Planear a implementação de regras de redução da superfície de ataque (ASR)

  • Aplica-se a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Este artigo faz parte do Guia de implementação das regras de redução da superfície de ataque.

Antes de testar ou ativar as regras de redução da superfície de ataque (ASR), planeie a implementação. Este artigo descreve uma metodologia de planeamento que pode ajustar para satisfazer as suas necessidades empresariais.

Diagrama dos passos de planeamento das regras do ASR: determinar anéis de implementação, identificar campeões, aplicações de inventário e definir funções de equipa.

Dica

Normalmente, pode ativar as regras de proteção padrão no modo Bloquear ou Avisar sem testar. Deve testar outras regras do ASR no Modo de auditoria antes de as mudar para o modo Bloquear ou Avisar . Para obter mais informações, veja o Guia de implementação de regras do ASR.

Requisitos de infraestrutura para o guia de implementação

Embora existam várias formas de ativar as regras do ASR, este guia de implementação baseia-se numa infraestrutura que utiliza:

  • Microsoft Entra ID
  • Microsoft Intune
  • dispositivos Windows 10 e Windows 11
  • licenças do Microsoft Defender para Ponto de Extremidade E5 ou Windows E5

Para tirar o máximo partido das regras e relatórios do ASR, utilize uma licença Microsoft 365 E5, Windows E5 ou Microsoft 365 A5. Para obter mais informações, veja Requisitos mínimos para Microsoft Defender para Ponto de Extremidade.

Observação

Se estiver a transitar de um sistema de prevenção de intrusões (HIPS) anfitrião não Microsoft para Microsoft Defender regras antivírus e ASR, execute a solução HIPS juntamente com as regras do ASR até ativar as regras no Modo de bloqueio durante a fase de implementação. Contacte o fornecedor de soluções antivírus para obter recomendações de exclusão.

Passo 1: identificar unidades empresariais

A forma como seleciona a primeira unidade de negócio a receber regras do ASR na fase de teste depende dos seguintes fatores:

  • Tamanho da unidade de negócio (mais pequeno é mais fácil de gerir)
  • Disponibilidade dos campeões de regras ASR
  • Distribuição e utilização do software afetado. Por exemplo:
    • Software
    • Pastas compartilhadas
    • Scripts
    • Macros do Office

As suas necessidades empresariais podem ditar claramente uma das seguintes opções:

  • Inclua várias unidades empresariais para obter uma amostragem abrangente de software, pastas partilhadas, scripts, macros e aplicações de linha de negócio que as regras asr podem afetar.
  • Limite o âmbito inicial a uma única unidade de negócio, resolva todos os problemas nessa unidade de negócio e, em seguida, repita a implementação para outras unidades de negócio individualmente.

Passo 2: Identificar os campeões de regras do ASR

Os campeões de regras do ASR são pessoas nas unidades de negócio afetadas que podem ajudá-lo durante as fases preliminares de teste e implementação. Normalmente, um campeão tem mais competências técnicas e não se importa com interrupções intermitentes do fluxo de trabalho. O envolvimento dos campeões continua ao longo da expansão mais ampla da implementação de regras do ASR para a sua organização. Os seus campeões de regras do ASR são os primeiros a experimentar cada nível da implementação de regras do ASR.

É importante fornecer um canal de feedback e resposta para os seus campeões de regras do ASR para alertá-lo para interrupções de trabalho e para receber comunicações de implementação de regras ASR.

Passo 3: Inventariar aplicações de linha de negócio e compreender os processos da unidade de negócio

Uma compreensão completa das aplicações e dos processos empresariais na sua organização é fundamental para uma implementação bem-sucedida das regras do ASR. É imperativo que compreenda como essas aplicações são utilizadas nas várias unidades empresariais da sua organização.

Faça o inventário das aplicações aprovadas na sua organização. Pode utilizar ferramentas como o Microsoft 365 Apps centro de administração para ajudar. Para obter mais informações, veja Descrição geral do inventário no centro de administração do Microsoft 365 Apps.

Observação

Algumas regras do ASR não funcionam bem se utilizar frequentemente scripts e aplicações não assinados e desenvolvidos internamente. É mais difícil implementar regras ASR se não impor a assinatura de código.

Passo 4: Definir funções e responsabilidades da equipa de regras do ASR de relatórios e respostas

Articular claramente as funções e responsabilidades de monitorização e comunicação da regra asr status e atividade. Por conseguinte, é importante determinar:

  • Quem é responsável pela recolha de relatórios.
  • Como e com quem os relatórios são partilhados.
  • Como escalar e resolver novas ameaças ou blocos indesejados pelas regras do ASR.

As funções e responsabilidades típicas incluem:

  • Administradores de TI: implementem regras do ASR e gerem exclusões. Trabalhe com diferentes unidades de negócio em aplicações e processos. Criar e partilhar relatórios para os intervenientes.
  • Analistas certificados do Centro de Operações de Segurança (CSOC): investigue processos bloqueados de alta prioridade.
  • Diretor de segurança de informações (CISO): responsável pela postura de segurança geral e pelo estado de funcionamento da organização.

Passo 5: Definir anéis de implementação de regras ASR

Para grandes empresas, implemente regras ASR em anéis. Define anéis através da avaliação das unidades empresariais, dos campeões de regras do ASR, das aplicações e dos processos. Depois de implementar com êxito as regras do ASR na primeira cadência, pode transitar para a cadência seguinte para a fase de teste, etc. Se já tiver definido anéis para a implementação faseada de atualizações do Windows, é provável que possa utilizar esses mesmos anéis para implementar regras asr.

Para obter mais informações sobre anéis, consulte Windows: Criar um plano de implementação.

Conteúdo relacionado

  • Last updated on