Какво е ASR (Намаляване на повърхността на атаката) и как защитава вашите устройства?

Когато започнете да се задълбочавате в сигурността на Windows и всичко, което Microsoft Defender може да предложи, терминът ASR (Намаляване на повърхността на атаката) Появява се отново и отново. И това не е случайно: говорим за набор от правила и техники, които целят да спрат атаките, преди дори да са имали шанс да започнат.

В контекста на все по-сложни заплахиС ransomware, обфусцирани скриптове, кражба на идентификационни данни и атаки без файлове, правилата за ASR се превърнаха в ключов компонент на превантивната защита. Проблемът е, че те често се възприемат като нещо „магическо“ и сложно, когато в действителност имат доста ясна логика, ако бъдат обяснени спокойно.

Какво е ASR (Намаляване на повърхността на атаката) и какъв проблем решава?

Намаляване на повърхността на атака или намаляване на повърхността на атакаASR е подход, който включва минимизиране на всички точки, през които атакуващ би могъл да въведе, премести или изпълни код в дадена среда. В конкретния случай на Microsoft, ASR се реализира чрез правила, които контролират поведението на крайните точки с висок риск: изпълнение на скриптове, макроси на Office, процеси, стартирани от USB устройства, злоупотреба с WMI и др.

На практика, Правила на Microsoft Defender ASR за крайна точка Това са политики, които казват: „някои неща, които са типични за зловреден софтуер Те няма да бъдат разрешени, въпреки че понякога легитимни приложения също ги правят. Например, Word ботуш PowerShell, който е писменост изтеглен от интернет файл стартира изпълним файл или един процес се опитва да инжектира код в друг.

Основната идея е да се намали броят на пътищата, които една атака може да предприеме, за да компрометира системата. По-малко налични пътища, по-малка повърхностТова се вписва идеално в модела „Нулево доверие“: ние приемаме, че в даден момент ще има нарушение, така че намаляваме „радиуса на взрива“ на инцидента колкото е възможно повече.

Важно е тук да се прави разлика между две понятия, които често се смесват: от една страна, намаляване на повърхността за атака като обща стратегия (премахване на ненужни услуги, затваряне на портове, премахване на излишен софтуер, ограничаване на разрешенията и др.), а от друга страна, Правила за ASR на Microsoft Defenderкоито са много специфично подмножество на тази стратегия, фокусирано върху поведението на крайната точка и софтуера.

Повърхност на атаката: физическа, дигитална и човешка

Когато говорим за повърхността за атака на една организация, имаме предвид всички точки, в които може да се намеси нападателУстройства, приложения, онлайн услуги, потребителски акаунти, API, вътрешни мрежи, външни облаци и др. Това не е само технически проблем; човешка грешка също играе роля.

В дигиталния раздел намираме уебсайтове, сървъри, бази данникрайни точки, облачни услуги и корпоративни приложенияВсяка неправилно конфигурирана услуга, всеки ненужно отворен порт, всяко неактуализирано софтуерно приложение може да бъде входна точка за експлойт. Ето защо много компании разчитат на инструменти EASM (External Attack Surface Management), които автоматизират откриването на открити активи и уязвимости.

На физическата повърхност се проявяват следните фактори локални сървъри, работни станции, мрежови устройства и терминалиТук рискът се смекчава с физически контрол на достъпа, камери, карти, ключалки, затворени стелажи и железария Подсилено. Ако всеки може да получи достъп до центъра за данни с USB устройство, няма значение колко добра е вашата политика за сигурност.

Третият крак е повърхността, свързана с социалното инженерство и човешкият факторФишинг имейли, обаждания с претенции, сайтове за хазарт или прости грешки на служителите, които водят до изтегляне на злонамерено съдържание. Ето защо намаляването на повърхността за атака включва и обучение и осведоменост, не само технологии.

ASR като стълб на превантивната сигурност и нулевото доверие

В модела на нулево доверие приемаме, че мрежата вече е компрометирана или ще бъдеИ това, към което се стремим, е да предотвратим лесното ескалиране или получаване на привилегии от страна на атакуващия. Правилата за ASR се вписват идеално тук, защото поставят бариери срещу най-експлоатираните вектори на атака, особено в крайната точка.

