Planear a implementação de regras de redução da superfície de ataque
Aplica-se a:
Antes de testar ou ativar as regras de redução da superfície de ataque, deve planear a implementação. O planeamento cuidadoso ajuda-o a testar a implementação de regras de redução da superfície de ataque e a antecipar-se a quaisquer exceções de regras. Ao planear testar as regras de redução da superfície de ataque, certifique-se de que começa com a unidade de negócio certa. Comece com um pequeno grupo de pessoas numa unidade empresarial específica. Pode identificar alguns campeões numa determinada unidade empresarial que podem fornecer feedback para ajudar a otimizar a sua implementação.
Importante
Enquanto estiver a passar pelo processo de planeamento, auditoria e ativação de regras de redução da superfície de ataque, recomenda-se que ative as três regras de proteção padrão seguintes. Consulte Regras de redução da superfície de ataque por tipo para obter detalhes importantes sobre os dois tipos de regras de redução da superfície de ataque.
- Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
- Bloquear abuso de condutores vulneráveis explorados
- Bloquear a persistência através da subscrição de eventos do Windows Management Instrumentation (WMI)
Normalmente, pode ativar as regras de proteção padrão com um impacto mínimo percetível para o utilizador final. Para obter um método fácil para ativar as regras de proteção padrão, veja: Opção de proteção padrão simplificada.
Iniciar a implementação das regras do ASR com a unidade de negócio certa
A forma como seleciona a unidade de negócio para implementar a implementação das regras de redução da superfície de ataque depende de fatores como:
- Tamanho da unidade de negócio
- Disponibilidade de campeões de regras de redução da superfície de ataque
- Distribuição e utilização de:
- Software
- Pastas partilhadas
- Utilização de scripts
- Macros do Office
- Outras entidades afetadas pelas regras de redução da superfície de ataque
Consoante as suas necessidades empresariais, pode optar por incluir várias unidades empresariais para obter uma amostragem abrangente de software, pastas partilhadas, scripts, macros, etc. Pode decidir limitar o âmbito da sua primeira implementação de regras de redução da superfície de ataque a uma única unidade empresarial. Em seguida, repita todo o processo de implementação de regras de redução da superfície de ataque para as outras unidades de negócio, uma de cada vez.
Identificar os campeões de regras do ASR
Os campeões das regras de redução da superfície de ataque são membros da sua organização que podem ajudar na implementação das regras iniciais de redução da superfície de ataque durante as fases preliminares de teste e implementação. Normalmente, os seus campeões são funcionários mais adeptos tecnicamente e que não são descarrilados por interrupções intermitentes do fluxo de trabalho. O envolvimento dos campeões continua ao longo da expansão mais ampla da implementação de regras de redução da superfície de ataque para a sua organização. Os seus campeões de regras de redução da superfície de ataque são os primeiros a experimentar cada nível da implementação de regras de redução da superfície de ataque.
É importante fornecer um canal de feedback e resposta para os seus campeões de regras de redução da superfície de ataque para alertá-lo para atacar as interrupções de trabalho relacionadas com a redução da superfície e receber comunicações relacionadas com a implementação de regras de redução da superfície de ataque.
Obter o inventário de aplicações de linha de negócio e compreender os processos de unidade de negócio
Ter uma compreensão completa das aplicações e dos processos por unidade empresarial que são utilizados em toda a organização é fundamental para uma implementação bem-sucedida de regras de redução da superfície de ataque. Além disso, é imperativo que compreenda como essas aplicações são utilizadas nas várias unidades empresariais da sua organização. Para começar, deve obter um inventário das aplicações aprovadas para utilização em toda a organização. Pode utilizar ferramentas como o centro de administração do Microsoft 365 Apps para ajudar a inventariar aplicações de software. Veja: Descrição geral do inventário no centro de administração do Microsoft 365 Apps.
Definir funções e responsabilidades da equipa de regras do ASR de relatórios e respostas
Articular claramente as funções e responsabilidades das pessoas responsáveis pela monitorização e comunicação das regras de redução da superfície de ataque e atividade é uma atividade fundamental da manutenção da redução da superfície de ataque. Por conseguinte, é importante determinar:
- A pessoa ou equipa responsável pela recolha de relatórios
- Como e com quem os relatórios são partilhados
- Como o escalamento é resolvido para ameaças recentemente identificadas ou bloqueios indesejados causados por regras de redução da superfície de ataque
As funções e responsabilidades típicas incluem:
- Administradores de TI: implemente regras de redução da superfície de ataque, faça a gestão de exclusões. Trabalhe com diferentes unidades de negócio em aplicações e processos. Reunir e partilhar relatórios aos intervenientes
- Analista certificado do Centro de Operações de Segurança (CSOC): responsável por investigar processos bloqueados e de alta prioridade para determinar se a ameaça é válida ou não
- Diretor de segurança de informações (CISO): responsável pela postura de segurança geral e pelo estado de funcionamento da organização
Implementação da cadência de regras do ASR
Para grandes empresas, a Microsoft recomenda a implementação de regras de redução da superfície de ataque em "anéis". Os anéis são grupos de dispositivos que são visualmente representados como círculos concêntricos que irradiam para fora como anéis de árvore que não se sobrepõem. Quando o anel mais interno for implementado com êxito, pode transitar para o anel seguinte para a fase de teste. Uma avaliação completa das suas unidades empresariais, das regras de redução da superfície de ataque, das aplicações e dos processos é imperativa para definir os anéis. Na maioria dos casos, a sua organização tem anéis de implementação para implementações faseadas de atualizações do Windows. Pode utilizar a estrutura da cadência existente para implementar regras de redução da superfície de ataque. Veja: Create um plano de implementação para o Windows
Outros artigos nesta coleção de implementação
Descrição geral da implementação das regras de redução da superfície de ataque
Testar regras de redução da superfície de ataque
Ativar regras de redução da superfície de ataque
Operacionalizar regras de redução da superfície de ataque
Referência das regras de redução da superfície de ataque
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.