Ativar as regras de redução da superfície de ataque (ASR)

Implementar a redução da superfície de ataque (ASR) move a primeira anel de teste para um estado funcional ativado.

Passo 1: Transição as regras ASR de Auditoria para Bloquear

  1. Depois de todas as exclusões ser determinadas no modo de auditoria, comece por definir algumas regras ASR para "bloquear", começando pela regra que tem menos eventos acionados. Consulte" Ativar regras de redução da superfície de ataque.
  2. Reveja a página de relatórios no portal Microsoft 365 Defender Deteção de Ameaças. Consulte Relatório de proteção contra ameaças Pertahanan Microsoft untuk Titik Akhir. Reveja também o feedback dos seus campeões do ASR.
  3. Refinar exclusões ou criar novas exclusões conforme determinado necessário.
  4. Mude novamente as regras problemáticas para Auditoria.

Nota

Para regras problemáticas (regras que criam demasiado ruído), é melhor criar exclusões do que desativar regras ou mudar novamente para Auditoria. Terá de determinar qual é a melhor opção para o seu ambiente.

Dica

Quando disponível, tire partido da definição Modo de aviso em regras para limitar as interrupções. Ativar regras ASR no modo de Aviso permite-lhe capturar eventos ativados e ver as suas potenciais interrupções, sem bloquear realmente o acesso do utilizador final. Saiba mais: Modo de aviso para utilizadores.

Como funciona o modo de Aviso?

O modo de aviso é, na verdade, uma instrução Bloquear, mas com a opção de o utilizador "Desbloquear" as execuções subsequentes do fluxo ou aplicação em causa. O modo de aviso desbloqueia num dispositivo, utilizador, combinação de ficheiros e processos. As informações do modo de aviso são armazenadas localmente e têm uma duração de 24 horas.

Passo 2: expandir a implementação para tocar n + 1

Quando tiver a certeza de que configurou corretamente as regras ASR para o toque 1, pode alargar o âmbito da sua implementação para o próximo toque (toque n + 1).

O processo de implementação, os passos 1 a 3, é essencialmente o mesmo para cada anel subsequente:

  1. Testar regras na Auditoria
  2. Rever eventos de auditoria ativados pelo ASR no portal Microsoft 365 Defender Empresas
  3. Criar exclusões
  4. Revisão: refinar, adicionar ou remover exclusões conforme necessário
  5. Definir regras para "bloquear"
  6. Reveja a página de relatórios no portal Microsoft 365 Defender empresas.
  7. Criar exclusões.
  8. Desativar regras problemáticas ou alterá-las novamente para Auditoria.

Personalizar regras de redução da superfície de ataque

À medida que continua a expandir a implementação das regras de redução da superfície de ataque, poderá considerar que estas são necessárias ou benéficas para personalizar as regras de redução da superfície de ataque que ativou.

Excluir ficheiros e pastas

Pode optar por excluir os ficheiros e pastas de serem avaliados pelas regras de redução da superfície de ataque. Quando for excluído, o ficheiro não será bloqueado mesmo que uma regra de redução da superfície de ataque detete que o ficheiro contém comportamento malicioso.

Por exemplo, considere a regra de ransomware:

A regra de ransomware foi concebida para ajudar os clientes empresariais a reduzir os riscos de ataques de ransomware, garantindo ao mesmo tempo a continuidade do negócio. Por predefinição, a regra de ransomware falha no lado de atenção e proteja-se contra ficheiros que ainda não causaram reputação e confiança suficientes. Para reembolsar, a regra de ransomware só aciona ficheiros que não ganharam reputação e prevalência positivas suficientes, com base nas métricas de utilização de milhões de clientes. Normalmente, os bloqueios são resolvidos sozinhos porque os valores de "reputação e confiança" de cada ficheiro são atualizados incrementalmente à medida que a utilização não é problemática aumenta.

Nos casos em que os bloqueios não são resolvidos ateticamente, os clientes podem, por sua própria conta e risco, utilizar o mecanismo de gestão automático ou a funcionalidade de "lista de acesso" baseada em IOC (Indicador de Compromisso) para desbloquear os ficheiros.

Aviso

Excluir ou desbloquear ficheiros ou pastas poderá permitir que ficheiros não seguros são executados e infetados os seus dispositivos. Excluir ficheiros ou pastas pode reduzir significativamente a proteção fornecida pelas regras de redução da superfície de ataque. Os ficheiros que teriam sido bloqueados por uma regra terão permissão para ser executados e não serão registados relatórios ou eventos.

Uma exclusão aplica-se a todas as regras que permitem exclusões. Pode especificar um ficheiro individual, o caminho da pasta ou o nome de domínio completamente qualificado de um recurso. No entanto, não pode limitar uma exclusão a uma regra específica.

Uma exclusão é aplicada apenas quando a aplicação ou serviço excluído é iniciado. Por exemplo, se adicionar uma exclusão para um serviço de atualização que já está em execução, o serviço de atualização continuará a ativar os eventos até que o serviço seja parado e reiniciado.

A redução da superfície de ataque suporta variáveis de ambiente e animais. Para obter mais informações sobre como utilizar cartõesversais, consulte o tlm sobre a utilização de cartões versões como o nome do ficheiro e as listas de exclusão de extensões ou nome da pasta. Caso se depare com problemas com regras de deteção de ficheiros que considera não devem ser detetados, utilize o modo de auditoria para testar a regra.

Consulte o tópico de referência das regras de redução da superfície de ataque para obter detalhes sobre cada regra.

Utilizar Política de Grupo para excluir ficheiros e pastas
  1. No seu computador Política de Grupo, abra a Consola de Gestão de Política de Grupo, clique com o botão direito do Política de Grupo no Objeto que pretende configurar e selecione Editar.

  2. No Editor Política de Grupo Gestão, vá para Configuração do computador e clique em Modelos administrativos.

  3. Expanda a árvore para Windows componentes Antivírus do Microsoft Defender > Microsoft Defender Exploit Guard > redução > da superfície de ataque.

  4. Faça duplo clique na definição Excluir ficheiros e caminhos da redução da superfície de ataque Regras e defina a opção para Ativado. Selecione Mostrar e introduza cada ficheiro ou pasta na coluna Nome do valor. Introduza 0 na coluna Valor para cada item.

Aviso

Não utilize aspas pois não são suportadas para a coluna Nome do valor ou para a coluna Valor.

Utilizar o PowerShell para excluir ficheiros e pastas
  1. Escreva powershell na página menu Iniciar, clique com o botão direito Windows PowerShell e selecione Executar como administrador.

  2. Introduza o seguinte cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
    

    Continue a utilizar Add-MpPreference -AttackSurfaceReductionOnlyExclusions para adicionar mais pastas à lista.

    Importante

    Utilize Add-MpPreference para acrescentar ou adicionar aplicações à lista. Ao utilizar Set-MpPreference o cmdlet, irá sobrescrever a lista existente.

Utilizar CSPs MDM para excluir ficheiros e pastas

Utilize o fornecedor de serviços de configuração ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions para adicionar exclusões.

Personalizar a notificação

Pode personalizar a notificação para quando uma regra é ativada e bloqueia uma aplicação ou ficheiro. Consulte o Segurança do Windows artigo.

Tópicos adicionais nesta coleção de implementação

Descrição geral da redução de regras da superfície de ataque (ASR)

Planear a redução da superfície de ataque (ASR) da implementação

Testar as regras de redução da superfície de ataque (ASR)

Operacionalizar regras de redução da superfície de ataque (ASR)

Referência das regras de redução da superfície de ataque (ASR)