Kas ir ASR (uzbrukuma virsmas samazināšana) un kā to pielietot?

  • ASR ir Microsoft Defender noteikumu kopums, kas bloķē augsta riska uzvedību, lai samazinātu uzbrukuma virsmu operētājsistēmā Windows.
  • Noteikumi var darboties bloķēšanas, auditēšanas vai brīdinājuma režīmā, un to ieviešana vienmēr jāsāk ar auditēšanu un izņēmumu pielāgošanu.
  • Tās konfigurāciju pārvalda Intune, SCCM, MDM, GPO vai PowerShell, un tās efektivitāti atbalsta citas iespējas, piemēram, WDAC, kontrolēta piekļuve mapēm un tīkla aizsardzība.
  • Visaptveroša virsmas laukuma samazināšanas stratēģija apvieno ASR ar labāko praksi aktīvu pārvaldībā, sistēmu nostiprināšanā, piekļuves kontrolē un mākoņa drošībā.
Lorena Figueredo

17 Minutos

Uzbrukuma virsmas samazināšana

Organizācijas uzbrukuma virsma pēdējos gados ir strauji pieaugusiMākoņdatošana, attālinātais darbs, SaaS, mobilās ierīces, USB, makro, API… Katrs jauns pakalpojums, ports vai lietojumprogramma ir potenciāls ieejas punkts uzbrucējam. Tāpēc Microsoft ir iekļāvis tehnoloģiju kopumu operētājsistēmās Windows 10 un Windows 11, kuru mērķis ir ierobežot programmatūras iespējas, pat ja tā šķiet likumīga. Lai samazinātu šos riskus, skatiet padomus par Uzlabojiet drošību operētājsistēmā Windows 11.

Šajā “aizsardzības arsenālā” viens no pīlāriem ir uzbrukuma virsmas samazināšanas noteikumi (ASR).Uzbrukuma virsmas samazināšanas noteikumi ir integrēti Microsoft Defender Antivirus un Defender for Endpoint. Tie nav vienkārši tradicionāls antivīruss, bet gan politikas sistēma, kas bloķē bīstamu uzvedību, pirms ļaunprogrammatūra pat ir paspējusi izpildīt savu lietderīgo slodzi. Jebkuram administratoram, kas pārvalda Windows uzņēmumā, neatkarīgi no tā, vai tas ir liels vai mazs, ir ļoti svarīgi rūpīgi izprast, kas tie ir, kā tie darbojas un kā tos izvietot, nepārkāpjot vidi. Turklāt tos ieteicams papildināt ar... būtiska drošības programmatūra kā daļu no aizsardzības stratēģijas.

Kāda ir uzbrukuma virsma un kāpēc tā ir jāsamazina?

Uzbrukuma virsma ir visu punktu kopa, caur kuriem uzbrucējs varētu mijiedarboties ar mūsu sistēmām. lai zagtu datus, izpildītu kodu vai pārvietotos horizontāli. Tas ietver fiziskus, digitālus un cilvēciskus elementus.

Fiziskajā plānāServeri, darbstacijas, tīkla ierīces, klēpjdatori, termināļi un jebkura aparatūra ar piekļuvi korporatīvajam tīklam vai sensitīviem datiem — tie visi ir iesaistīti. Nešifrēts, aizmirsts dators vai neuzraudzīta USB porta var būt efektīvāks iekļūšanas veids nekā attāla izmantošana.

Digitālajā sadaļā Mēs runājam par operētājsistēmām, biznesa lietojumprogrammām, tīmekļa pakalpojumiem, datubāzēm, galapunktiem, konteineriem, mākoņpakalpojumiem un API. Jebkura neaizlāpota ievainojamība, nepareiza konfigurācija vai atklāta saskarne ir daļa no šīs uzbrukuma virsmas, un uzbrucējs to var izmantot. Tāpēc ir svarīgi uzturēt drošības atjauninājumi dienā

Cilvēciskais faktors Papildinformācija: lietotāju konti, atļaujas, konfigurācijas kļūdas un, protams, sociālā inženierija. Pikšķerēšanas, ieganstu un ēsmas kampaņas izmanto drošības izpratnes nepilnības, nevis tehniskus trūkumus. Tāpēc apmācība un spēcīga drošības kultūra ir tikpat svarīga kā pašas tehnoloģijas, un tās jāpapildina ar identitātes risinājumiem, piemēram, Windows Hello darbam.

