Общие сведения о развертывании правил сокращения направлений атак
Область применения:
Области атак — это все места, где ваша организация уязвима для киберугроз и атак. Сокращение направлений атак означает защиту устройств и сети вашей организации, что позволяет злоумышленникам использовать меньше способов атак. Настройка правил сокращения направлений атак в Microsoft Defender для конечной точки может помочь.
Правила сокращения направлений атак нацелены на определенное поведение программного обеспечения, например:
- Запуск исполняемых файлов и скриптов, которые пытаются скачать или запустить файлы
- Выполнение скрытых или иным образом подозрительных сценариев
- Поведение, которое обычно не происходит во время обычной повседневной работы
Уменьшая количество различных направлений атак, вы в первую очередь можете предотвратить атаки.
Эта коллекция развертывания содержит сведения о следующих аспектах правил сокращения направлений атак:
- Требования к правилам сокращения направлений атак
- планирование развертывания правил сокращения направлений атак
- тестирование правил сокращения направлений атак
- настройка и включение правил сокращения направлений атак
- Рекомендации по сокращению направлений атак
- Правила сокращения направлений атак расширенной охоты
- Средство просмотра событий правил уменьшения направлений атаки
Действия по развертыванию правил сокращения направлений атак
Как и в случае с любой новой широкомасштабной реализацией, которая потенциально может повлиять на бизнес-операции, важно быть методичной при планировании и реализации. Тщательное планирование и развертывание правил сокращения направлений атак необходимо, чтобы обеспечить их оптимальную работу для уникальных рабочих процессов клиентов. Чтобы работать в вашей среде, необходимо тщательно планировать, тестировать, внедрять и вводить в эксплуатацию правила сокращения направлений атак.
Важное предостережение перед развертыванием
Рекомендуется включить следующие три стандартных правила защиты. Важные сведения о двух типах правил сокращения направлений атаки см. в статье Правила сокращения направлений атак по типу .
- Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe)
- Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами
- Блокировка сохраняемости с помощью подписки на события инструментария управления Windows (WMI)
Как правило, можно включить стандартные правила защиты с минимальным и не заметным воздействием на конечного пользователя. Простой способ включения стандартных правил защиты см. в статье Упрощенный стандартный параметр защиты.
Примечание.
Для клиентов, которые используют не microsoft HIPS и переходят на правила сокращения направлений атак Microsoft Defender для конечной точки, корпорация Майкрософт рекомендует запустить решение HIPS вместе с развертыванием правил сокращения направлений атак до момента перехода из режима аудита в режим блокировки. Помните, что для получения рекомендаций по исключению необходимо обратиться к поставщику антивирусной программы сторонних разработчиков.
Перед началом тестирования или включения правил сокращения направлений атак
Во время первоначальной подготовки очень важно понимать возможности систем, которые вы ввели в действие. Понимание возможностей помогает определить, какие правила сокращения направлений атак наиболее важны для защиты вашей организации. Кроме того, существует несколько предварительных требований, которые необходимо выполнить при подготовке развертывания сокращения направлений атак.
Важно!
В этом руководстве приведены образы и примеры, которые помогут вам решить, как настроить правила сокращения направлений атак. Эти образы и примеры могут не отражать оптимальные параметры конфигурации для вашей среды.
Прежде чем начать, ознакомьтесь с общими сведениями о сокращении направлений атак и о правилах уменьшения направлений атак — часть 1 . Чтобы понять области охвата и потенциальное воздействие, ознакомьтесь с текущим набором правил сокращения направлений атак. См . справочник по правилам сокращения направлений атак. Знакомясь с набором правил сокращения направлений атак, обратите внимание на сопоставления GUID для каждого правила. См . раздел Правило сокращения направлений атаки в матрицу GUID.
Правила сокращения направлений атаки — это только одна из возможностей сокращения направлений атак в Microsoft Defender для конечной точки. В этом документе подробно рассматривается эффективное развертывание правил сокращения направлений атак, чтобы остановить сложные угрозы, такие как программы-шантажисты, управляемые человеком, и другие угрозы.
Список правил сокращения направлений атак по категориям
В следующей таблице показаны правила сокращения направлений атак по категориям:
| Полиморфные угрозы | Боковое смещение & краже учетных данных | Правила приложений для повышения производительности | Правила электронной почты | Правила скриптов | Прочие правила |
|---|---|---|---|---|---|
| Блокировать выполнение исполняемых файлов, если они не соответствуют распространенности (1000 компьютеров), возрасту или условиям списка доверия | Блокировать создание процессов из команд PSExec и WMI | Запрет приложений Office на создание исполняемого содержимого | Блокировка исполняемого содержимого из почтового клиента и веб-почты | Блокирование запутанного кода JS/VBS/PS/макросов | Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными водителями [1] |
| Блокировка недоверенных и неподписанных процессов, выполняемых с USB | Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe)[2] | Запретить приложениям Office создавать дочерние процессы | Блокировать создание дочерних процессов только приложениями office для коммуникации | Запретить запуск скачаемого исполняемого содержимого в JS/VBS | |
| Использование расширенной защиты от программ-шантажистов | Блокировка сохраняемости с помощью подписки на события WMI | Запрет приложений Office от внедрения кода в другие процессы | Запретить приложению Office для коммуникации создавать дочерние процессы | ||
| Запретить Adobe Reader создавать дочерние процессы |
(1) Блокировка злоупотребления эксплуатируемыми уязвимыми подписанными драйверами теперь доступна в разделеСокращение поверхности атакс безопасностью> конечных точек.
