Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo faz parte do Guia de implementação das regras de redução da superfície de ataque.
Testar regras de redução da superfície de ataque (ASR) é um passo crítico na sua implementação. Tem de determinar se alguma regra do ASR irá bloquear as suas aplicações de linha de negócio. Ao começar com um grupo pequeno e controlado, pode limitar potenciais interrupções de trabalho à medida que expande a implementação em toda a sua organização.
Observação
Antes de iniciar a fase de teste da implementação das regras do ASR, desative todas as regras do ASR relacionadas que estejam atualmente ativadas no modo Bloquear ou Avisar (se aplicável). Para obter informações sobre como utilizar o relatório para encontrar regras ASR ativadas, veja Relatórios de regras de redução da superfície de ataque.
Conforme ilustrado no diagrama seguinte, inicie a implementação das regras do ASR com a cadência 1.
Avaliar e avaliar regras antes da implementação
No Defender para Endpoint (Plano 2), Gerenciamento de Vulnerabilidades do Microsoft Defender apresenta recomendações de segurança relacionadas com regras do ASR que podem fornecer indicadores de impacto de alto nível (por exemplo, se a atividade de auditoria foi observada em todos os dispositivos).
No portal Microsoft Defender em https://security.microsoft.com, aceda aRecomendações de Gestão> de exposição (ou diretamente para a página Recomendações de segurança em https://security.microsoft.com/exposure-recommendations). Na página Recomendações de segurança, selecione uma regra ASR para abrir a lista de opções de detalhes e, em seguida, selecione o separador Dispositivos . O valor Impacto do utilizador mostra a percentagem de dispositivos que podem aceitar uma nova política que ativa a regra no modo de bloqueio sem afetar negativamente a produtividade.
Observação
Para avaliar com precisão o efeito potencial de uma regra ASR antes de a ativar no modo Bloquear ou Avisar , tem de rever os dados do Modo de auditoria e relatórios detalhados, como o relatório de regra de redução da superfície de ataque ou dados de investigação avançada.
Passo 1: Testar todas as regras do ASR no Modo de auditoria
Observação
Conforme descrito anteriormente, normalmente pode ativar as regras de proteção padrão no modo Bloquear ou Avisar sem testar.
Normalmente, ative todas as regras do ASR no Modo de auditoria ao mesmo tempo, para que possa determinar que regras são acionadas pelas atividades empresariais diárias. Comece com os seus dispositivos ou campeões de regras ASR na cadência 1.
As regras do ASR no Modo de auditoria não afetam os utilizadores. No entanto, as regras geram eventos registados que pode avaliar.
Se a sua organização tiver Microsoft Intune (incluído em subscrições como Microsoft 365 E5 ou disponível como um suplemento), utilize a política de segurança de ponto final de redução da superfície de ataque no Intune para configurar e distribuir regras ASR no Modo de auditoria. Para obter instruções, veja Configure ASR rules and exclusions in Intune using endpoint security policies (Configurar regras e exclusões do ASR no Intune através de políticas de segurança de ponto final).
Se não tiver Intune, estão disponíveis outros métodos de implementação de regras ASR:
- Microsoft Configuration Manager
- Qualquer solução mdm com o CSP de Política
- Política de grupo
- PowerShell
Dica
O método de implementação que utiliza para as regras do ASR não afeta os dados de relatórios, desde que os dispositivos estejam inscritos no Defender para Endpoint.
Passo 2: Rever os dados da regra do ASR e avaliar o impacto
Depois de as regras do ASR serem implementadas no Modo de auditoria , reveja os eventos acionados para avaliar os seus efeitos e identificar potenciais exclusões com alguns ou todos os seguintes métodos:
No Plano 2 ou Microsoft Defender para Empresas do Defender para Ponto Final, utilize o relatório Regras de redução da superfície de ataque no portal do Microsoft Defender. Para obter informações completas, veja Relatório de regras de redução da superfície de ataque (ASR).
No Defender para Endpoint Plano 2, utilize Investigação avançada para localizar eventos de regras ASR. Para obter mais informações, veja Eventos de regras DO ASR na Investigação Avançada.
No Plano 2 ou Defender para Empresas do Defender para Ponto Final, utilize o dispositivo Defender para Endpoint linha do tempo. Para obter mais informações, veja Microsoft Defender para Ponto de Extremidade linha do tempo de dispositivos.
Caso contrário, os eventos de regras ASR só estão disponíveis no Windows Visualizador de Eventos no dispositivo local. No entanto, pode utilizar o Reencaminhamento de Eventos do Windows para centralizar a recolha de dados da regra ASR.
Mais concretamente, procure o ID do Evento 1122 no registo De Aplicações e Serviços>Do Microsoft>Windows>Defender>Operacional (eventos para regras no modo de Auditoria ). Para obter uma lista completa dos IDs de eventos da regra ASR e passos detalhados, consulte Ver eventos de redução da superfície de ataque no Windows Visualizador de Eventos.
Passo 3: Configurar exclusões de regras ASR
Depois de rever os dados da regra ASR a partir do Modo de auditoria , poderá constatar que algumas regras do ASR bloqueiam aplicações ou atividades empresariais legítimas (conhecidas como falsos positivos). Pode adicionar exclusões para impedir que as regras do ASR avaliem os ficheiros ou pastas afetados.
Para obter uma descrição geral dos tipos de exclusão suportados para regras ASR, veja Exclusões de ficheiros e pastas para regras ASR.
Se utilizou uma política de segurança de ponto final de redução da superfície de ataque no Microsoft Intune para implementar as regras do ASR, utilize a mesma política para configurar exclusões de regras do ASR. Para obter instruções, veja Configure ASR rules and exclusions in Intune using endpoint security policies (Configurar regras e exclusões do ASR no Intune através de políticas de segurança de ponto final).
Se utilizou um método diferente para implementar as regras do ASR, utilize o mesmo método para configurar exclusões de regras do ASR:
- Microsoft Configuration Manager
- Política de grupo
- Qualquer solução mdm com o CSP de Política
- PowerShell
Dica
As exclusões de regras são melhores do que desativar as regras ou alterá-las novamente para o Modo de auditoria . Tire partido do modo Aviso nas regras disponíveis para limitar as interrupções sem desativar totalmente a regra. Para obter mais informações, veja Modos para regras ASR.
Conteúdo relacionado
- Guia de implantação de regras de redução de superfície de ataque (ASR)
- Planear a implementação de regras de redução da superfície de ataque (ASR)
- Habilitar as regras de redução da superfície de ataque (ASR)
- Gerir e monitorizar a implementação de regras de redução da superfície de ataque (ASR)
- Relatório de regras de redução da superfície de ataque (ASR)
- Resolver problemas de regras de redução da superfície de ataque
- Referenciar de regras de redução da superfície de ataque (ASR)