Тестирование развертывания правил сокращения направлений атак (ASR)

Эта статья является частью руководства по развертыванию правил сокращения направлений атак.

Тестирование правил сокращения направлений атак (ASR) является критически важным шагом в развертывании. Необходимо определить, будут ли какие-либо правила ASR блокировать бизнес-приложения. Начиная с небольшой контролируемой группы, вы можете ограничить потенциальные перебои в работе по мере расширения развертывания в организации.

Примечание.

Перед началом тестирования развертывания правил ASR отключите все связанные правила ASR, которые в настоящее время включены в режиме блокировать или предупреждать (если применимо). Сведения об использовании отчета для поиска включенных правил ASR см. в статье Отчеты о правилах сокращения направлений атак.

Как показано на следующей схеме, начните развертывание правил ASR с кольцом 1 (начальная небольшая пилотная группа устройств, используемых для тестирования).

Схема этапов тестирования правил ASR: правила аудита, проверка данных и настройка исключений.

Оценивайте и проверяйте правила перед развертыванием

Если у вас есть Defender для конечной точки, план 2 (который включает расширенные возможности управления уязвимостями и поиска угроз), Управление уязвимостями Microsoft Defender отображает связанные с правилами ASR рекомендации по безопасности, которые могут предоставлять общие показатели влияния (например, наблюдалась ли активность в режиме аудита на устройствах).

На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Рекомендации по управлению>экспозицией (или непосредственно на странице Рекомендации по безопасности по адресу https://security.microsoft.com/exposure-recommendations). На странице Рекомендации по безопасности выберите правило ASR, чтобы открыть всплывающее окно сведений, а затем перейдите на вкладку Устройства . Значение Влияние пользователя показывает процент устройств, которые могут принять новую политику, включающую правило в блочном режиме, не влияя на производительность.

Снимок экрана: вкладка

Примечание.

Чтобы точно оценить потенциальное влияние правила ASR перед его включением в режиме блокировки или предупреждения , необходимо просмотреть данные режима аудита и подробные отчеты, такие как отчет о правиле сокращения направлений атаки или дополнительные данные охоты.

Шаг 1. Проверка всех правил ASR в режиме аудита

Примечание.

Как описано в правилах ASR, обычно можно включить стандартные правила защиты в режиме блокировки или предупреждения без тестирования.

Как правило, включите все правила ASR в режиме аудита одновременно, чтобы можно было определить, какие правила активируются повседневными деловыми действиями. Начните с чемпионов правил ASR или устройств в кольце 1.

Правила ASR в режиме Аудит не влияют на пользователей. Но правила создают зарегистрированные события, которые можно оценить.

Если в вашей организации используется Microsoft Intune (который входит в подписки, такие как Microsoft 365 E5, или доступен как надстройка), используйте в Intune политику безопасности конечных точек Уменьшение поверхности атаки для настройки и развертывания правил ASR в режиме Аудит. Инструкции см. в статье Настройка правил и исключений ASR в Intune с помощью политик безопасности конечных точек.

Если у вас нет Intune, доступны другие методы развертывания правил ASR:

Совет

Метод развертывания, используемый для правил ASR, не влияет на данные отчетов, пока устройства зарегистрированы в Defender для конечной точки.

Шаг 2. Проверка данных правил ASR и оценка влияния

После развертывания правил ASR в режиме аудита просмотрите триггерные события, чтобы оценить их последствия и определить потенциальные исключения. Доступные методы создания отчетов зависят от вашего продукта и плана: отчет по правилам ASR и временная шкала устройства требуют Defender for Endpoint Plan 2 или Microsoft Defender для бизнеса; для расширенного поиска угроз требуется Defender for Endpoint Plan 2, а Просмотр событий Windows доступен с любым планом. Используйте один или несколько следующих методов:

В Defender для конечных точек (план 2) или Microsoft Defender для бизнеса используйте отчёт о правилах уменьшения поверхности атаки на портале Microsoft Defender. Полные сведения см. в статье Отчет о правилах сокращения направлений атак (ASR).

В Microsoft Defender for Endpoint, план 2, используйте функцию расширенного поиска, чтобы найти события правил ASR. Дополнительные сведения см. в разделе События правил ASR в разделе Расширенная охота.

В Defender для конечных точек, план 2, или Defender для бизнеса используйте временную шкалу устройства в Defender для конечных точек. Дополнительные сведения см. в разделе Временная шкала устройства Microsoft Defender для конечной точки.

В противном случае события правил ASR доступны только в средстве «Просмотр событий» Windows на локальном устройстве. Но вы можете использовать Windows Event Forwarding, чтобы централизовать сбор данных о правилах ASR.

В частности, найдите событие с идентификатором 1122 в журнале Журналы приложений и служб>Microsoft>Windows>Windows Defender>Operational (события для правил в режиме Аудит). Полный список идентификаторов событий правил ASR и подробные инструкции см. в статье Просмотр событий уменьшения поверхности атаки в Просмотре событий Windows.

Шаг 3. Настройка исключений правил ASR

После просмотра данных о правилах ASR в режиме аудита вы можете обнаружить, что некоторые правила ASR блокируют легитимные бизнес-приложения или действия (так называемые ложные срабатывания). Вы можете добавить исключения, чтобы правила ASR не могли оценивать затронутые файлы или папки.

Общие сведения о поддерживаемых типах исключений для правил ASR см. в разделе Исключения файлов и папок для правил ASR.

Если вы использовали политику безопасности конечных точек сокращения направлений атаки в Microsoft Intune для развертывания правил ASR, используйте ту же политику для настройки исключений правил ASR. Инструкции см. в статье Настройка правил и исключений ASR в Intune с помощью политик безопасности конечных точек.

Если для развертывания правил ASR использовался другой метод, используйте тот же метод для настройки исключений правил ASR:

Совет

Исключения правил лучше, чем отключить правила или переключить их обратно в режим аудита . Воспользуйтесь преимуществами режима предупреждения в доступных правилах, чтобы ограничить прерывания без полного отключения правила. Дополнительные сведения см. в статье Режимы правил ASR.