Uzbrukuma virsmas samazināšana nozīmē visu šo iedarbības punktu apgriešanu un nostiprināšanu.Neizmantotas programmatūras atinstalēšana, portu slēgšana, atļauju ierobežošana, tīklu segmentēšana, API pārskatīšana, mākoņa aizsardzība un tehnisko kontroles mehānismu ieviešana, lai novērstu likumīgu funkciju ļaunprātīgu izmantošanu, ir daļa no tā. Tieši šeit noder ASR, un ieteicams piemērot arī lokālās politikas. secpol.msc.

Kas ir ASR (uzbrukuma virsmas samazināšana) pakalpojumā Microsoft Defender?

ASR noteikumi pakalpojumā Microsoft Defender

ASR (uzbrukuma virsmas samazināšana) ir Microsoft Defender noteikumu kopums, kas ierobežo programmatūras darbību, kas tiek uzskatīta par augsta riska darbību.pat ja tie nāk no "uzticamām" lietojumprogrammām, piemēram, Office, pārlūkprogrammām vai e-pasta klientiem. Uzsvars nav tik daudz uz ļaunprogrammatūras signatūrām, bet gan uz likumīgu funkciju ļaunprātīgas izmantošanas novēršanu uzbrukumu veikšanai.

ASR noteikumi ir vērsti uz tipiskiem ļaunprogrammatūras uzvedības modeļiem, kā:

  • Izpildfailu vai skriptu palaišana, kas lejupielādē vai palaiž citus failusbieži vien no e-pasta, tīmekļa vai USB atmiņas ierīces.
  • Apmulsinātu vai aizdomīgu skriptu izpilde (PowerShell, JavaScript, VBScript), kas ir izplatīti bezfailu uzbrukumos.
  • Darbības, ko lietotnes neveic parastas lietošanas laikā, piemēram, Office izveidojot bērnu procesus, zādzot akreditācijas datus vai pieskaroties jutīgām sistēmas zonām.

Ir svarīgi saprast, ka dažas no šīm darbībām parādās arī likumīgā programmatūrā.Tas jo īpaši attiecas uz slikti izstrādātām vai novecojušām biznesa lietojumprogrammām. Tāpēc ASR piedāvā vairākus režīmus (bloķēšana, auditēšana, brīdinājums) un atbalsta konkrētus izņēmumus pēc faila, mapes vai pat noteikuma.

ASR ir daļa no Microsoft Defender Antivirus (dzinējs, kas integrēts operētājsistēmā Windows 10/11). To pārvalda uzlabotā veidā, izmantojot Defender for Endpoint un Microsoft 365 ekosistēmu (Intune, Configuration Manager, MDM, GPO). Lai darbotos, nav obligāti nepieciešama E5 licence, taču tā ir nepieciešama, ja vēlaties pilnu uzlabotās pārvaldības, atskaišu veidošanas un apdraudējumu novēršanas slāni.

ASR loma nulles uzticēšanās modelī

Nulles uzticēšanās pieeja sākas ar skaidru priekšnoteikumu: “pieņemiet, ka jau esat apņēmies”Tas rada nepieciešamību ierobežot jebkura incidenta ietekmi, ieviešot kontroles slāņus tīkla, identitātes un galapunktu līmenī. ASR noteikumi iederas galapunktu slānī kā preventīva kontroles dzinējs.

Tā vietā, lai gaidītu, kamēr tiek izpildīts un atklāts ļaunprātīgs binārais failsASR jau iepriekš bloķē uzbrucēju izmantotos ierastos vektorus: Office makro, kas palaiž PowerShell, nezināmus izpildāmos failus, kas lejupielādēti no e-pasta, apmulsinātus skriptus, neaizsargātus draiverus, procesus, kas palaisti no USB atmiņas utt.

