Distribuire le regole per la riduzione della superficie di attacco (ARS)

Dopo aver distribuito completamente le regole di riduzione della superficie di attacco( ASR), è fondamentale disporre di processi per monitorare e rispondere alle attività correlate all'ASR.

Gestione dei falsi positivi

I falsi positivi/negativi possono verificarsi con qualsiasi soluzione di protezione dalle minacce. I falsi positivi sono casi in cui un'entità (ad esempio un file o un processo) viene rilevata e identificata come dannosa, anche se l'entità non è effettivamente una minaccia. Al contrario, un falso negativo è un'entità che non è stata rilevata come minaccia ma è dannosa. Per altre informazioni sui falsi positivi e sui falsi negativi, vedere: Risolvere i falsi positivi/negativi in Microsoft Defender per endpoint

Tenere il passo con i report

Una revisione costante e regolare dei report è un aspetto essenziale per mantenere la distribuzione delle regole asr e tenere il passo con le nuove minacce emergenti. L'organizzazione deve avere revisioni pianificate degli eventi delle regole ASR in base a una cadenza che rimarrà aggiornata con gli eventi segnalati da regole asr. A seconda delle dimensioni dell'organizzazione, le revisioni possono essere di monitoraggio giornaliero, orario o continuo.

Ricerca

Una delle funzionalità più potenti di Microsoft 365 Defender è la ricerca avanzata. Se non si ha familiarità con la ricerca avanzata, vedere: Cercare in modo proattivo le minacce con la ricerca avanzata.

La ricerca avanzata è uno strumento di ricerca delle minacce basato su query (Linguaggio di query Kusto) che consente di esplorare fino a 30 giorni dei dati acquisiti (non elaborati) raccolti da Microsoft Defender ATP Endpoint Detection and Response (EDR) da tutti i computer. Tramite la ricerca avanzata, è possibile controllare in modo proattivo gli eventi per individuare indicatori ed entità interessanti. L'accesso flessibile ai dati facilita la ricerca non vincolata delle minacce conosciute e potenziali.

Tramite la ricerca avanzata, è possibile estrarre informazioni sulle regole asr, creare report e ottenere informazioni approfondite sul contesto di un determinato evento di controllo o blocco delle regole asr.

È possibile eseguire query sugli eventi delle regole asr dalla tabella DeviceEvents nella sezione ricerca avanzata del portale di Microsoft 365 Defender. Ad esempio, una query semplice come quella seguente può segnalare tutti gli eventi con regole ASR come origine dati per gli ultimi 30 giorni e riepilogarli in base al conteggio ActionType, che in questo caso sarà il nome in codice effettivo della regola ASR.

Gli eventi asr mostrati nel portale di ricerca avanzata vengono limitati a processi univoci visualizzati ogni ora. L'ora dell'evento ASR è la prima volta che l'evento viene visualizzato entro quell'ora.

L'esempio precedente mostra che sono stati registrati 187 eventi per AsrLsassCredentialTheft:

  • 102 per Bloccato
  • 85 per Audited
  • 2 eventi per AsrOfficeChildProcess (1 per Audited e 1 per Block)
  • 8 eventi per AsrPsexecWmiChildProcessAudited

Se vuoi concentrarti sulla regola AsrOfficeChildProcess e ottenere i dettagli sui file e i processi effettivi coinvolti, modifica il filtro per ActionType e sostituisci la riga di riepilogo con una proiezione dei campi desiderati (in questo caso sono DeviceName, FileName, FolderPath e così via).

Il vero vantaggio della ricerca avanzata è che è possibile modellare le query a proprio piacimento. Modellando la query è possibile visualizzare la storia esatta di ciò che stava accadendo, indipendentemente dal fatto che si desideri individuare qualcosa in un singolo computer o si vogliono estrarre informazioni dettagliate dall'intero ambiente.

Per altre informazioni sulle opzioni di ricerca, vedere: Demistificazione delle regole di riduzione della superficie di attacco - Parte 3.

Argomenti in questa raccolta di distribuzione

Guida alla distribuzione delle regole di riduzione della superficie di attacco (ASR)

Guida alla distribuzione delle regole del piano di riduzione della superficie di attacco (ASR)

Testare le regole per la riduzione della superficie di attacco (ARS)

Abilitare le regole per la riduzione della superficie di attacco (ARS)

Riferimento alle regole per la riduzione della superficie di attacco (ARS)