Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья является частью руководства по развертыванию правил сокращения направлений атак.
Перед тестированием или включением правил сокращения направлений атак (ASR) спланируйте развертывание. В этой статье описывается методология планирования, которую можно настроить в соответствии с бизнес-потребностями.
Совет
Как правило, стандартные правила защиты можно включить в режиме блокировать или предупреждать без тестирования. Прежде чем переключить их в режим блокировки или предупреждения, следует протестировать другие правила ASR в режиме аудита. Дополнительные сведения см. в руководстве по развертыванию правил ASR.
Требования к инфраструктуре для руководства по развертыванию
Хотя существует несколько способов включения правил ASR, это руководство по развертыванию основано на инфраструктуре, которая использует:
- Microsoft Entra ID
- Microsoft Intune
- устройства Windows 10 и Windows 11
- Microsoft Defender для конечной точки лицензий E5 или Windows E5
Чтобы в полной мере воспользоваться преимуществами правил и отчетов ASR, используйте лицензию Microsoft 365 E5, Windows E5 или Microsoft 365 A5. Дополнительные сведения см. в разделе Минимальные требования для Microsoft Defender для конечной точки.
Примечание.
Если вы переходите с системы защиты от вторжений узла сторонних разработчиков (HIPS) на Microsoft Defender правила антивирусной программы и ASR, запустите решение HIPS вместе с правилами ASR, пока не включите правила в режиме блокировки на этапе реализации. Обратитесь к поставщику антивирусных решений для получения рекомендаций по исключению.
Шаг 1. Определение подразделений
Выбор первой бизнес-единицы для получения правил ASR на этапе тестирования зависит от следующих факторов:
- Размер подразделения (меньше проще управлять)
- Доступность чемпионов правил ASR
- Распространение и использование затронутого программного обеспечения. Например, вы можете:
- Программное обеспечение
- Общие папки
- Сценарии
- Макросы Office
Ваши бизнес-потребности могут четко определять один из следующих вариантов:
- Включите несколько бизнес-подразделений, чтобы получить широкую выборку программного обеспечения, общих папок, скриптов, макросов и бизнес-приложений, на которые могут повлиять правила ASR.
- Ограничьте начальную область одним бизнес-подразделением, проработайте все проблемы в этом подразделении, а затем повторите развертывание в других подразделениях по отдельности.
Шаг 2. Определение лидеров правил ASR
Лидеры правил ASR — это люди из затронутых бизнес-подразделений, которые могут помочь вам на этапах предварительного тестирования и реализации. Как правило, чемпион имеет больше технических навыков и не возражает против периодических сбоев рабочих процессов. Участие чемпионов продолжается на протяжении всего расширения развертывания правил ASR в вашей организации. Ваши лидеры правил ASR первыми испытают каждый уровень развертывания правил ASR.
Важно предоставить канал обратной связи и ответов для лидеров правил ASR, чтобы предупредить вас о перебоях в работе и получать сообщения о развертывании правил ASR.
Шаг 3. Инвентаризация бизнес-приложений и понимание процессов подразделения
Полное понимание приложений и бизнес-процессов в организации имеет решающее значение для успешного развертывания правил ASR. Крайне важно понимать, как эти приложения используются в различных подразделениях вашей организации.
Пройдите инвентаризацию утвержденных приложений в вашей организации. Для помощи можно использовать такие средства, как центр администрирования Приложения Microsoft 365. Дополнительные сведения см. в статье Обзор инвентаризации в Центре администрирования Приложения Microsoft 365.
Примечание.
Некоторые правила ASR не работают должным образом, если вы часто используете неподписанные, внутренне разработанные приложения и скрипты. Развернуть правила ASR сложнее, если вы не применяете подписывание кода.
Шаг 4. Определение ролей и обязанностей группы правил ASR для отчетов и реагирования
Четко сформулировать роли и обязанности по мониторингу и информированию о состоянии и действиях правил ASR. Поэтому важно определить:
- Кто отвечает за сбор отчетов.
- Как и кому предоставляется общий доступ к отчетам.
- Сведения об эскалации и устранении новых угроз или нежелательных блоков с помощью правил ASR.
Типичные роли и обязанности:
- ИТ-администраторы. Реализуйте правила ASR и управляйте исключениями. Работайте с различными подразделениями по приложениям и процессам. Создавайте отчеты и делитесь ими для заинтересованных лиц.
- Сертифицированные аналитики центра управления безопасностью (CSOC): исследование высокоприоритетных заблокированных процессов.
- Главный сотрудник по информационной безопасности (CISO): отвечает за общее состояние безопасности и работоспособность организации.
Шаг 5. Определение кругов развертывания правил ASR
Для крупных предприятий разверните правила ASR в кругах. Круги определяются с помощью оценки бизнес-подразделений, лидеров правил ASR, приложений и процессов. После успешного развертывания правил ASR в первом кольце можно перейти к следующему кольцу на этапе тестирования и т. д. Если вы уже определили круги для поэтапного развертывания обновлений Windows, скорее всего, вы можете использовать эти же круги для развертывания правил ASR.
Дополнительные сведения о кругах см. в статье Windows: создание плана развертывания.
Связанные материалы
- Руководство по развертыванию правил сокращения направлений атак (СНА)
- Тестирование развертывания правил сокращения направлений атак (ASR)
- Включить правила сокращения направлений атак (СНА)
- Управление развертыванием правил сокращения направлений атак (ASR) и мониторинг их
- Ссылка на развертывание правил сокращения направлений атак (СНА)