Tādā veidā ASR piemēro mazāko privilēģiju principu tam, ko lietojumprogrammas var darīt.ne tikai uz to, ko lietotāji var darīt. Word joprojām paliks Word, taču tas vairs nevarēs izveidot patvaļīgus bērnu procesus, izsaukt noteiktus Win32 API no makro vai palaist lejupielādētu saturu bez kontroles.

Apvienojumā ar tīkla segmentāciju, daudzfaktoru autentifikāciju (MFA), lietojumprogrammu kontroli, tīmekļa aizsardzību un ielāpu ieviešanas labāko praksiASR palīdz ievērojami "sašaurināt" efektīvo uzbrukuma virsmu Windows darbstacijām un serveriem, kas daudzos incidentos joprojām ir vājais posms.

Uzbrukuma virsmu veidi un to saistība ar ASR

Uzbrukuma virsmas parasti tiek iedalītas trīs galvenajās kategorijās: digitālā, fiziskā un sociālā inženierija.Katram no tiem ir noteikti mērījumi, taču tie visi viens otru skar.

Digitālā uzbrukuma virsmaTas ietver tīmekļa vietnes, serverus, datubāzes, galapunktus, SaaS, mākoņpakalpojumus, API un citus. Programmatūras ievainojamības, nedrošas konfigurācijas un neaizsargāti pakalpojumi ir daļa no tā. Organizācijas parasti paļaujas uz ārējo uzbrukumu virsmu pārvaldības (EASM) rīkiem, lai nepārtraukti uzraudzītu šos resursus.

Fiziskā uzbrukuma virsmaTīkla aparatūra, lokālie serveri, lietotāju iekārtas, atmiņas ierīces utt. To samazina fiziskā kontrole (piekļuve datu centram, kamerām, slēdzenēm, plauktu aizsargiem) un skaidras politikas attiecībā uz noņemamām ierīcēm.

Sociālās inženierijas virsmaPikšķerēšanas, "vishing" un "smishing" uzbrukumi izmanto cilvēku vājības. Šeit būtiska ir darbinieku apmācība, pikšķerēšanas simulācijas un skaidra akreditācijas datu un piekļuves pārvaldības politika.

ASR galvenokārt uzbrūk digitālajai virsmai galapunktā.bet ar ietekmi uz fiziku (piemēram, bloķējot izpildāmos failus no USB) un cilvēka vektoru (apgrūtinot klikšķa uz ļaunprātīga e-pasta pārtraukšanu ar ļaunprogrammatūras izpildi).

Visatbilstošākie ASR noteikumi un to bloķējums

Microsoft uztur diezgan plašu ASR noteikumu katalogu, kas tiek paplašināts ar katru Windows 10/11 versiju.Daži no kritiskākajiem koncentrējas uz vektoriem, kas mūsdienās tiek visvairāk izmantoti:

Noteikumi, kas attiecas uz Office un produktivitātes lietojumprogrammām:

  • Bloķēt Office lietojumprogrammām iespēju veidot bērnu procesus (GUID D4F940AB-401B-4EFC-AADC-AD5F3C50688A): neļauj programmām Word, Excel u. c. palaist tādus procesus kā cmd.exe vai powershell.exe, kas ir ļoti izplatīta parādība kampaņās ar makro.
  • Neļaut Office saziņas lietojumprogrammām veidot bērnu procesusvēl vairāk nostiprinot Outlook un līdzīgas programmas.
  • Neļaut Adobe Reader ģenerēt fona procesus, lai slēgtu vēl vienu izplatītu ekspluatācijas ceļu.

