Guida alla distribuzione delle regole del piano di riduzione della superficie di attacco (ASR)

Quando si testano le regole di riduzione della superficie di attacco (ASR), è importante iniziare con la business unit corretta. Si vuole iniziare con un piccolo gruppo di persone in una business unit specifica. È possibile identificare alcuni campioni asr all'interno di una business unit specifica che possono fornire un impatto reale sulle regole asr e ottimizzare l'implementazione.

Iniziare con la business unit corretta

La modalità di selezione della business unit per implementare la distribuzione delle regole del servizio app dipenderà da fattori quali:

  • Dimensioni della business unit
  • Disponibilità dei campioni di regole asr
  • Distribuzione e utilizzo di:
    • Software
    • Cartelle condivise
    • Uso di script
    • Macro di Office
    • Altre entità interessate dalle regole asr

A seconda delle esigenze aziendali, è possibile decidere di includere più business unit per ottenere un ampio campionamento di software, cartelle condivise, script, macro e così via. Al contrario, è possibile decidere di limitare l'ambito della prima implementazione delle regole asr a una singola business unit, quindi ripetere l'intero processo di implementazione delle regole asr alle altre business unit, una alla volta.

Identificare i campioni di regole asr

I campioni di regole asr sono membri dell'organizzazione che consentono l'implementazione iniziale delle regole asr durante le fasi preliminari di test e implementazione. I tuoi promotori sono in genere dipendenti più tecnicamente adatti e che non sono deragliati da interruzioni intermittenti del flusso di lavoro. Il coinvolgimento dei campioni continuerà durante la più ampia espansione della distribuzione delle regole asr nell'organizzazione. I campioni di regole asr saranno i primi a sperimentare ogni livello dell'implementazione delle regole asr.

È importante fornire un canale di feedback e risposta per i promotori delle regole asr per avvisare l'utente delle interruzioni del lavoro correlate alle regole asr e ricevere comunicazioni correlate all'implementazione delle regole asr.

Ottenere l'inventario delle app line-of-business e comprendere i processi delle business unit

Avere una conoscenza completa delle applicazioni e dei processi per unità aziendale usati nell'organizzazione è fondamentale per una corretta distribuzione delle regole asr. Inoltre, è fondamentale comprendere il modo in cui queste app vengono usate all'interno delle diverse business unit dell'organizzazione. Per iniziare, è necessario ottenere un inventario delle app approvate per l'uso nell'intera organizzazione. È possibile usare strumenti come l'interfaccia di amministrazione Microsoft 365 Apps per semplificare l'inventario delle applicazioni software. Vedere: Panoramica dell'inventario nell'interfaccia di amministrazione Microsoft 365 Apps.

Definire ruoli e responsabilità del team di reporting e risposta

L'articolazione chiara dei ruoli e delle responsabilità delle persone responsabili del monitoraggio e della comunicazione dello stato e dell'attività delle regole asr è un'attività fondamentale della manutenzione dell'ASR. Di conseguenza, è importante determinare:

  • La persona o il team responsabile della raccolta dei report
  • Come e con chi vengono condivisi i report
  • Come viene eseguita l'escalation per le minacce appena identificate o i blocchi indesiderati causati dalle regole asr

I ruoli e le responsabilità tipici includono:

  • Amministratori IT: implementare le regole asr, gestire le esclusioni. Usare business unit diverse in app e processi. Assemblaggio e condivisione di report agli stakeholder
  • Analista certificato del Centro operativo di sicurezza (CSOC): responsabile dell'investimento di processi bloccati con priorità elevata, per determinare se la minaccia è valida o meno
  • Chief Information Security Officer (CISO): responsabile del comportamento di sicurezza generale e dell'integrità dell'organizzazione

Distribuzione ad anello

Per le grandi aziende, Microsoft consiglia di distribuire le regole asr in "anelli". Gli anelli sono gruppi di dispositivi visivamente rappresentati come cerchi concentrici che si irradiano verso l'esterno come anelli ad albero non sovrapposti. Quando l'anello più interno viene distribuito correttamente, è possibile eseguire la transizione dell'anello successivo alla fase di test. Una valutazione approfondita delle business unit, dei campioni di regole asr, delle app e dei processi è fondamentale per definire gli anelli. Nella maggior parte dei casi, l'organizzazione avrà circuiti di distribuzione progettati per l'implementazione in più fasi degli aggiornamenti di Windows. È possibile usare la progettazione dell'anello esistente per implementare le regole asr. Vedere: Creare un piano di distribuzione per Windows

Argomenti aggiuntivi in questa raccolta di distribuzione

Guida alla distribuzione delle regole di riduzione della superficie di attacco (ASR)

Testare le regole per la riduzione della superficie di attacco (ARS)

Abilitare le regole per la riduzione della superficie di attacco (ARS)

Distribuire le regole per la riduzione della superficie di attacco (ARS)

Riferimento alle regole per la riduzione della superficie di attacco (ARS)