공격 표면 감소(ASR) 규칙 배포 계획
ASR(공격 표면 감소) 규칙을 테스트할 때는 올바른 사업부로 시작하는 것이 중요합니다. 특정 사업부의 소규모 사용자 그룹으로 시작하는 것이 좋습니다. 특정 사업부 내에서 ASR 규칙에 대한 실제 영향을 제공하고 구현을 조정하는 데 도움을 줄 수 있는 일부 ASR 챔피언을 식별할 수 있습니다.
올바른 사업부 시작
ASR 규칙 배포를 배포할 사업부를 선택하는 방법은 다음과 같은 요인에 따라 달라집니다.
- 사업부의 크기
- ASR 규칙 챔피언의 가용성
- 배포 및 사용:
- 소프트웨어
- 공유 폴더
- 스크립트 사용
- Office 매크로
- ASR 규칙의 영향을 받는 기타 엔터티
비즈니스 요구 사항에 따라 소프트웨어, 공유 폴더, 스크립트, 매크로 등의 광범위한 샘플링을 얻기 위해 여러 사업부를 포함하도록 결정할 수 있습니다. 반대로 첫 번째 ASR 규칙 롤아웃의 범위를 단일 사업부로 제한한 다음, 전체 ASR 규칙 롤아웃 프로세스를 한 번에 하나씩 다른 사업부로 반복할 수 있습니다.
ASR 규칙 챔피언 식별
ASR 규칙 챔피언은 예비 테스트 및 구현 단계에서 초기 ASR 규칙 롤아웃에 도움이 되는 조직의 구성원입니다. 챔피언은 일반적으로 기술적으로 더 능숙하고 일시적인 업무 흐름 중단으로 탈선하지 않는 직원입니다. 챔피언의 참여는 조직에 대한 ASR 규칙 배포의 광범위한 확장 전반에 걸쳐 계속됩니다. ASR 규칙 챔피언은 먼저 ASR 규칙 롤아웃의 각 수준을 경험하게 됩니다.
ASR 규칙 챔피언에게 ASR 규칙 관련 작업 중단을 경고하고 ASR 규칙 롤아웃 관련 통신을 수신하도록 피드백 및 응답 채널을 제공하는 것이 중요합니다.
기간 업무 앱의 인벤토리 가져오기 및 사업부 프로세스 이해
조직 전체에서 사용되는 애플리케이션 및 비즈니스 단위별 프로세스를 완전히 이해하는 것은 성공적인 ASR 규칙 배포에 매우 중요합니다. 또한 조직의 다양한 사업부 내에서 이러한 앱이 어떻게 사용되는지 이해해야 합니다. 시작하려면 조직 전체에서 사용하도록 승인된 앱의 인벤토리를 가져와야 합니다. Microsoft 365 앱 관리 센터와 같은 도구를 사용하여 소프트웨어 애플리케이션의 인벤토리를 만들 수 있습니다. 참조: Microsoft 365 앱 관리 센터의 인벤토리 개요입니다.
보고 및 응답 팀 역할 및 책임 정의
ASR 규칙 상태 및 활동을 모니터링하고 전달하는 담당자의 역할과 책임을 명확하게 설명하는 것은 ASR 유지 관리의 핵심 활동입니다. 따라서 다음을 확인하는 것이 중요합니다.
- 보고서 수집을 담당하는 사람 또는 팀
- 보고서를 공유하는 방법 및 대상
- ASR 규칙으로 인해 새로 식별된 위협 또는 원치 않는 차단에 대해 에스컬레이션을 해결하는 방법
일반적인 역할 및 책임은 다음과 같습니다.
- IT 관리자: ASR 규칙을 구현하고 제외를 관리합니다. 앱 및 프로세스에서 다양한 사업부와 함께 작업합니다. 관련자에게 보고서 어셈블 및 공유
- CSOC(인증된 보안 운영 센터) 분석가: 우선 순위가 높고 차단된 프로세스를 투자하여 위협이 유효한지 여부를 판단할 책임이 있습니다.
- CISO(최고 정보 보안 책임자): 조직의 전반적인 보안 상태 및 상태를 담당합니다.
링 배포
대기업의 경우 "링"에 ASR 규칙을 배포하는 것이 좋습니다. 링은 겹치지 않는 트리 링처럼 바깥쪽으로 방출되는 동심원으로 시각적으로 표현되는 디바이스 그룹입니다. 가장 안쪽 링이 성공적으로 배포되면 다음 링을 테스트 단계로 전환할 수 있습니다. 비즈니스 단위, ASR 규칙 챔피언, 앱 및 프로세스에 대한 철저한 평가는 링을 정의하는 데 필수적입니다. 대부분의 경우 조직에서 Windows 업데이트의 단계적 롤아웃을 위한 배포 링을 설계했습니다. 기존 링 디자인을 사용하여 ASR 규칙을 구현할 수 있습니다. 참조: Windows용 배포 계획 만들기