Īpaši makro noteikumi:

  • Bloķēt Win32 API izsaukumus no Office makro (GUID 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B): Tas aptur vienu no visizplatītākajiem makro ļaunprogrammatūras modeļiem, kam uzbrukuma pabeigšanai ir jāizsauc kodola funkcijas vai citas bibliotēkas.
  • Bloķēt izpildāmo saturu no e-pasta vai tīmekļa pastaTas jau pašā sākumā novērš daudzus uzbrukumus, kas sākas ar ļaunprātīgu pielikumu vai saiti.

Noteikumi pret ļaunprātīgiem skriptiem:

  • Bloķēt apmulsinātu skriptu izpildigan PowerShell, gan tādās valodās kā JavaScript vai VBScript.
  • Neļaut JavaScript/VBScript skriptiem palaist lejupielādētu saturu, novēršot inficēšanās ķēdes, kuras lietotājs nepamana.

Noteikumi par sānu kustību, draiveriem un USB:

  • Bloķēt procesa izveidi no PsExec un WMI, divas klasiskas sānu kustības metodes Windows tīklos.
  • Bloķēt LSASS akreditācijas datu zādzībumazināšanas rīki, piemēram, Mimikatz.
  • Bloķēt ļaunprātīgu izmantošanu sertifikāti un vadītāju parakstineļaujot uzbrucējiem paļauties uz likumīgiem, bet kļūdainiem draiveriem.
  • Bloķēt neparakstītus vai neuzticamus procesus, kas palaisti no USB atmiņas kartes, ļoti noderīgi vidēs, kur lietotāji bieži izmanto noņemamus diskus.
  • Bloķēt pastāvīgumu, izmantojot WMI notikumu abonementus, atkārtots triks, lai noturētos sistēmā, nepiesaistot pārāk lielu uzmanību.

Ir svarīgi paturēt prātā, ka ne visi noteikumi ir vienlīdz efektīvi paši par sevi.Piemēram, noteikums "bloķēt Office bērnu procesu izveidi" attiecās tikai uz procesiem, kas palaisti, izmantojot WMI, un Microsoft bija jāiekļauj papildu specifiski noteikumi, lai aizpildītu šo nepilnību. Citi, piemēram, tas, kas bloķē Win32 API makro, ir daudz robustāki un mūsdienās grūtāk apiejami.

ASR noteikumu darbības režīmi

Kas ir ASR (uzbrukuma virsmas samazināšana) un kā to pielietot?

Katrs ASR noteikums var atrasties vienā no četriem stāvokļiem, kas nosaka tā darbību.:

  • Nav konfigurēts / AtspējotsNoteikums nedarbojas un neģenerē datus.
  • Bloķēt: aktīvais noteikums, novērš darbību un reģistrē notikumu.
  • revīzijaTas nebloķē, bet gan ieraksta to, kas notiek. tur būtu bloķēts, ideāli piemērots testēšanai.
  • Brīdinājums: bloķē, bet ļauj lietotājam apiet bloķēšanu 24 stundas, pēc tam noteikums tiek atkārtoti piemērots.

Audita režīms ir kontrolētas ieviešanas stūrakmensŠajā režīmā vispirms palaižot visus noteikumus, varat redzēt, kuras biznesa lietojumprogrammas tiks ietekmētas, cik notikumu tiek ģenerēti un kur jāievieš izņēmumi, lai izvairītos no kritisku procesu pārtraukšanas.

Brīdinājuma režīms ir paredzēts kā starpposms. Organizācijām, kas vēlas izņēmuma gadījumos piešķirt lietotājiem rīcības brīvību. Tomēr tas netiek atbalstīts visiem noteikumiem vai visos scenārijos: piemēram, ir trīs noteikumi, kas neatbalsta brīdinājumus, ja tie ir konfigurēti no Intune (lai gan tie to dara, izmantojot GPO), un vecākās Windows versijās iestatījums “Brīdināt” nozīmē “Bloķēt”.

Kad tiek aktivizēts ASR noteikums, lietotājam tiek parādīts dialoglodziņš, kas norāda, ka saturs ir bloķēts.Un, ja režīms to atļauj, varat to īslaicīgi atbloķēt. Šī pieredze ir pielāgojama, un to papildina notikumi Windows žurnālā un, ja izmantojat Defender for Endpoint, brīdinājumi portālā.

