Testa distributionen av regler för minskning av attackytan (ASR)

  • Gäller för: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Den här artikeln är en del av distributionsguiden för regler för minskning av attackytan.

Att testa regler för minskning av attackytan (ASR) är ett viktigt steg i distributionen. Du måste avgöra om några ASR-regler blockerar dina verksamhetsspecifika appar. Genom att börja med en liten, kontrollerad grupp kan du begränsa potentiella avbrott i arbetet när du utökar distributionen i organisationen.

Obs!

Innan du påbörjar testfasen för distributionen av ASR-regler inaktiverar du eventuella relaterade ASR-regler som för närvarande är aktiverade i läget Blockera eller Varna (om tillämpligt). Information om hur du använder rapporten för att hitta aktiverade ASR-regler finns i rapporter om regler för minskning av attackytan.

Som du ser i följande diagram börjar du distributionen av ASR-regler med ring 1.

Diagram över teststegen för ASR-regler: granskningsregler, granska data och konfigurera undantag.

Utvärdera och utvärdera regler före distribution

I Defender för Endpoint Plan 2 visar Microsoft Defender – hantering av säkerhetsrisker ASR-regelrelaterade säkerhetsrekommendationer som kan ge effektindikatorer på hög nivå (till exempel om granskningsaktivitet observerades mellan enheter).

I Microsoft Defender-portalen på https://security.microsoft.comgår du tillRekommendationer för exponeringshantering> (eller direkt till sidan Säkerhetsrekommendationerhttps://security.microsoft.com/exposure-recommendations). På sidan Säkerhetsrekommendationer väljer du en ASR-regel för att öppna den utfällbara menyn med information och väljer sedan fliken Enheter . Värdet användarpåverkan visar procentandelen enheter som kan acceptera en ny princip som aktiverar regeln i blockeringsläge utan att påverka produktiviteten negativt.

Skärmbild av fliken Enheter i en säkerhetsrekommendering för ASR-regler som visar användarpåverkan.

Obs!

För att kunna utvärdera den potentiella effekten av en ASR-regel korrekt innan du aktiverar den i läget Blockera eller Varna måste du granska granskningslägesdata och detaljerad rapportering, till exempel rapporten om regelreduktion av attackytan eller Avancerade jaktdata.

Steg 1: Testa alla ASR-regler i granskningsläge

Obs!

Som tidigare beskrivits kan du vanligtvis aktivera standardskyddsreglerna i läget Blockera eller Varna utan att testa.

Aktivera vanligtvis alla ASR-regler i granskningsläge samtidigt så att du kan avgöra vilka regler som utlöses av dagliga affärsaktiviteter. Börja med dina ASR-regelmästare eller enheter i ring 1.

ASR-regler i granskningsläge påverkar inte användare. Men reglerna genererar loggade händelser som du kan utvärdera.

Om din organisation har Microsoft Intune (ingår i prenumerationer som Microsoft 365 E5 eller tillgängligt som ett tillägg) använder du endpoint security-principen Attack surface reduction endpoint i Intune för att konfigurera och distribuera ASR-regler i granskningsläge. Anvisningar finns i Konfigurera ASR-regler och undantag i Intune med hjälp av slutpunktssäkerhetsprinciper.

Om du inte har Intune finns det andra distributionsmetoder för ASR-regler tillgängliga:

Tips

Distributionsmetoden som du använder för ASR-regler påverkar inte rapporteringsdata, så länge enheterna har registrerats i Defender för Endpoint.

Steg 2: Granska ASR-regeldata och utvärdera påverkan

När ASR-regler har distribuerats i granskningsläge granskar du de utlösta händelserna för att utvärdera deras effekter och identifiera potentiella undantag med hjälp av några eller alla av följande metoder:

I Defender för Endpoint Plan 2 eller Microsoft Defender för företag använder du rapporten Regler för minskning av attackytan i Microsoft Defender-portalen. Fullständig information finns i rapporten om regler för minskning av attackytan (ASR).

I Defender för Endpoint Plan 2 använder du Avancerad jakt för att hitta ASR-regelhändelser. Mer information finns i ASR-regelhändelser i Avancerad jakt.

I Defender för Endpoint Plan 2 eller Defender för företag använder du tidslinjen för Defender för Endpoint-enheten. Mer information finns i Microsoft Defender för Endpoint enhetens tidslinje.

Annars är ASR-regelhändelser endast tillgängliga i Windows Loggboken på den lokala enheten. Men du kan använda Vidarebefordran av Windows-händelser för att centralisera ASR-regeldatainsamlingen.

Mer specifikt letar du efter händelse-ID 1122 i program- och tjänstloggarna>Microsoft>Windows>Windows Defender>Driftlogg (händelser för regler i granskningsläge ). En fullständig lista över händelse-ID:t för ASR-regler och detaljerade steg finns i Visa händelser för minskning av attackytan i Windows Loggboken.

Steg 3: Konfigurera ASR-regelundantag

När du har granskat ASR-regeldata från granskningsläget kan det hända att vissa ASR-regler blockerar legitima affärsappar eller aktiviteter (kallas falska positiva identifieringar). Du kan lägga till undantag för att förhindra att ASR-regler utvärderar de berörda filerna eller mapparna.

En översikt över undantagstyper som stöds för ASR-regler finns i Fil- och mappundantag för ASR-regler.

Om du använde en endpoint security-princip för minskning av attackytan i Microsoft Intune för att distribuera ASR-reglerna använder du samma princip för att konfigurera UNDANTAG från ASR-regler. Anvisningar finns i Konfigurera ASR-regler och undantag i Intune med hjälp av slutpunktssäkerhetsprinciper.

Om du använde en annan metod för att distribuera ASR-reglerna använder du samma metod för att konfigurera ASR-regelundantag:

Tips

Regelundantag är bättre än att stänga av regler eller växla tillbaka dem till granskningsläge . Dra nytta av varningsläget i tillgängliga regler för att begränsa avbrott utan att inaktivera regeln helt. Mer information finns i Lägen för ASR-regler.

Relaterat innehåll

  • Last updated on