Panoramica delle regole di riduzione della superficie di attacco
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
- Antivirus Microsoft Defender
Piattaforme
- Windows
Consiglio
Come complemento di questo articolo, è consigliabile usare la guida all'installazione automatica Microsoft Defender per endpoint quando si accede al interfaccia di amministrazione di Microsoft 365. Questa guida personalizza l'esperienza in base all'ambiente in uso. Per esaminare le procedure consigliate senza accedere e attivare le funzionalità di configurazione automatizzata, vedere la guida alla configurazione di Microsoft 365.
Perché le regole di riduzione della superficie di attacco sono importanti
La superficie di attacco dell'organizzazione include tutte le posizioni in cui un utente malintenzionato potrebbe compromettere i dispositivi o le reti dell'organizzazione. Ridurre la superficie di attacco significa proteggere i dispositivi e la rete dell'organizzazione, lasciando agli utenti malintenzionati un minor numero di modi per eseguire gli attacchi. La configurazione delle regole di riduzione della superficie di attacco in Microsoft Defender per endpoint può essere utile.
Le regole di riduzione della superficie di attacco sono destinate a determinati comportamenti software, ad esempio:
- Avvio di file eseguibili e script che tentano di scaricare o eseguire file
- Esecuzione di script offuscati o in altro modo sospetti
- Esecuzione di comportamenti che le app in genere non avviano durante il normale lavoro quotidiano
Tali comportamenti software sono talvolta visti in applicazioni legittime. Tuttavia, questi comportamenti sono spesso considerati rischiosi perché vengono comunemente abusati dagli utenti malintenzionati tramite malware. Le regole di riduzione della superficie di attacco possono limitare i comportamenti rischiosi basati sul software e proteggere l'organizzazione.
Per un processo end-to-end sequenziale su come gestire le regole di riduzione della superficie di attacco, vedere:
- Panoramica della distribuzione delle regole di riduzione della superficie di attacco
- Pianificare la distribuzione delle regole di riduzione della superficie di attacco
- Testare le regole di riduzione della superficie di attacco
- Abilitare regole di riduzione della superficie di attacco
- Rendere operative le regole di riduzione della superficie di attacco
Valutare le regole prima della distribuzione
È possibile valutare in che modo una regola di riduzione della superficie di attacco potrebbe influire sulla rete aprendo la raccomandazione sulla sicurezza per tale regola in Gestione delle vulnerabilità di Microsoft Defender.
Nel riquadro dei dettagli della raccomandazione verificare l'impatto dell'utente per determinare quale percentuale dei dispositivi può accettare un nuovo criterio che abilita la regola in modalità di blocco senza influire negativamente sulla produttività.
Vedere Requisiti nell'articolo "Abilitare le regole di riduzione della superficie di attacco" per informazioni sui sistemi operativi supportati e altre informazioni sui requisiti.
Modalità di controllo per la valutazione
Modalità di controllo
Usare la modalità di controllo per valutare il modo in cui le regole di riduzione della superficie di attacco influiranno sull'organizzazione, se abilitate. Eseguire prima tutte le regole in modalità di controllo per comprendere in che modo influiscono sulle applicazioni line-of-business. Molte applicazioni line-of-business sono scritte con problemi di sicurezza limitati e potrebbero eseguire attività in modi simili al malware.
Esclusioni
Monitorando i dati di controllo e aggiungendo esclusioni per le applicazioni necessarie, è possibile distribuire regole di riduzione della superficie di attacco senza ridurre la produttività.
Esclusioni per regola
Per informazioni sulla configurazione delle esclusioni per regola, vedere la sezione Configurare le regole di riduzione della superficie di attacco per regola nell'articolo Testare le regole di riduzione della superficie di attacco.