Priekšnosacījumi un saderīgās operētājsistēmas

Lai pilnībā izmantotu ASR un pārējās uzbrukuma virsmas samazināšanas iespējasIr vairākas prasības, kurām jābūt skaidrām:

Microsoft Defender pretvīrusu programmas prasības:

  • Defender vajadzētu būt jūsu galvenajam pretvīrusu līdzeklim., tas nevar būt pasīvā vai atspējotā režīmā.
  • Reāllaika aizsardzībai jābūt aktīvai.
  • Jābūt iespējotai mākonī nodrošinātai aizsardzībai un ar interneta pieslēgumu, jo daži noteikumi ir no tā atkarīgi.
  • Minimālās versijas Ieteicams brīdinājuma režīmam un citām papildu funkcijām: platforma 4.18.2008.9 un dzinējs 1.1.17400.5 vai jaunāka versija.

Operētājsistēmas līmenīASR noteikumi tiek atbalstīti dažādos Windows 10 un Windows 11 izdevumos gan profesionālā, gan uzņēmumu vidē. Lai noteikumi darbotos, Windows E5 licence nav obligāti nepieciešama, taču ir nepieciešams:

Uzlabotas pārvaldības un redzamības funkcijas:

  • Centralizēta uzraudzība un detalizēta analīze no Defender for Endpoint.
  • Atskaites un papildu konfigurācija no Microsoft Defender XDR portāla.
  • Dziļa integrācija ar uzlabotas meklēšanas un medību scenārijiem.

Ar Professional vai E3 licencēm ASR noteikumus joprojām var izmantot, taču redzamība ir ierobežota līdz lokālajiem žurnāliem (notikumu skatītāja, Defender žurnāliem) vai klienta iestatītajiem risinājumiem (piemēram, notikumu pārsūtīšana uz savu SIEM).

Kā novērtēt ASR noteikumus pirms to ieviešanas

Visu ASR noteikumu aktivizēšana režīmā "Bloķēt" vienlaikus ir lieliska recepte lietojumprogrammu darbības traucēšanai un lietotāju saniknošanai.Microsoft iesaka un dokumentē pakāpenisku pieeju, kuras pamatā ir iepriekšējs novērtējums.

Ideāls sākumpunkts ir izmantot Microsoft Defender ievainojamību pārvaldību.kur katrs ASR noteikums tiek parādīts kā drošības ieteikums. Ieteikuma informācijas panelī var redzēt aptuveno ietekmi uz lietotājiem un ierīcēm: galapunktu procentuālo daļu, kuros noteikumu varētu iespējot bloķēšanas režīmā, būtiski neapdraudot produktivitāti.

Nākamais solis ir palaist noteikumus audita režīmā.Šajā režīmā tiek reģistrēti notikumi visam, kas citādi būtu bloķēts, bet netraucējot darbību. Tas ļauj:

  • Identificējiet biznesa lietojumprogrammas, kas uzvedas “dīvaini” Bet tie ir nepieciešami.
  • Izmēriet, cik notikumu ģenerē katrs noteikums un izlemiet, vai tas ir paveicams vai arī ir pārāk daudz trokšņa.
  • Izslēgšanas stratēģijas izstrāde un pārbaude pēc faila, mapes vai procesa.

Daudzas LOB lietotnes ir rakstītas, pievēršot maz uzmanības drošībai. Un viņi var izmantot darbības, kas ir ļoti līdzīgas ļaunprogrammatūrai: apmulsinātus skriptus, papildu izpildāmos failus, neparastus draiverus utt. Audita režīms ļauj atklāt šos gadījumus, netraucējot galvenos procesus.

Izņēmumi un direktīvu kombinācijas ASR sistēmā

Izņēmumi ir būtiski, lai ASR nekļūtu par galvassāpēm.Lielākā daļa noteikumu ļauj definēt ceļus vai failus, kas netiks novērtēti, pat ja šāda darbība parasti tiktu bloķēta.

