Планирование развертывания правил сокращения направлений атак (ASR)

Эта статья является частью руководства по развертыванию правил сокращения направлений атак.

Перед тестированием или включением правил сокращения направлений атак (ASR) спланируйте развертывание. В этой статье описывается методология планирования, которую можно настроить в соответствии с бизнес-потребностями.

Схема этапов планирования правил ASR: определение кругов развертывания, определение лидеров, приложений инвентаризации и определение ролей команды.

Совет

Как правило, стандартные правила защиты можно включить в режиме блокировать или предупреждать без тестирования. Прежде чем переключить их в режим блокировки или предупреждения, следует протестировать другие правила ASR в режиме аудита. Дополнительные сведения см. в руководстве по развертыванию правил ASR.

Требования к инфраструктуре для руководства по развертыванию

Хотя существует несколько способов включения правил ASR, это руководство по развертыванию основано на инфраструктуре, которая использует:

  • Microsoft Entra ID
  • Microsoft Intune
  • устройства Windows 10 и Windows 11
  • Microsoft Defender для конечной точки лицензий E5 или Windows E5

Чтобы в полной мере воспользоваться преимуществами правил и отчетов ASR, используйте лицензию Microsoft 365 E5, Windows E5 или Microsoft 365 A5. Дополнительные сведения см. в разделе Минимальные требования для Microsoft Defender для конечной точки.

Примечание.

Если вы переходите с системы защиты от вторжений узла сторонних разработчиков (HIPS) на Microsoft Defender правила антивирусной программы и ASR, запустите решение HIPS вместе с правилами ASR, пока не включите правила в режиме блокировки на этапе реализации. Обратитесь к поставщику антивирусных решений для получения рекомендаций по исключению.

Шаг 1. Определение подразделений

Выбор первой бизнес-единицы для получения правил ASR на этапе тестирования зависит от следующих факторов:

  • Размер подразделения (меньше проще управлять)
  • Доступность чемпионов правил ASR
  • Распространение и использование затронутого программного обеспечения. Например, вы можете:
    • Программное обеспечение
    • Общие папки
    • Сценарии
    • Макросы Office

Ваши бизнес-потребности могут четко определять один из следующих вариантов:

  • Включите несколько бизнес-подразделений, чтобы получить широкую выборку программного обеспечения, общих папок, скриптов, макросов и бизнес-приложений, на которые могут повлиять правила ASR.
  • Ограничьте начальную область одним бизнес-подразделением, проработайте все проблемы в этом подразделении, а затем повторите развертывание в других подразделениях по отдельности.

Шаг 2. Определение лидеров правил ASR

Лидеры правил ASR — это люди из затронутых бизнес-подразделений, которые могут помочь вам на этапах предварительного тестирования и реализации. Как правило, чемпион имеет больше технических навыков и не возражает против периодических сбоев рабочих процессов. Участие чемпионов продолжается на протяжении всего расширения развертывания правил ASR в вашей организации. Ваши лидеры правил ASR первыми испытают каждый уровень развертывания правил ASR.

Важно предоставить канал обратной связи и ответов для лидеров правил ASR, чтобы предупредить вас о перебоях в работе и получать сообщения о развертывании правил ASR.

Шаг 3. Инвентаризация бизнес-приложений и понимание процессов подразделения

Полное понимание приложений и бизнес-процессов в организации имеет решающее значение для успешного развертывания правил ASR. Крайне важно понимать, как эти приложения используются в различных подразделениях вашей организации.

Пройдите инвентаризацию утвержденных приложений в вашей организации. Для помощи можно использовать такие средства, как центр администрирования Приложения Microsoft 365. Дополнительные сведения см. в статье Обзор инвентаризации в Центре администрирования Приложения Microsoft 365.

Примечание.

Некоторые правила ASR не работают должным образом, если вы часто используете неподписанные, внутренне разработанные приложения и скрипты. Развернуть правила ASR сложнее, если вы не применяете подписывание кода.

Шаг 4. Определение ролей и обязанностей группы правил ASR для отчетов и реагирования

Четко сформулировать роли и обязанности по мониторингу и информированию о состоянии и действиях правил ASR. Поэтому важно определить:

  • Кто отвечает за сбор отчетов.
  • Как и кому предоставляется общий доступ к отчетам.
  • Сведения об эскалации и устранении новых угроз или нежелательных блоков с помощью правил ASR.

Типичные роли и обязанности:

  • ИТ-администраторы. Реализуйте правила ASR и управляйте исключениями. Работайте с различными подразделениями по приложениям и процессам. Создавайте отчеты и делитесь ими для заинтересованных лиц.
  • Сертифицированные аналитики центра управления безопасностью (CSOC): исследование высокоприоритетных заблокированных процессов.
  • Главный сотрудник по информационной безопасности (CISO): отвечает за общее состояние безопасности и работоспособность организации.

Шаг 5. Определение кругов развертывания правил ASR

Для крупных предприятий разверните правила ASR в кругах. Круги определяются с помощью оценки бизнес-подразделений, лидеров правил ASR, приложений и процессов. После успешного развертывания правил ASR в первом кольце можно перейти к следующему кольцу на этапе тестирования и т. д. Если вы уже определили круги для поэтапного развертывания обновлений Windows, скорее всего, вы можете использовать эти же круги для развертывания правил ASR.

Дополнительные сведения о кругах см. в статье Windows: создание плана развертывания.