Testar regras de redução da superfície de ataque (RSA)

Testar as regras de redução da superfície de ataque (ASR) ajuda-o a determinar se as regras impedem operações de linha de negócio antes de ativar qualquer regra. Ao começar com um grupo pequeno e controlado, pode limitar potenciais interrupções de trabalho à medida que expande a sua implementação em toda a sua organização.

Inicie a implementação de regras de redução da superfície de ataque (ASR) com anel 1.

Passo 1: testar regras ASR através de Auditoria

Comece a fase de teste ao a ligar as regras ASR com as regras definidas para Auditoria, a começar com os seus utilizadores ou dispositivos campeões no toque 1. Normalmente, a recomendação é que ative todas as regras (em Auditoria) para poder determinar que regras são ativadas durante a fase de teste. Tenha em atenção que as regras definidas para Auditoria não afetam geralmente a funcionalidade da entidade ou entidades às quais a regra é aplicada, mas geram eventos registadas para a avaliação; não há efeito nos utilizadores finais.

Configurar Regras ASR utilizando MEM

Pode utilizar a Segurança do Ponto Final do Microsoft Endpoint Manager (MEM) para configurar regras ASR personalizadas.

  1. Abra o centro Endpoint Manager administração do Microsoft Endpoint Manager.

  2. Vá para Redução da superfície de Ataque > de Segurança de Ponto Final.

  3. Selecione Criar Política.

  4. Em Plataforma, selecione Windows 10 e posterior e, em Perfil, selecione Regras de redução da superfície de ataque.

  5. Clique em Criar.

  6. No separador Noções Básicas do painel Criar perfil , em Nome adicione um nome para a sua política. Em Descrição , adicione uma descrição para a sua política de regras ASR.

  7. No separador Definições de Configuração , em Regras de Redução da Superfície de Ataque, defina todas as regras para Modo de auditoria.

    Nota

    Existem variações em algumas listas do modo de regras ASR; As funcionalidades Bloqueadas e Ativadas fornecem as mesmas funcionalidades.

  8. [Opcional] No painel Âmbito de etiquetas , pode adicionar informações de etiquetas a dispositivos específicos. Também pode utilizar o controlo de acesso baseado em funções e etiquetas de âmbito para se certificar de que os administradores certos têm o acesso e visibilidade certos para os Intune objetos. Saiba mais: Utilizar controlo de acesso baseado em funções (RBAC) e etiquetas de âmbito para TI distribuído no Intune.

  9. No painel Tarefas , pode implementar ou "atribuir" o perfil aos seus grupos de utilizadores ou dispositivos. Saiba mais: Atribuir perfis de dispositivo no Microsoft Intune

  10. Reveja as suas definições no painel Rever + criar. Clique em Criar para aplicar as regras.

A sua nova política de redução da superfície de ataque para as regras ASR está listada nas Listas de segurança de pontos | Redução da superfície de ataque.

Passo 2: Compreender a página de relatório Regras de redução da superfície de ataque no portal Microsoft 365 Defender Ataque

A página de relatórios de regras ASR encontra-se no portal Microsoft 365 Defender relatórios > > regras de redução da superfície de ataque do portal. Esta página tem três separadores:

  • Deteções
  • Configuração
  • Adicionar exclusões

Separador Deteções

Fornece uma linha de tempo de 30 dias de eventos de auditoria e bloqueados detetados.

O painel de regras de redução do Surface de Ataque fornece uma descrição geral dos eventos detetados numa base por regra.

Nota

Existem algumas variações nos relatórios de regras ASR. A Microsoft está a atualizar o comportamento dos relatórios de regras ASR para proporcionar uma experiência consistente.

Clique em Ver deteções para abrir o separador Deteções .