Izņēmumu pievienošana prasa lielu rūpību.:

  • Samaziniet tos līdz minimumam.vienmēr jābūt pēc iespējas konkrētākam (konkrēts izpildāmais fails, nevis visa liela mape).
  • Skaidri dokumentējiet katra izslēgšanas iemeslu. un periodiski tos pārskatīt.
  • Izvairieties no tipisku ļaunprogrammatūras atrašanās vietu izslēgšanas piemēram, lietotāju profili, pagaidu faili, lejupielādes vai e-pasta ceļi.

Vidēs, kurās tiek lietotas vairākas politikas (MDM, Intune, GPO utt.), pastāv apvienošanas loģika.Pārvaldītām ierīcēm no vairākiem profiliem var izveidot noteikumu "superkopu": nekonfliktējošas konfigurācijas tiek summētas, savukārt tās, kas konfliktē viena ar otru, tiek atmestas no apvienotās politikas.

Ja pastāv pretrunīgas MDM un Intune direktīvas, salīdzinot ar GPOGrupas politikai parasti ir prioritāte un tā tiek uzspiesta. Ir svarīgi pārskatīt hierarhiju un skaidri izlemt, kurai pārvaldības sistēmai organizācijā vajadzētu "piederēt" Defender konfigurācijai.

ASR konfigurācijas un izvietošanas metodes

Microsoft piedāvā vairākas metodes ASR noteikumu konfigurēšanai un izplatīšanai.No komandrindas līdz pat uzlabotiem mākoņportāliem — uzņēmējdarbībā ir ierasta prakse apvienot vairākus.

Ieteicamā uzņēmuma pārvaldība (Intune/konfigurācijas pārvaldnieks):

  • Intune — galapunktu drošības politikaŠī ir vēlamā metode mākoņvidē. Tā ļauj izveidot īpašus "Uzbrukuma virsmas samazināšanas noteikumu" profilus, iestatīt katra noteikuma statusu, pievienot izņēmumus un izplatīt politikas lietotāju vai ierīču grupām.
  • Intune — ierīces konfigurācijas profili (galapunktu aizsardzība): alternatīva ASR pārvaldībai plašākas aizsardzības politikas ietvaros.
  • Intune — pielāgoti OMA-URI profili: sarežģītākiem scenārijiem, kuros nepieciešams tieši izmantot Defender CSP, norādot noteikumu GUID un statusa vērtības (0 atspējot, 1 bloķēt, 2 auditēt, 6 brīdināt).
  • Microsoft konfigurācijas pārvaldnieks (SCCM): ļauj izveidot Windows Defender Exploit Guard – Attack Surface Reduction politikas, izvēlēties bloķējamos vai auditējamos noteikumus un izvietot tos ierīču kolekcijās.

Citas konfigurācijas iespējas:

  • Vispārīgs MDM izmantojot CSP ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules y AttackSurfaceReductionOnlyExclusions Izņēmumu gadījumā noteikumu GUID tiek kodēti kopā ar statusa vērtību.
  • Grupas politika (GPO)To var izdarīt, izmantojot sadaļu Administratīvās veidnes > Windows komponenti > Microsoft Defender Antivirus > Ievainojamību aizsardzība > Uzbrukuma virsmas samazināšana. Tas ļauj konfigurēt katra noteikuma statusu un konkrētu izņēmumu politiku.
  • PowerShellar cmdlet, piemēram, Set-MpPreference y Add-MpPreference Varat iespējot, auditēt, brīdināt vai atspējot noteikumus, kā arī pārvaldīt izņēmumus. Tas ir noderīgi skriptiem, vienreizējai automatizācijai vai mazām vidēm.

Mazos uzņēmumos bez Intune GPO un PowerShell joprojām ir galvenā pieeja.Lai gan Defender for Endpoint portālā nav "burvju pogas", lai ieviestu ASR noteikumus, varat izmantot centrālos GPO pakalpojumā Active Directory vai pieteikšanās skriptus ar PowerShell, lai uzturētu konsekventu konfigurāciju.

