Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln är en del av distributionsguiden för regler för minskning av attackytan.
Planera distributionen innan du testar eller aktiverar regler för minskning av attackytan (ASR). Den här artikeln beskriver en planeringsmetod som du kan anpassa efter dina affärsbehov.
Tips
Vanligtvis kan du aktivera standardskyddsreglerna i läget Blockera eller Varna utan att testa. Du bör testa andra ASR-regler i granskningsläge innan du växlar dem till läget Blockera eller Varna . Mer information finns i distributionsguiden för ASR-regler.
Infrastrukturkrav för distributionsguiden
Även om det finns flera sätt att aktivera ASR-regler baseras den här distributionsguiden på en infrastruktur som använder:
- Microsoft Entra ID
- Microsoft Intune
- Windows 10 och Windows 11 enheter
- Microsoft Defender för Endpoint E5- eller Windows E5-licenser
Om du vill dra full nytta av ASR-regler och rapportering använder du en licens för Microsoft 365 E5, Windows E5 eller Microsoft 365 A5. Mer information finns i Minimikrav för Microsoft Defender för Endpoint.
Obs!
Om du övergår från ett icke-Microsoft-värdskyddssystem (HIPS) till Microsoft Defender antivirus- och ASR-regler kör du HIPS-lösningen tillsammans med ASR-regler tills du aktiverar regler i blockeringsläge under implementeringsfasen. Kontakta antiviruslösningsleverantören för att få undantagsrekommendationer.
Steg 1: Identifiera affärsenheter
Hur du väljer den första affärsenheten som ska ta emot ASR-regler i testfasen beror på följande faktorer:
- Affärsenhetens storlek (mindre är enklare att hantera)
- Tillgänglighet för ASR-regelmästare
- Distribution och användning av påverkad programvara. Till exempel:
- Programvara
- Delade mappar
- Skript
- Office-makron
Dina affärsbehov kan tydligt diktera något av följande alternativ:
- Ta med flera affärsenheter för att få ett brett urval av programvara, delade mappar, skript, makron och verksamhetsspecifika appar som ASR-regler kan påverka.
- Begränsa det första omfånget till en enda affärsenhet, gå igenom alla problem i affärsenheten och upprepa sedan distributionen till andra affärsenheter individuellt.
Steg 2: Identifiera ASR-regelmästare
ASR-regelmästare är personer i de berörda affärsenheterna som kan hjälpa dig under de preliminära test- och implementeringsfaserna. Vanligtvis har en mästare mer tekniska kunskaper och har inget emot tillfälliga arbetsflödesfel. Champion engagemang fortsätter under den bredare expansionen av ASR-regler distribution till din organisation. Dina ASR-regelmästare är de första som upplever varje nivå av distributionen av ASR-regler.
Det är viktigt att ge feedback och svarskanal för dina ASR-regelmästare för att varna dig om avbrott i arbetet och ta emot distributionskommunikation med ASR-regler.
Steg 3: Inventera verksamhetsspecifika appar och förstå affärsenhetsprocesserna
En fullständig förståelse av apparna och affärsprocesserna i din organisation är avgörande för en lyckad DISTRIBUTION av ASR-regler. Det är viktigt att du förstår hur dessa appar används inom de olika affärsenheterna i din organisation.
Inventera de godkända apparna i din organisation. Du kan använda verktyg som Microsoft 365-applikationer administrationscenter för att hjälpa till. Mer information finns i Översikt över inventering i Microsoft 365-applikationer administrationscenter.
Obs!
Vissa ASR-regler fungerar inte bra om du ofta använder osignerade, internt utvecklade appar och skript. Det är svårare att distribuera ASR-regler om du inte framtvingar kodsignering.
Steg 4: Definiera roller och ansvarsområden för asr-regler för rapportering och svar
Tydligt formulera roller och ansvarsområden för övervakning och kommunikation av STATUS och aktivitet för ASR-regler. Därför är det viktigt att bestämma:
- Vem ansvarar för att samla in rapporter.
- Hur och med vilka rapporter delas.
- Så här eskalerar och hanterar du nya hot eller oönskade block i ASR-regler.
Vanliga roller och ansvarsområden är:
- IT-administratörer: Implementera ASR-regler och hantera undantag. Arbeta med olika affärsenheter i appar och processer. Skapa och dela rapporter till intressenter.
- Certifierad CSOC-analytiker (Security Operations Center): Undersök blockerade processer med hög prioritet.
- Chief Information Security Officer (CISO): Ansvarig för organisationens övergripande säkerhetsstatus och hälsa.
Steg 5: Definiera ASR-regeldistributionsringar
Distribuera ASR-regler i ringar för stora företag. Du definierar ringar genom utvärdering av dina affärsenheter, ASR-regelmästare, appar och processer. När du har distribuerat ASR-regler till den första ringen kan du gå över till nästa ring till testfasen och så vidare. Om du redan har definierat ringar för stegvis distribution av Windows-uppdateringar kan du förmodligen använda samma ringar för att distribuera ASR-regler.
Mer information om ringar finns i Windows: Skapa en distributionsplan.
Relaterat innehåll
- Regler för minskning av attackytan (ASR): Distributionsguide
- Testa distributionen av regler för minskning av attackytan (ASR)
- Aktivera regler för minskning av attackytan (ASR)
- Hantera och övervaka distributionen av regler för minskning av attackytan (ASR)
- Referens för regler för minskning av attackytan (ASR)