Regler för minskning av attackytan (ASR): Distributionsguide

  • Gäller för: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Regler för minskning av attackytan (ASR) riktar in sig på riskfyllda programvarubeteenden på Windows-enheter som angripare ofta utnyttjar via skadlig kod (till exempel starta skript som laddar ned filer, köra fördunklade skript och mata in kod i andra processer). En introduktion till ASR-regler och deras krav finns i Översikt över regler för minskning av attackytan (ASR).

Den här guiden hjälper dig att planera, testa, implementera och hantera distributionen av ASR-regler för att effektivt stoppa avancerade hot som utpressningstrojaner som drivs av människor.

Viktigt

Den här guiden innehåller bilder och exempel som hjälper dig att bestämma hur du ska konfigurera ASR-regler. Dessa avbildningar och exempel kanske inte återspeglar de bästa konfigurationsalternativen för din miljö.

Diagram över distributionsfaserna för ASR-regler: planera, testa, aktivera och underhålla.

Viktig varning för fördistribution

Vanligtvis kan du aktivera standardskyddsreglerna i läget Blockera eller Varna utan att testa. Du bör testa andra ASR-regler i granskningsläge innan du växlar dem till läget Blockera eller Varna .

Innan du börjar

Innan du påbörjar distributionsprocessen bör du läsa följande dokumentation:

Distributionssteg

Använd följande artiklar för att planera, testa, implementera och hantera distributionen av ASR-regler:

  1. Planera distribution av ASR-regler: Fastställa infrastrukturkrav, välj affärsenheter och mästare och definiera teamroller.
  2. Testa ASR-regler: Konfigurera regler i granskningsläge , granska rapporter och lägg till undantag.
  3. Aktivera ASR-regler: Övergångsregler från granskning till blockeringsläge och expandera till andra distributionsringar.
  4. Hantera och övervaka ASR-regler: Övervaka pågående aktivitet, hantera falska positiva identifieringar och använd avancerad jakt.

Relaterat innehåll

  • Last updated on