Citas uzbrukuma virsmas samazināšanas iespējas Defender platformā

ASR nav vienīgais: tā ir daļa no plašāka uzbrukuma virsmas samazināšanas kontroles kopuma. integrēts pakalpojumā Microsoft Defender galapunktu aizsardzībai.

Galvenās papildinošās spējas:

  • Lietojumprogrammu kontrole (WDAC)Tas piespiež lietojumprogrammas iegūt uzticību, pirms tās var darboties. Tas ir nākamais sarežģītības līmenis pēc ASR, jo tas nosaka, kuri binārie faili var darboties, nevis tikai to, ko tie var darīt.
  • Kontrolēta piekļuve mapēm: aizsargā galvenos direktorijus (dokumentus, darbvirsmu utt.) pret neatļautām izmaiņām, īpaši noderīgi pret izspiedējvīrusiem.
  • Ierīces vadība: pārvalda USB un citu noņemamu datu nesēju izmantošanu, lai novērstu datu noplūdi un ļaunprogrammatūru no ārējiem diskdziņiem.
  • Aizsardzība pret ielaušanos: neatkarīgi no primārā pretvīrusu līdzekļa piemēro sistēmas un procesa līmeņa mazināšanas pasākumus pret zināmām ekspluatācijas metodēm.
  • Aparatūras izolācija: aizsargā sistēmas integritāti, izmantojot drošu sāknēšanu, VBS, HVCI un pārlūkprogrammas konteinerus (piemēram, malu izolāciju).
  • Tīkla aizsardzība un tīmekļa aizsardzībaTie paplašina kontroli uz izejošo datplūsmu, ļaunprātīgiem domēniem un tīmekļa vietņu kategorijām, integrējoties ar Defender SmartScreen un tīmekļa politikām.

Šo iespēju kopīga ieviešana ļauj ievērojami samazināt uzbrukuma virsmu.Bet vienmēr ar vienu un to pašu pieeju: sākt audita režīmā, pielāgot, ieviest pārdomātus izņēmumus un tikai tad pāriet uz bloķēšanu.

ASR notikumu uzraudzība un paplašinātā meklēšana

ASR noteikumu darbības uzraudzība ir tikpat svarīga kā to iestatīšana.Saistītie notikumi tiek reģistrēti dažādos līmeņos.

Pašā galapunktāGalvenie notikumi notiek šādās vietās:

  • Microsoft-Windows-Windows Defender/Darbības versija, ar tādiem ID kā 1121 (noteikums bloķēšanas režīmā), 1122 (noteikums audita režīmā) un 5007 (konfigurācijas izmaiņas).
  • Citi specifiski ieraksti tīkla aizsardzībai, kontrolētai piekļuvei mapēm, aizsardzībai pret ievainojamībām utt., katram ar savu attiecīgo ID kopu.

Lai atvieglotu pārskatīšanu, Microsoft nodrošina pielāgotus skatus XML formātā. Šie filtri rāda tikai notikumus, kas attiecas uz ASR, tīkla aizsardzību, kontrolētu piekļuvi mapēm vai drošības mazināšanu. Tos var importēt notikumu skatītājā vai arī XML vaicājumu var kopēt tieši.

Vidēs ar Defender for Endpoint, Advanced Hunting ir lielisks sabiedrotais.Ar vaicājumiem tādās tabulās kā DeviceEvents Piemēram, visus ASR noteikumu aktivizētājus var atrast, izmantojot šādus vaicājumus:

Vaicājuma piemērs: DeviceEvents | where ActionType startswith "Asr"

Šī meklēšana ir optimizēta, lai samazinātu troksni, parādot tikai unikālus procesus stundā.Ja viens un tas pats notikums notiek vairākās ierīcēs laikā no plkst. 14:15 līdz 14:45, tiks parādīts tikai viens ieraksts ar pirmā notikuma laika zīmogu, tādējādi atvieglojot analīzi, neapberot to ar tūkstošiem atkārtotu rindu.