Правилата на ASR прилагат принципа на минимални привилегии, прилагани към поведениетоНе става въпрос само за разрешенията, които има даден акаунт, но и за действията, които може да извършва конкретно приложение. Например, Office все още може да редактира документи без проблем, но вече не може да стартира фонови процеси или да създава свободно изпълними файлове на диска.

Този вид поведенчески контрол е особено силен срещу полиморфни заплахи и атаки без файловеВъпреки че зловредният софтуер постоянно променя своята сигнатура или хеш, повечето все още трябва да правят едни и същи неща: да изпълняват скриптове, да инжектират код в процеси, да манипулират LSASS, да злоупотребяват с WMI, да пишат уязвими драйвери и т.н. ASR се фокусира именно върху тези модели.

Освен това, правилата могат да се изпълняват в различни режими: блокиране, одит или предупреждениеТова позволява поетапно внедряване, започвайки с наблюдение на въздействието му (режим на одит), след това уведомяване на потребителя (предупреждение) и накрая блокиране безмилостно, след като изключенията бъдат коригирани.

Необходими условия и съвместими операционни системи

За да извлечете максимума от правилата за ASR в Microsoft Defender, е важно да имате солидна основа. На практика е необходимо да Microsoft Defender Antivirus трябва да е вашият основен антивирус.работи в активен, а не пасивен режим и с включена защита в реално време.

Много правила, особено по-сложните, изискват наличието Защита, доставена от облак Активна и свързана с облачните услуги на Microsoft. Това е ключово за функции, които разчитат на репутация, разпространение или евристики в облака, като например правилото „изпълними файлове, които не отговарят на критериите за разпространение, възраст или списък с надеждни програми“ или правилото „разширена защита от ransomware“.

Въпреки че правилата на ASR не изискват стриктно лиценз Microsoft 365 E5, да, така е Силно се препоръчва да имате шофьорска книжка E5 или еквивалентна. Ако искате да имате интегрирани разширени възможности за управление, наблюдение, анализ, отчитане и работен процес в Microsoft Defender for Endpoint и портала на Microsoft Defender XDR.

Ако работите с лицензи като Windows Professional или Microsoft 365 E3 без тези разширени функции, все още можете да използвате ASR, но ще трябва да разчитате повече на Преглед на събития, регистрационни файлове на Microsoft Defender Antivirus и собствени решения мониторинг и докладване (препращане на събития, SIEM и др.). Във всички случаи е важно да се прегледа списъкът с операционни системи поддържазащото различните правила имат минимални изисквания за Windows 10/11 и сървърни версии.

Режими на правилата на ASR и предварителна оценка

Всяко ASR правило може да бъде конфигурирано в четири състояния: не е конфигурирано/деактивирано, блокиране, одит или предупреждениеТези състояния са представени и с числови кодове (съответно 0, 1, 2 и 6), които се използват в GPO, MDM, Intune и PowerShell.

вид заключвам Активира правилото и директно спира подозрителното поведение. Режимът проверка Той регистрира събития, които биха били блокирани, но позволява действието да продължи, което ви позволява да оцените въздействието върху бизнес приложенията, преди да затегнете сигурността.

вид предупредителен (Предупреждение) е нещо като среден вариант: правилото се държи като блокиращо правило, но потребителят вижда диалогов прозорец, показващ, че съдържанието е блокирано и му се дава възможност да отключи временно за 24 часаСлед този период същият шаблон ще бъде блокиран отново, освен ако потребителят не го разреши отново.

Режимът на предупреждение се поддържа само от Windows 10 версия 1809 (RS5) и по-нова версияВ предишни версии, ако конфигурирате правило в режим на предупреждение, то всъщност се държи като правило за блокиране. Освен това, някои специфични правила не поддържат режим на предупреждение, когато са конфигурирани чрез Intune (въпреки че го поддържат чрез групови правила).

