Operacionalizar regras de redução da superfície de ataque (RSA)

Após ter implementado totalmente as regras de redução da superfície de ataque (ASR), é essencial que tenha implementados processos para monitorizar e responder a atividades relacionadas com ASR.

Gerir falsos positivos

Os falsos positivos/negativos podem ocorrer com qualquer solução de proteção contra ameaças. Os falsos positivos são casos em que uma entidade (como um ficheiro ou processo) é detetada e identificada como maliciosa, embora a entidade não seja realmente uma ameaça. Por outro lado, um falso negativo é uma entidade que não foi detetada como uma ameaça, mas que é maliciosa. Para obter mais informações sobre falsos positivos e falsos negativos, consulte: Resolver falsos positivos/negativos em Microsoft Defender para Endpoint

Manter-se a acompanhar os relatórios

Uma revisão regular e consistente de relatórios é um aspeto essencial da manutenção da implementação de regras ASR e de manter-se a par de ameaças recém-emergentes. A sua organização deverá ter análises agendadas de eventos de regras ASR numa cadência que se manterá atual com eventos reportados por regras ASR. Dependendo do tamanho da sua organização, as avaliações podem ser monitorizadas diariamente, de hora a hora ou contínua.

À procura

Uma das funcionalidades mais avançadas do Microsoft 365 Defender é a procura avançada. Se não estiver familiarizado com a procura avançada, consulte: Procurar proativamente ameaças com procura avançada.

A procura avançada é uma ferramenta de pesquisa baseada em consultas (Linguagem de Pesquisa Kusto) que lhe permite explorar até 30 dias dos dados capturados (não brutos) recolhidos que o Microsoft Defender ATP deTeção e Resposta (EDR) recolhe de todos os seus máquinas. Através da procura avançada, pode inspecionar proativamente eventos para localizar indicadores e entidades interessantes. O acesso flexível aos dados facilita a procura inconstrangida de possíveis ameaças conhecidas e potenciais.

Através da procura avançada, é possível extrair informações de regras ASR, criar relatórios e obter informações aprofundadas sobre o contexto de uma determinada auditoria ou bloqueio de regras ASR.

Pode consultar os eventos com regras ASR a partir da tabela DeviceEvents na secção de procura avançada do portal Microsoft 365 Defender pesquisa. Por exemplo, uma consulta simples, como a consulta abaixo, pode comunicar todos os eventos que têm regras ASR como origem de dados e irá resumi-los pela contagem de TipoDeAção, que, neste caso, será o nome de código real da regra ASR.

Os eventos ASR apresentados no portal de procura em avanço são cronológicos para processos exclusivos vistos a cada hora. A hora do evento ASR é a primeira vez que o evento é visto dentro de essa hora.

As imagens acima mostram que 187 eventos foram registados no AsrLsassCredentialTheft:

  • 102 para Bloqueados
  • 85 para Auditoria
  • 2 eventos para AsrOfficeChildProcess (1 para Auditado e 1 para Bloquear)
  • 8 eventos para AsrPsexecWmiChildProcessAudited

Se quiser focar-se na regra AsrOfficeChildProcess e obter detalhes sobre os ficheiros e processos reais envolvidos, altere o filtro do ActionType e substitua a linha de resumir por uma projeção dos campos procurados (neste caso, são DeviceName, FileName, FolderPath, etc.).

O verdadeiro benefício da procura avançada é que pode moldar as consultas ao seu gosto. Ao formatar a sua consulta, pode ver a história exata do que estava a acontecer, independentemente de querer encontrar algo numa máquina individual ou se pretende extrair insights de todo o seu ambiente.

Para obter mais informações sobre as opções de procura, consulte: Desmistificar regras de redução da superfície de ataque - Parte 3.

Tópicos nesta coleção de implementação

Descrição geral da implementação de regras de redução da superfície de ataque (RSA)

Planear a implementação de regras de redução da superfície de ataque (RSA)

Testar regras de redução da superfície de ataque (RSA)

Ativar regras de redução da superfície de ataque (RSA)

Referência de regras de redução da superfície de ataque (RSA)