O painel Agrupar Por e Filtrar fornece as seguintes opções:

O groupBy devolve resultados definidos para os seguintes grupos:

  • Sem agrupamento
  • Ficheiro detetado
  • Auditar ou bloquear
  • Regra
  • Aplicação de origem
  • Dispositivo
  • Utilizador
  • Publisher

Filtro abre a página Filtrar por regras , que lhe permite filtrar os resultados apenas para as regras ASR selecionadas:

Nota

Se tiver uma licença do Microsoft Microsoft 365 Security E5 ou A5, do Windows E5 ou A5, a seguinte ligação abre a superfície de redução da superfície de ataque do Microsoft Defender 365 > redução > separador Deteções.

Separador Configuração

Listas – numa base por computador – o estado agregado das regras ASR: Desativado, Auditar, Bloquear.

No separador Configurações, pode verificar, numa base por dispositivo, quais as regras ASR ativadas e em que modo, ao selecionar o dispositivo para o qual pretende rever regras ASR.

A ligação Começar abre o centro de administração do Microsoft Endpoint Manager, onde pode criar ou modificar uma política de proteção de pontos finais para o ASR:

No Endpoint Security | Resumo, selecione Redução da superfície de ataque:

O Ponto Final de Segurança | O painel de redução da superfície de ataque é aberto:

Nota

Se tiver uma licença do Microsoft Defender 365 E5 (ou Windows E5?), esta ligação abrirá a redução da superfície de ataque > Relatórios do Microsoft Defender 365 > separador Configurações .

Adicionar exclusões

Este separador fornece um método para selecionar entidades detetadas (por exemplo, falsos positivos) para exclusão. Quando são adicionadas exclusões, o relatório fornece um resumo do impacto esperado.

Nota

As exclusões AV do Microsoft Defender são honradas pelas regras ASR. Consulte Configurar e validar exclusões com base na extensão, nome ou localização.

Nota

Se tiver uma licença do Microsoft Defender 365 E5 (ou Windows E5?), esta ligação abrirá a redução da superfície de ataque > Relatórios do Microsoft Defender 365 > separador Exclusões .

Utilizar o PowerShell como um método alternativo para ativar regras ASR

Pode utilizar o PowerShell (como alternativa ao MEM) para ativar as regras ASR no modo de auditoria para ver um registo de aplicações que teria sido bloqueado se a funcionalidade estivesse totalmente ativada. Também pode ter uma ideia da frequência com que as regras são ateizadas durante a utilização normal.

Para ativar uma regra de redução da superfície de ataque no modo de auditoria, utilize o seguinte cmdlet do PowerShell:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Onde <rule ID> é um valor DE GUID da regra de redução da superfície de ataque.

Para ativar todas as regras de redução da superfície de ataque adicionadas no modo de auditoria, utilize o seguinte cmdlet do PowerShell:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

Dica

Se pretender auditar totalmente como as regras de redução da superfície de ataque funcionarão na sua organização, terá de utilizar uma ferramenta de gestão para implementar esta definição em dispositivos da(s) rede(s).

Também pode utilizar fornecedores de serviços de configuração de Política de Grupo, Intune ou gestão de dispositivos móveis (MDM) para configurar e implementar a definição. Saiba mais no artigo principal Regras de redução da superfície de ataque .

Utilizar o Windows Visualizador de Eventos Rever como alternativa à página de relatórios da redução da superfície de ataque no portal Microsoft 365 Defender

Para rever aplicações que teriam sido bloqueadas, abra o Visualizador de Eventos e filtro para o ID do Evento 1121 no registo Microsoft-Windows-Windows Defender/Operacional. A tabela seguinte lista todos os eventos de proteção de rede.

ID do Evento Descrição
5007 Evento quando as definições são alteradas
1121 Evento quando uma regra de redução da superfície de ataque é ativada no modo de bloqueio
1122 Evento quando uma regra de redução da superfície de ataque é ativada no modo de auditoria

Tópicos adicionais nesta coleção de implementação

Descrição geral da implementação de regras de redução da superfície de ataque (RSA)

Planear a implementação de regras de redução da superfície de ataque (RSA)

Ativar regras de redução da superfície de ataque (RSA)

Operacionalizar regras de redução da superfície de ataque (RSA)

Referência de regras de redução da superfície de ataque (RSA)