Преди да се стигне до точката на заключване, силно се препоръчва да се използва режим на одит и да се разчита на Управление на уязвимости в Microsoft DefenderТук можете да видите очакваното въздействие на всяко правило (процент на засегнатите устройства, потенциално въздействие върху потребителите и др.). Въз основа на данните от одита можете да решите кои правила да активирате в режим на блокиране, в кои пилотни групи и какви изключения са ви необходими.

Правила за ASR по тип: стандартни правила за защита и други правила

Microsoft класифицира ASR правилата в две групи: от една страна, стандартни правила за защитаТова са правилата, чието активиране почти винаги се препоръчва, защото имат много малко влияние върху използваемостта, а от друга страна, останалите правила обикновено изискват по-внимателна фаза на тестване.

Сред стандартните правила за защита се открояват например следните: „Блокиране на злоупотребата с експлоатирани уязвими подписани контролери“, „Блокиране на кражбата на идентификационни данни от подсистемата за локална сигурност (lsass.exe)“ o „Блокиране на постоянството чрез абонаменти за WMI събития“Те сочат директно към често срещани техники за ескалация на привилегиите, избягване на защитата и постоянство.

Останалите правила, макар и много мощни, е по-вероятно да конфликтират с корпоративни приложения, които използват интензивно скриптове, макроси, дъщерни процеси или инструменти за отдалечено администриране. Това включва всички онези, които засягат Office, Adobe Reader, PSExec, отдалечен WMI, обфусирани скриптове, изпълнение от USB, WebShellsИ др

За всяко правило Microsoft документира Име в Intune, възможно име в Configuration Manager, уникален GUID, зависимости (AMSI, Cloud Protection, RPC…) и видове събития, генерирани при разширено търсене (например AsrObfuscatedScriptBlocked, AsrOfficeChildProcessAuditedи т.н.). Тези GUID са тези, които ще трябва да използвате в GPO, MDM и PowerShell, за да активирате, деактивирате или промените режима.

Подробно описание на основните правила на ASR

Правилата на ASR обхващат много широк спектър от вектори на атакаПо-долу е дадено обобщение на най-подходящите от тях и какво точно блокира всяка от тях, въз основа на официални препоръки и практически опит.

Блокирайте злоупотребата с уязвими, експлоатирани подписани драйвери

Това правило не позволява на приложение с достатъчни привилегии да записване на подписани, но уязвими драйвери на диск които атакуващите могат да заредят, за да получат достъп до ядрото и да деактивират или заобиколят решенията за сигурност. Това не блокира зареждането на уязвими драйвери, които вече са налични, но прекъсва един от типичните начини за тяхното въвеждане.

Идентифицира се по GUID 56a863a9-875e-4185-98a7-b882c64b5ce5 и генерира събития от тип AsrVulnerableSignedDriverAudited y AsrVulnerableSignedDriverBlocked в разширеното търсене на Microsoft Defender.

Предотвратяване на създаването на дъщерни процеси от Adobe Reader

Целта на това правило е да се предотврати Adobe Reader служи като трамплин за изтегляне и стартиране на полезни товари. Блокира създаването на вторични процеси от Reader, предпазвайки от PDF експлойти и техники за социално инженерство, които разчитат на този четец.

Вашият GUID е 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2cи може да генерира събития AsrAdobeReaderChildProcessAudited y AsrAdobeReaderChildProcessBlockedЗависи от това дали Microsoft Defender Antivirus работи.

Предотвратяване на създаването на дъщерни процеси от всички приложения на Office

Това правило забранява Word, Excel, PowerPoint, OneNote и Access генериране на вторични процесиТова е директен начин за спиране на много макро-базирани атаки, стартирани от PowerShell. CMD или други системни инструменти за изпълнение на зловреден код.

Свързаният GUID е d4f940ab-401b-4efc-aadc-ad5f3c50688aВ реални сценарии, някои легитимни бизнес приложения също използват този модел (например, за да отворят командния ред или да приложите промени в системния регистър), така че е важно първо да го тествате в режим на одит.