(2) Некоторые правила сокращения направлений атаки создают значительный шум, но не блокируют функциональные возможности. Например, если вы обновляете Chrome, Chrome обращается кlsass.exe; пароли хранятся в lsass на устройстве. Однако Chrome не должен обращаться к локальному устройству lsass.exe. Если включить правило для блокировки доступа к lsass, вы увидите много событий. Эти события являются хорошими событиями, так как процесс обновления программного обеспечения не должен обращаться к lsass.exe. Использование этого правила блокирует доступ обновлений Chrome к lsass, но не блокирует обновление Chrome. Это также относится к другим приложениям, которые делают ненужные вызовы кlsass.exe. Блочный доступ к правилу lsass блокирует ненужные вызовы lsass, но не блокирует запуск приложения.
Требования к инфраструктуре сокращения направлений атак
Хотя существует несколько методов реализации правил сокращения направлений атак, это руководство основано на инфраструктуре, состоящей из
- Microsoft Entra ID
- Microsoft Intune
- Устройства с Windows 10 и Windows 11
- Лицензии Microsoft Defender для конечной точки E5 или Windows E5
Чтобы в полной мере воспользоваться преимуществами правил сокращения направлений атак и создания отчетов, рекомендуется использовать лицензию Microsoft Defender XDR E5 или Windows E5 и A5. Дополнительные сведения см. в статье Минимальные требования к Microsoft Defender для конечной точки.
Примечание.
Существует несколько методов настройки правил сокращения направлений атак. Правила сокращения направлений атак можно настроить с помощью: Microsoft Intune, PowerShell, групповой политики, Microsoft Configuration Manager (ConfigMgr), OMA-URI Intune. Если вы используете конфигурацию инфраструктуры, отличную от конфигурации, указанной в разделе Требования к инфраструктуре, дополнительные сведения о развертывании правил сокращения направлений атаки с помощью других конфигураций см. в статье Включение правил сокращения направлений атак.
Зависимости правил сокращения направлений атаки
Антивирусная программа в Microsoft Defender должна быть включена и настроена в качестве основного антивирусного решения и должна находиться в следующем режиме:
- Основное антивирусное или антивредоносное решение
- Состояние: активный режим
Антивирусная программа Microsoft Defender не должна находиться ни в одном из следующих режимов:
- Пассивный
- Пассивный режим с обнаружением и ответом конечной точки (EDR) в режиме блокировки
- Ограниченное периодическое сканирование (LPS)
- Выкл.
Дополнительные сведения см. в статье Облачная защита и антивирусная программа Microsoft Defender .
Чтобы включить правила сокращения направлений атак, необходимо включить облачную защиту (MAPS).
Антивирусная программа Microsoft Defender легко работает с облачными службами Майкрософт. Эти службы облачной защиты, также называемые Microsoft Advanced Protection Service (MAPS), повышают стандартную защиту в режиме реального времени, возможно, обеспечивая лучшую антивирусную защиту. Облачная защита имеет решающее значение для предотвращения нарушений вредоносных программ и является важным компонентом правил сокращения направлений атак. Включите облачную защиту в антивирусной программе Microsoft Defender.
Компоненты антивирусной программы Microsoft Defender должны быть актуальными версиями для правил сокращения направлений атак.
Следующие версии компонентов антивирусной программы в Microsoft Defender должны быть не более чем на две версии старше самой доступной в настоящее время версии:
- Обновление антивирусной платформы в Microsoft Defender — антивирусная платформа Microsoft Defender обновляется ежемесячно.
- Версия ядра антивирусной программы в Microsoft Defender — ядро антивирусной программы Microsoft Defender обновляется ежемесячно.
- Аналитика безопасности антивирусной программы в Microsoft Defender . Корпорация Майкрософт постоянно обновляет аналитику безопасности Microsoft Defender (также известную как, определение и сигнатура) для устранения последних угроз и уточнения логики обнаружения.
Поддержание актуальности версий антивирусной программы в Microsoft Defender помогает уменьшить количество ложноположительных результатов правил уменьшения направлений атак и улучшает возможности обнаружения антивирусной программы в Microsoft Defender. Дополнительные сведения о текущих версиях и обновлении различных компонентов антивирусной программы Microsoft Defender см. в разделе Поддержка платформы антивирусной программы Microsoft Defender.
Предостережение
Некоторые правила не работают хорошо, если неподписанные, внутренне разработанные приложения и скрипты находятся в высокой нагрузке. Если подписывание кода не применяется, развертывать правила сокращения направлений атаки сложнее.
Другие статьи в этой коллекции развертывания
Проверка правил сокращения направлений атак
Включение правил сокращения направлений атак
Ввод в эксплуатацию правил сокращения направлений атак
Справочник по правилам сокращения направлений атак
Справочные материалы
Блоги
Демистификация правил сокращения направлений атак — часть 1
Демистификация правил сокращения направлений атак — часть 2
Демистификация правил сокращения направлений атак — часть 3
Демистификация правил сокращения направлений атаки — часть 4
Сбор правил сокращения направлений атак
Обзор сокращения направлений атак
Включение правил сокращения направлений атак — альтернативные конфигурации
Справочник по правилам сокращения направлений атак
Сокращение направлений атак: вопросы и ответы
Microsoft Defender
Устранение ложных положительных/отрицательных срабатываний в Microsoft Defender для конечной точки
Облачная защита и антивирусная программа в Microsoft Defender
Включение облачной защиты в антивирусной программе Microsoft Defender
Настройка и проверка исключений на основе расширения, имени или расположения
Поддержка платформы антивирусной программы в Microsoft Defender
Обзор инвентаризации в Центре администрирования приложений Microsoft 365
Создание плана развертывания для Windows
Назначение профилей устройств в Microsoft Intune
Сайты управления
Центр администрирования Microsoft Intune
Конфигурации правил сокращения направлений атак
Исключения правил сокращения направлений атак
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.