esaminare gli eventi di riduzione della superficie di attacco nel portale di Microsoft Defender

Defender per endpoint fornisce report dettagliati per eventi e blocchi come parte degli scenari di analisi degli avvisi.

È possibile eseguire query sui dati di Defender per endpoint in Microsoft Defender XDR usando la ricerca avanzata.

Ecco una query di esempio:

DeviceEvents
| where ActionType startswith 'Asr'

Esaminare gli eventi di riduzione della superficie di attacco in Windows Visualizzatore eventi

È possibile esaminare il registro eventi di Windows per visualizzare gli eventi generati dalle regole di riduzione della superficie di attacco:

  1. Scaricare il pacchetto di valutazione ed estrarre il file cfa-events.xml in una posizione facilmente accessibile nel dispositivo.

  2. Immettere le parole Visualizzatore eventi nel menu Start per aprire il Visualizzatore eventi di Windows.

  3. In Azioni selezionare Importa visualizzazione personalizzata.

  4. Selezionare il file cfa-events.xml da cui è stato estratto. In alternativa, copiare direttamente il codice XML.

  5. Selezionare OK.

È possibile creare una visualizzazione personalizzata che filtra gli eventi per visualizzare solo gli eventi seguenti, tutti correlati all'accesso controllato alle cartelle:

ID evento Descrizione
5007 Evento quando vengono modificate le impostazioni
1121 Evento quando la regola viene attivata in modalità blocco
1122 Evento quando la regola viene attivata in modalità di controllo

La "versione del motore" elencata per gli eventi di riduzione della superficie di attacco nel registro eventi viene generata da Defender per endpoint, non dal sistema operativo. Defender per endpoint è integrato con Windows 10 e Windows 11, quindi questa funzionalità funziona in tutti i dispositivi con Windows 10 o Windows 11 installati.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.