Panoramica delle regole di riduzione della superficie di attacco

Si applica a:

Piattaforme

  • Windows

Perché le regole di riduzione della superficie di attacco sono importanti

La superficie di attacco dell'organizzazione include tutte le posizioni in cui un utente malintenzionato potrebbe compromettere i dispositivi o le reti dell'organizzazione. Ridurre la superficie di attacco significa proteggere i dispositivi e la rete dell'organizzazione, lasciando agli utenti malintenzionati un minor numero di modi per eseguire gli attacchi. La configurazione delle regole di riduzione della superficie di attacco in Microsoft Defender per endpoint può essere utile.

Le regole di riduzione della superficie di attacco sono destinate a determinati comportamenti software, ad esempio:

  • Avvio di file eseguibili e script che tentano di scaricare o eseguire file
  • Esecuzione di script offuscati o in altro modo sospetti
  • Esecuzione di comportamenti che le app in genere non avviano durante il normale lavoro quotidiano

Tali comportamenti software sono talvolta visti in applicazioni legittime. Tuttavia, questi comportamenti sono spesso considerati rischiosi perché vengono comunemente abusati dagli utenti malintenzionati tramite malware. Le regole di riduzione della superficie di attacco possono limitare i comportamenti rischiosi basati sul software e proteggere l'organizzazione.

Per altre informazioni sulla configurazione delle regole di riduzione della superficie di attacco, vedere Abilitare le regole di riduzione della superficie di attacco.

Valutare l'impatto delle regole prima della distribuzione

È possibile valutare in che modo una regola di riduzione della superficie di attacco potrebbe influire sulla rete aprendo il consiglio di sicurezza per tale regola in gestione di minacce e vulnerabilità.

Raccomandazione asr

Nel riquadro dei dettagli della raccomandazione verificare l'impatto dell'utente per determinare quale percentuale dei dispositivi può accettare un nuovo criterio che abilita la regola in modalità di blocco senza influire negativamente sulla produttività.

Vedere Requisiti nell'articolo "Abilitare le regole di riduzione della superficie di attacco" per informazioni sui sistemi operativi supportati e informazioni aggiuntive sui requisiti.

Modalità di controllo per la valutazione

Usare la modalità di controllo per valutare il modo in cui le regole di riduzione della superficie di attacco influiranno sull'organizzazione, se abilitate. Eseguire prima tutte le regole in modalità di controllo per comprendere in che modo influiscono sulle applicazioni line-of-business. Molte applicazioni line-of-business sono scritte con problemi di sicurezza limitati e potrebbero eseguire attività in modi simili al malware. Monitorando i dati di controllo e aggiungendo esclusioni per le applicazioni necessarie, è possibile distribuire regole di riduzione della superficie di attacco senza ridurre la produttività.

Modalità di avviso per gli utenti

(NUOVO!) Prima di avvisare le funzionalità della modalità, le regole di riduzione della superficie di attacco abilitate possono essere impostate su modalità di controllo o modalità blocco. Con la nuova modalità di avviso, ogni volta che il contenuto viene bloccato da una regola di riduzione della superficie di attacco, gli utenti visualizzano una finestra di dialogo che indica che il contenuto è bloccato. La finestra di dialogo offre anche all'utente un'opzione per sbloccare il contenuto. L'utente può quindi ritentare l'azione e l'operazione viene completata. Quando un utente sblocca il contenuto, il contenuto rimane sbloccato per 24 ore e quindi il blocco riprende.

La modalità di avviso consente all'organizzazione di applicare regole di riduzione della superficie di attacco senza impedire agli utenti di accedere al contenuto necessario per eseguire le proprie attività.

Requisiti per il funzionamento della modalità di avviso

La modalità di avviso è supportata nei dispositivi che eseguono le versioni seguenti di Windows:

Antivirus Microsoft Defender deve essere in esecuzione con protezione in tempo reale in modalità attiva.

Assicurarsi inoltre che siano installati gli aggiornamenti Antivirus Microsoft Defender e antimalware.

  • Requisito minimo di rilascio della piattaforma: 4.18.2008.9
  • Requisito minimo di rilascio del motore: 1.1.17400.5

Per altre informazioni e per ottenere gli aggiornamenti, vedere Aggiornamento per la piattaforma antimalware di Microsoft Defender.