Labas prakses un izaicinājumi uzbrukuma virsmas samazināšanā

Uzbrukuma virsmas samazināšana ir maratons, nevis sprints, un tas ir tiešā pretrunā ar dažām iesakņojušām biznesa praksēm.Pastāv acīmredzamas problēmas un labākā prakse, kas palīdz to īstenot.

Galvenie izaicinājumi:

  • Sarežģītas atkarībasMantotas lietojumprogrammas un sistēmas, kas balstās uz novecojušiem vai nedrošiem komponentiem, kuriem ir grūti pieskarties, nesabojājot kaut ko.
  • Mantoto sistēmu integrācija kas neatbalsta jaunus drošības pasākumus vai kurām nepieciešamas nepārdomātas konfigurācijas.
  • Tehnoloģisko pārmaiņu ātrumsJaunas platformas un pakalpojumi rada jaunus vektorus, liekot pastāvīgi pārskatīt stratēģiju.
  • Resursu ierobežojumipersonāla, rīku vai budžeta trūkums, lai segtu visas darbības jomas.
  • Ietekme uz biznesa procesiemLielāka drošība bieži nozīmē lielāku berzi, un jums ir jāatrod pareizais līdzsvars.

Transversālas labas prakses:

  • Stingra aktīvu pārvaldība, ar atjauninātiem aparatūras, programmatūras un datu inventarizācijas sarakstiem, kas apzīmēti pēc kritiskuma un īpašnieka.
  • Tīkla drošība, kuras pamatā ir segmentācija un redzamībaar skaidriem noteikumiem par to, ko ar ko var apspriest, un satiksmes uzraudzību.
  • Sistēmu stiprināšanaAtinstalējiet nevajadzīgu programmatūru, atspējojiet noklusējuma funkcijas un kontus, nekavējoties lietojiet ielāpus un regulāri pārskatiet drošības iestatījumus. nostiprināt sistēmas telemetriju.
  • Stingra piekļuves kontroleIevērojot mazāko privilēģiju principu, izmantojot daudzfaktoru autentifikāciju (MFA), periodiskas atļauju pārskatīšanas un elastīgu atsaukšanu, kad kāds maina lomu vai aiziet.
  • Konfigurācijas pārvaldība ko atbalsta rīki, kas atklāj neatļautas izmaiņas, brīdina par tām un, ja iespējams, automātiski atsauc tās.

Mākoņvidē īpaša uzmanība jāpievērš arī krātuves konfigurācijām, identitātēm, API un šifrēšanai.jo atļauju kļūda vai nepareizi konfigurēts nodalījums var pakļaut datus internetam, nevienam to nepamanot, līdz ir par vēlu.

Ikdienas darbībās ASR noteikumi apvienojumā ar pārējām Defender iespējām palīdz ievērojami samazināt veiksmīga uzbrukuma iespējamību.Pat ja lietotājs noklikšķina tur, kur nevajadzētu, vai sistēma pēc rūpīgas audita un regulēšanas fāzes nav pilnībā ielāpota, pareizi konfigurēta un ieviesta bloku režīmā, tie kļūst par ļoti efektīvu un relatīvi caurspīdīgu slāni gala lietotājam.

Lai gan viss šis noteikumu, GUID, režīmu un rīku tīkls sākumā var šķist ezotērisksAr strukturētu stratēģiju (novērtēt, auditēt, rūpīgi novērst ievainojamības un tikai pēc tam tās bloķēt) tas ir pilnībā pārvaldāms pat nelielām komandām. Un ieguvums ir acīmredzams: mazāka virsmas platība, kas jāuzrauga, mazāk punktu, kas jāaizsargā, un mazāka iespēja, ka atsevišķa kļūme var pāraugt nopietnā pārkāpumā.

Draiveru sertifikātu un parakstu uzlabota pārvaldība operētājsistēmā Windows
saistīto rakstu:
Draiveru sertifikātu un parakstu uzlabota pārvaldība operētājsistēmā Windows