Planera distribution av regler för minskning av attackytan
Gäller för:
Innan du testar eller aktiverar regler för minskning av attackytan bör du planera distributionen. Noggrann planering hjälper dig att testa distributionen av regler för minskning av attackytan och komma före eventuella regelundantag. När du planerar att testa regler för minskning av attackytan ska du börja med rätt affärsenhet. Börja med en liten grupp personer i en specifik affärsenhet. Du kan identifiera några mästare inom en viss affärsenhet som kan ge feedback för att finjustera implementeringen.
Viktigt
När du går igenom processen med att planera, granska och aktivera regler för minskning av attackytan rekommenderar vi att du aktiverar följande tre standardskyddsregler. Se Regler för minskning av attackytan efter typ för viktig information om de två typerna av regler för minskning av attackytan.
- Blockera stöld av autentiseringsuppgifter från undersystemet för windows lokala säkerhetsmyndighet (lsass.exe)
- Blockera missbruk av utnyttjade sårbara signerade drivrutiner
- Blockera beständighet via WMI-händelseprenumeration (Windows Management Instrumentation)
Du kan vanligtvis aktivera standardskyddsreglerna med minimal märkbar påverkan på slutanvändaren. En enkel metod för att aktivera standardskyddsregler finns i: Förenklat standardskyddsalternativ.
Starta distributionen av ASR-regler med rätt affärsenhet
Hur du väljer affärsenhet för distribution av regler för minskning av attackytan beror på faktorer som:
- Affärsenhetsstorlek
- Tillgänglighet för regler för minskning av attackytan
- Distribution och användning av:
- Programvara
- Delade mappar
- Användning av skript
- Office-makron
- Andra entiteter som påverkas av regler för minskning av attackytan
Beroende på dina affärsbehov kan du välja att inkludera flera affärsenheter för att få ett brett urval av programvara, delade mappar, skript, makron osv. Du kan välja att begränsa omfattningen för den första distributionen av regler för minskning av attackytan till en enda affärsenhet. Upprepa sedan distributionsprocessen för hela reglerna för minskning av attackytan till dina andra affärsenheter, en i taget.
Identifiera ASR-regelmästare
Regler för minskning av attackytan är medlemmar i din organisation som kan hjälpa till med den första distributionen av regler för minskning av attackytan under de preliminära test- och implementeringsfaserna. Dina mästare är vanligtvis anställda som är mer tekniskt skickliga och som inte spåras ur av tillfälliga avbrott i arbetsflödet. Mästarnas engagemang fortsätter under den bredare expansionen av distributionen av regler för minskning av attackytan till din organisation. Dina regler för minskning av attackytan är först med att uppleva varje nivå av distributionen av regler för minskning av attackytan.
Det är viktigt att tillhandahålla en feedback- och svarskanal för dina regler för minskning av attackytan för att varna dig om regelrelaterade arbetsstörningar relaterade till minskning av attackytan och få regeldistributionsrelaterad kommunikation relaterad till minskning av attackytan.
Få en inventering av verksamhetsspecifika appar och förstå affärsenhetsprocesserna
Att ha en fullständig förståelse för de program och processer per affärsenhet som används i hela organisationen är avgörande för en lyckad distribution av regler för minskning av attackytan. Dessutom är det viktigt att du förstår hur dessa appar används inom de olika affärsenheterna i din organisation. Till att börja med bör du få en inventering av de appar som är godkända för användning i hela organisationen. Du kan använda verktyg som Microsoft 365-applikationer administrationscenter för att inventera program. Se: Översikt över inventering i Microsoft 365-applikationer administrationscenter.
Definiera roller och ansvarsområden för ASR-regler för rapportering och svar
Att tydligt formulera roller och ansvarsområden för personer som ansvarar för övervakning och kommunikation av regler för minskning av attackytan är en central aktivitet i underhåll av attackytan. Därför är det viktigt att bestämma:
- Den person eller det team som ansvarar för att samla in rapporter
- Hur och med vilka rapporter delas
- Hur eskalering hanteras för nyligen identifierade hot eller oönskade blockeringar som orsakas av regler för minskning av attackytan
Vanliga roller och ansvarsområden är:
- IT-administratörer: Implementera regler för minskning av attackytan, hantera undantag. Arbeta med olika affärsenheter i appar och processer. Samla och dela rapporter till intressenter
- Certifierad CSOC-analytiker (Security Operations Center): Ansvarar för att undersöka högprioriterade, blockerade processer för att avgöra om hotet är giltigt eller inte
- CISO (Chief Information Security Officer): Ansvarig för organisationens övergripande säkerhetsstatus och hälsa
Distribution av ASR-regler
För stora företag rekommenderar Microsoft att du distribuerar regler för minskning av attackytan i "ringar". Ringar är grupper av enheter som visuellt representeras som koncentriska cirklar som utstrålar utåt som icke-överlappande trädringar. När den innersta ringen har distribuerats kan du gå över till nästa ring till testfasen. Noggrann utvärdering av dina affärsenheter, regler för minskning av attackytan, appar och processer är absolut nödvändigt för att definiera dina ringar. I de flesta fall har din organisation distributionsringar för stegvisa distributioner av Windows-uppdateringar. Du kan använda din befintliga ringdesign för att implementera regler för minskning av attackytan. Se: Skapa en distributionsplan för Windows
Andra artiklar i den här distributionssamlingen
Översikt över distribution av regler för minskning av attackytan
Testa regler för minskning av attackytan
Aktivera regler för minskning av attackytan
Operationalisera regler för minskning av attackytan
Referens för regler för minskning av attackytan
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.