Casi in cui la modalità di avviso non è supportata

La modalità di avviso non è supportata per tre regole di riduzione della superficie di attacco quando vengono configurate in Microsoft Endpoint Manager. Se si usa Criteri di gruppo per configurare le regole di riduzione della superficie di attacco, è supportata la modalità di avviso. Le tre regole che non supportano la modalità di avviso quando vengono configurate in Microsoft Endpoint Manager sono le seguenti:

Inoltre, la modalità di avviso non è supportata nei dispositivi che eseguono versioni precedenti di Windows. In questi casi, le regole di riduzione della superficie di attacco configurate per l'esecuzione in modalità di avviso verranno eseguite in modalità blocco.

Notifiche e avvisi

Ogni volta che viene attivata una regola di riduzione della superficie di attacco, nel dispositivo viene visualizzata una notifica. È possibile personalizzare la notifica con i dettagli aziendali e le informazioni sul contatto.

Inoltre, quando vengono attivate determinate regole di riduzione della superficie di attacco, vengono generati avvisi.

Le notifiche e gli avvisi generati possono essere visualizzati nel portale di Microsoft 365 Defender.

Per informazioni specifiche sulla funzionalità di notifica e avviso, vedere: Dettagli degli avvisi e delle notifiche per regola nell'articolo Informazioni di riferimento sulle regole di riduzione della superficie di attacco.

Eventi avanzati di ricerca e riduzione della superficie di attacco

È possibile usare la ricerca avanzata per visualizzare gli eventi di riduzione della superficie di attacco. Per semplificare il volume dei dati in ingresso, solo i processi univoci per ogni ora sono visualizzabili con la ricerca avanzata. Il tempo di un evento di riduzione della superficie di attacco è la prima volta che l'evento viene visualizzato entro l'ora.

Si supponga, ad esempio, che un evento di riduzione della superficie di attacco si verifichi su 10 dispositivi durante le ore 14:00. Si supponga che il primo evento si sia verificato alle 2:15 e l'ultimo alle 2:45. Con la ricerca avanzata, verrà visualizzata un'istanza di tale evento (anche se si è verificato effettivamente su 10 dispositivi) e il relativo timestamp sarà 14:15.

Per altre informazioni sulla ricerca avanzata, vedere Ricerca proattiva delle minacce con ricerca avanzata.

Funzionalità di riduzione della superficie di attacco nelle versioni di Windows

È possibile impostare regole di riduzione della superficie di attacco per i dispositivi che eseguono una delle seguenti edizioni e versioni di Windows:

Anche se le regole di riduzione della superficie di attacco non richiedono una licenza Windows E5, se si dispone di Windows E5, si ottengono funzionalità di gestione avanzate. Le funzionalità avanzate, disponibili solo in Windows E5, includono:

Queste funzionalità avanzate non sono disponibili con una licenza E3 Windows Professional o Windows. Tuttavia, se si dispone di tali licenze, è possibile usare i log Visualizzatore eventi e Antivirus Microsoft Defender per esaminare gli eventi delle regole di riduzione della superficie di attacco.

Esaminare gli eventi di riduzione della superficie di attacco nel portale di Microsoft 365 Defender

Defender per endpoint fornisce report dettagliati per eventi e blocchi come parte degli scenari di analisi degli avvisi.

È possibile eseguire query sui dati di Defender per endpoint in Microsoft 365 Defender usando la ricerca avanzata.

Ecco un esempio di query:

DeviceEvents
| where ActionType startswith 'Asr'

Esaminare gli eventi di riduzione della superficie di attacco in Windows Visualizzatore eventi

È possibile esaminare il registro eventi Windows per visualizzare gli eventi generati dalle regole di riduzione della superficie di attacco:

  1. Scaricare il pacchetto di valutazione ed estrarre il file cfa-events.xml in una posizione facilmente accessibile nel dispositivo.

  2. Immettere le parole Visualizzatore eventi nel menu Start per aprire il Windows Visualizzatore eventi.

  3. In Azioni selezionare Importa visualizzazione personalizzata.

  4. Selezionare il file cfa-events.xml da cui è stato estratto. In alternativa, copiare direttamente il codice XML.

  5. Seleziona OK.

È possibile creare una visualizzazione personalizzata che filtra gli eventi per visualizzare solo gli eventi seguenti, tutti correlati all'accesso controllato alle cartelle:

ID evento Descrizione
5007 Evento quando vengono modificate le impostazioni
1121 Evento quando la regola viene attivata in modalità blocco
1122 Evento quando la regola viene attivata in modalità di controllo

La "versione del motore" elencata per gli eventi di riduzione della superficie di attacco nel registro eventi viene generata da Defender per endpoint, non dal sistema operativo. Defender per endpoint è integrato con Windows 10 e Windows 11, quindi questa funzionalità funziona in tutti i dispositivi con Windows 10 o Windows 11 installati.