Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья является частью руководства по развертыванию правил сокращения направлений атак.
Тестирование правил сокращения направлений атак (ASR) является критически важным шагом в развертывании. Необходимо определить, будут ли какие-либо правила ASR блокировать бизнес-приложения. Начиная с небольшой контролируемой группы, вы можете ограничить потенциальные перебои в работе по мере расширения развертывания в организации.
Примечание.
Перед началом тестирования развертывания правил ASR отключите все связанные правила ASR, которые в настоящее время включены в режиме блокировать или предупреждать (если применимо). Сведения об использовании отчета для поиска включенных правил ASR см. в статье Отчеты о правилах сокращения направлений атак.
Как показано на следующей схеме, начните развертывание правил ASR с кольцом 1 (начальная небольшая пилотная группа устройств, используемых для тестирования).
Оценивайте и проверяйте правила перед развертыванием
Если у вас есть Defender для конечной точки, план 2 (который включает расширенные возможности управления уязвимостями и поиска угроз), Управление уязвимостями Microsoft Defender отображает связанные с правилами ASR рекомендации по безопасности, которые могут предоставлять общие показатели влияния (например, наблюдалась ли активность в режиме аудита на устройствах).
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Рекомендации по управлению>экспозицией (или непосредственно на странице Рекомендации по безопасности по адресу https://security.microsoft.com/exposure-recommendations). На странице Рекомендации по безопасности выберите правило ASR, чтобы открыть всплывающее окно сведений, а затем перейдите на вкладку Устройства . Значение Влияние пользователя показывает процент устройств, которые могут принять новую политику, включающую правило в блочном режиме, не влияя на производительность.
Примечание.
Чтобы точно оценить потенциальное влияние правила ASR перед его включением в режиме блокировки или предупреждения , необходимо просмотреть данные режима аудита и подробные отчеты, такие как отчет о правиле сокращения направлений атаки или дополнительные данные охоты.
Шаг 1. Проверка всех правил ASR в режиме аудита
Примечание.
Как описано в правилах ASR, обычно можно включить стандартные правила защиты в режиме блокировки или предупреждения без тестирования.
Как правило, включите все правила ASR в режиме аудита одновременно, чтобы можно было определить, какие правила активируются повседневными деловыми действиями. Начните с чемпионов правил ASR или устройств в кольце 1.
Правила ASR в режиме Аудит не влияют на пользователей. Но правила создают зарегистрированные события, которые можно оценить.
Если в вашей организации используется Microsoft Intune (который входит в подписки, такие как Microsoft 365 E5, или доступен как надстройка), используйте в Intune политику безопасности конечных точек Уменьшение поверхности атаки для настройки и развертывания правил ASR в режиме Аудит. Инструкции см. в статье Настройка правил и исключений ASR в Intune с помощью политик безопасности конечных точек.
Если у вас нет Intune, доступны другие методы развертывания правил ASR:
- Microsoft Configuration Manager
- Любое решение MDM, использующее Policy CSP
- Групповая политика
- PowerShell
Совет
Метод развертывания, используемый для правил ASR, не влияет на данные отчетов, пока устройства зарегистрированы в Defender для конечной точки.
Шаг 2. Проверка данных правил ASR и оценка влияния
После развертывания правил ASR в режиме аудита просмотрите триггерные события, чтобы оценить их последствия и определить потенциальные исключения. Доступные методы создания отчетов зависят от вашего продукта и плана: отчет по правилам ASR и временная шкала устройства требуют Defender for Endpoint Plan 2 или Microsoft Defender для бизнеса; для расширенного поиска угроз требуется Defender for Endpoint Plan 2, а Просмотр событий Windows доступен с любым планом. Используйте один или несколько следующих методов:
В Defender для конечных точек (план 2) или Microsoft Defender для бизнеса используйте отчёт о правилах уменьшения поверхности атаки на портале Microsoft Defender. Полные сведения см. в статье Отчет о правилах сокращения направлений атак (ASR).
В Microsoft Defender for Endpoint, план 2, используйте функцию расширенного поиска, чтобы найти события правил ASR. Дополнительные сведения см. в разделе События правил ASR в разделе Расширенная охота.
В Defender для конечных точек, план 2, или Defender для бизнеса используйте временную шкалу устройства в Defender для конечных точек. Дополнительные сведения см. в разделе Временная шкала устройства Microsoft Defender для конечной точки.
В противном случае события правил ASR доступны только в средстве «Просмотр событий» Windows на локальном устройстве. Но вы можете использовать Windows Event Forwarding, чтобы централизовать сбор данных о правилах ASR.
В частности, найдите событие с идентификатором 1122 в журнале Журналы приложений и служб>Microsoft>Windows>Windows Defender>Operational (события для правил в режиме Аудит). Полный список идентификаторов событий правил ASR и подробные инструкции см. в статье Просмотр событий уменьшения поверхности атаки в Просмотре событий Windows.
Шаг 3. Настройка исключений правил ASR
После просмотра данных о правилах ASR в режиме аудита вы можете обнаружить, что некоторые правила ASR блокируют легитимные бизнес-приложения или действия (так называемые ложные срабатывания). Вы можете добавить исключения, чтобы правила ASR не могли оценивать затронутые файлы или папки.
Общие сведения о поддерживаемых типах исключений для правил ASR см. в разделе Исключения файлов и папок для правил ASR.
Если вы использовали политику безопасности конечных точек сокращения направлений атаки в Microsoft Intune для развертывания правил ASR, используйте ту же политику для настройки исключений правил ASR. Инструкции см. в статье Настройка правил и исключений ASR в Intune с помощью политик безопасности конечных точек.
Если для развертывания правил ASR использовался другой метод, используйте тот же метод для настройки исключений правил ASR:
- Microsoft Configuration Manager
- Групповая политика
- Любое решение MDM, использующее CSP Policy
- PowerShell
Совет
Исключения правил лучше, чем отключить правила или переключить их обратно в режим аудита . Воспользуйтесь преимуществами режима предупреждения в доступных правилах, чтобы ограничить прерывания без полного отключения правила. Дополнительные сведения см. в статье Режимы правил ASR.
Связанные материалы
- Руководство по развертыванию правил уменьшения поверхности атаки (ASR)
- Спланируйте развертывание правил уменьшения поверхности атаки (ASR)
- Включить правила уменьшения поверхности атаки (ASR)
- Управление развертыванием правил сокращения направлений атак (ASR) и мониторинг их
- Отчет о правилах сокращения направлений атак (ASR)
- Устранение неполадок с правилами сокращения направлений атак
- Справочник по правилам уменьшения поверхности атаки (ASR)