Modalità di avviso per gli utenti
(NUOVO!) Prima di avvisare le funzionalità della modalità, le regole di riduzione della superficie di attacco abilitate potrebbero essere impostate su modalità di controllo o modalità blocco. Con la nuova modalità di avviso, ogni volta che il contenuto viene bloccato da una regola di riduzione della superficie di attacco, gli utenti visualizzano una finestra di dialogo che indica che il contenuto è bloccato. La finestra di dialogo offre anche all'utente un'opzione per sbloccare il contenuto. L'utente può quindi ritentare l'azione e l'operazione viene completata. Quando un utente sblocca il contenuto, il contenuto rimane sbloccato per 24 ore e quindi il blocco riprende.
La modalità di avviso consente all'organizzazione di applicare regole di riduzione della superficie di attacco senza impedire agli utenti di accedere al contenuto necessario per eseguire le proprie attività.
Requisiti per il funzionamento della modalità di avviso
La modalità di avviso è supportata nei dispositivi che eseguono le versioni seguenti di Windows:
- Windows 10, versione 1809 o versioni successive
- Windows 11
- Windows Server, versione 1809 o successiva
Microsoft Defender Antivirus deve essere in esecuzione con protezione in tempo reale in modalità attiva.
Assicurarsi inoltre che siano installati Microsoft Defender aggiornamenti antivirus e antimalware.
- Requisito minimo di rilascio della piattaforma:
4.18.2008.9 - Requisito minimo di rilascio del motore:
1.1.17400.5
Per altre informazioni e per ottenere gli aggiornamenti, vedere Aggiornamento per Microsoft Defender piattaforma antimalware.
Casi in cui la modalità di avviso non è supportata
La modalità di avviso non è supportata per tre regole di riduzione della superficie di attacco quando vengono configurate in Microsoft Intune. Se si usa Criteri di gruppo per configurare le regole di riduzione della superficie di attacco, è supportata la modalità di avviso. Le tre regole che non supportano la modalità di avviso quando vengono configurate in Microsoft Intune sono le seguenti:
- Impedire a JavaScript o VBScript di avviare il contenuto eseguibile scaricato (GUID
d3e037e1-3eb8-44c8-a917-57927947596d) - Bloccare la persistenza tramite la sottoscrizione di eventi WMI (GUID
e6db77e5-3df2-4cf1-b95a-636979351e5b) - Usare la protezione avanzata da ransomware (GUID
c1db55ab-c21a-4637-bb3f-a12568109d35)
Inoltre, la modalità di avviso non è supportata nei dispositivi che eseguono versioni precedenti di Windows. In questi casi, le regole di riduzione della superficie di attacco configurate per l'esecuzione in modalità di avviso vengono eseguite in modalità blocco.
Notifiche e avvisi
Ogni volta che viene attivata una regola di riduzione della superficie di attacco, nel dispositivo viene visualizzata una notifica. È possibile personalizzare la notifica con i dettagli aziendali e le informazioni sul contatto.
Inoltre, quando vengono attivate determinate regole di riduzione della superficie di attacco, vengono generati avvisi.
Le notifiche e gli avvisi generati possono essere visualizzati nel portale di Microsoft Defender.
Per informazioni specifiche sulla funzionalità di notifica e avviso, vedere: Dettagli degli avvisi e delle notifiche per regola nell'articolo Informazioni di riferimento sulle regole di riduzione della superficie di attacco.
Eventi avanzati di ricerca e riduzione della superficie di attacco
È possibile usare la ricerca avanzata per visualizzare gli eventi di riduzione della superficie di attacco. Per semplificare il volume dei dati in ingresso, solo i processi univoci per ogni ora sono visualizzabili con la ricerca avanzata. Il tempo di un evento di riduzione della superficie di attacco è la prima volta che l'evento viene visualizzato entro l'ora.
Si supponga, ad esempio, che un evento di riduzione della superficie di attacco si verifichi su 10 dispositivi durante le ore 14:00. Si supponga che il primo evento si sia verificato alle 2:15 e l'ultimo alle 2:45. Con la ricerca avanzata, viene visualizzata un'istanza di tale evento (anche se si è verificato effettivamente su 10 dispositivi) e il relativo timestamp sarà 14:15.
Per altre informazioni sulla ricerca avanzata, vedere Ricerca proattiva delle minacce con ricerca avanzata.
Funzionalità di riduzione della superficie di attacco nelle versioni di Windows
È possibile impostare le regole di riduzione della superficie di attacco per i dispositivi che eseguono una delle seguenti edizioni e versioni di Windows:
Windows 10 Pro versione 1709 o successiva
Windows 10 Enterprise versione 1709 o successiva
Windows Server, versione 1803 (canale semestrale) o versione successiva
-
Nota
Windows Server 2016 e Windows Server 2012 R2 dovranno essere caricati usando le istruzioni in Eseguire l'onboarding dei server Windows per il funzionamento di questa funzionalità.
Anche se le regole di riduzione della superficie di attacco non richiedono una licenza di Windows E5, se hai Windows E5, ottieni funzionalità di gestione avanzate. Le funzionalità avanzate, disponibili solo in Windows E5, includono:
- Monitoraggio, analisi e flussi di lavoro disponibili in Defender per endpoint
- Funzionalità di creazione di report e configurazione in Microsoft Defender XDR.
Queste funzionalità avanzate non sono disponibili con una licenza di Windows Professional o Windows E3. Tuttavia, se si dispone di tali licenze, è possibile usare Visualizzatore eventi e Microsoft Defender log antivirus per esaminare gli eventi delle regole di riduzione della superficie di attacco.
Esaminare gli eventi di riduzione della superficie di attacco nel portale di Microsoft Defender
Defender per endpoint fornisce report dettagliati per eventi e blocchi come parte degli scenari di analisi degli avvisi.
È possibile eseguire query sui dati di Defender per endpoint in Microsoft Defender XDR usando la ricerca avanzata.
Ecco una query di esempio:
DeviceEvents
| where ActionType startswith 'Asr'
Esaminare gli eventi di riduzione della superficie di attacco in Windows Visualizzatore eventi
È possibile esaminare il registro eventi di Windows per visualizzare gli eventi generati dalle regole di riduzione della superficie di attacco:
Scaricare il pacchetto di valutazione ed estrarre il file cfa-events.xml in una posizione facilmente accessibile nel dispositivo.
Immettere le parole Visualizzatore eventi nel menu Start per aprire il Visualizzatore eventi di Windows.
In Azioni selezionare Importa visualizzazione personalizzata.
Selezionare il file cfa-events.xml da cui è stato estratto. In alternativa, copiare direttamente il codice XML.
Seleziona OK.
È possibile creare una visualizzazione personalizzata che filtra gli eventi per visualizzare solo gli eventi seguenti, tutti correlati all'accesso controllato alle cartelle:
| ID evento | Descrizione |
|---|---|
| 5007 | Evento quando vengono modificate le impostazioni |
| 1121 | Evento quando la regola viene attivata in modalità blocco |
| 1122 | Evento quando la regola viene attivata in modalità di controllo |
La "versione del motore" elencata per gli eventi di riduzione della superficie di attacco nel registro eventi viene generata da Defender per endpoint, non dal sistema operativo. Defender per endpoint è integrato con Windows 10 e Windows 11, quindi questa funzionalità funziona in tutti i dispositivi con Windows 10 o Windows 11 installati.
Vedere anche
- Panoramica della distribuzione delle regole di riduzione della superficie di attacco
- Pianificare la distribuzione delle regole di riduzione della superficie di attacco
- Testare le regole di riduzione della superficie di attacco
- Abilitare regole di riduzione della superficie di attacco
- Rendere operative le regole di riduzione della superficie di attacco
- Report delle regole di riduzione della superficie di attacco
- Esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender
Consiglio
Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:
- Impostare le preferenze per Microsoft Defender per endpoint su macOS
- Microsoft Defender per endpoint su Mac
- Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
- Impostare le preferenze per Microsoft Defender per endpoint su Linux
- Microsoft Defender per Endpoint su Linux
- Funzionalità di configurazione di Microsoft Defender per endpoint su Android
- Funzionalità di configurazione di Microsoft Defender per endpoint su iOS
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per