Блокиране на кражба на LSASS идентификационни данни

Това правило защитава процеса lsass.exe срещу неоторизиран достъп от други процеси, намалявайки повърхността за атака за инструменти като Mimikatz, които се опитват да извличат хешове, пароли в открит текст или Kerberos билети.

Той споделя философия с Защита на идентификационните данни на Microsoft DefenderАко вече сте активирали Credential Guard, правилото добавя малко, но е много полезно в среди, където не можете да го активирате поради несъвместимост с шофьори или софтуер на трета страна. Вашият GUID е 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2.

Блокиране на изпълнимо съдържание от имейл клиенти и уеб поща

Тук въвеждаме правило, което е много съвместимо с фишинг атаките. То предотвратява... изпълними файлове, скриптове и компресирани файлове, изтеглени или прикачени от имейл и уебмейл клиенти изпълнява се директно. Прилага се предимно за Outlook, Outlook.com и популярни доставчици на уеб поща и е особено полезно в комбинация с други защити за имейл и с настройки за защитен браузър.

Вашият GUID е be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 и генерира събития като AsrExecutableEmailContentAudited y AsrExecutableEmailContentBlockedОсобено полезно е в комбинация с други защити на имейли.

Предотвратете изпълнението на изпълними файлове, ако не отговарят на критериите за разпространение, възраст или списък с надеждни ресурси.

Това правило блокира изпълнението на двоични файлове (.exe, .dll, .scr и др.), които не са достатъчно чести, достатъчно стари или надеждни Според данните за репутацията на Microsoft в облака, той е много мощен срещу нов зловреден софтуер, но може да бъде уязвим в среди с много вътрешен или необичаен софтуер.

GUID е 01443614-cd74-433a-b99e-2ecdc07bfc25 И това изрично зависи от Cloud Protection. Отново, това е ясен случай на правилото, че е най-добре да се започне в режим на одит и след това постепенно да се внедрява блокиране.

Блокиране на изпълнението на потенциално обфускирани скриптове

Обфускираният код е често срещан както за атакуващите, така и понякога за легитимните разработчици. Това правило анализира подозрителни функции в обфусирани PowerShell, VBScript, JavaScript или макроскриптове и блокира тези с висока вероятност да са злонамерени.

Вашият GUID е 5beb7efe-fd9a-4556-801d-275e5ffc04cc Използва AMSI (Antimalware Scan Interface) и облачна защита, за да вземе решение. Това е едно от най-ефективните правила срещу съвременни кампании, базирани на скриптове.

Предотвратяване на стартирането на изтеглени изпълними файлове от JavaScript или VBScript

Това правило се фокусира върху типичния модел на изтегляне: a Скрипт на JS или VBS изтегля двоичен файл от интернет и го изпълнява.Това, което ASR прави тук, е да предотврати точно тази стъпка на стартиране на изтегления изпълним файл.

Вашият GUID е d3e037e1-3eb8-44c8-a917-57927947596dТой също така разчита на AMSI и е особено важен в сценарии, където по-стари технологии или скриптове все още се използват в браузъра или на настолния компютър.

Предотвратяване на създаването на изпълнимо съдържание от приложенията на Office

Друга често срещана техника е използването на Office за записване на злонамерени компоненти на диск които се запазват след рестартиране (например постоянен изпълним файл или DLL). Това правило не позволява на Office да запазва или осъществява достъп до този тип изпълнимо съдържание, за да го стартира.

GUID е 3b576869-a4ec-4529-8536-b80a7769e899 Разчита на Microsoft Defender Antivirus и RPC. Много е ефективен при прекъсване на вериги от инфекции, базирани на макроси, които изтеглят постоянни полезни товари.

Предотвратяване на вмъкването на код в други процеси от приложенията на Office

Това не позволява на Office да използва техники на инжектиране в процесТова включва инжектиране на код в други процеси, за да се прикрие злонамерена дейност. Microsoft не е запозната с легитимни бизнес приложения на този модел, така че е сравнително безопасно правило за активиране в повечето среди.

Вашият GUID е 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84Документирани са обаче специфични приложения, които противоречат на това правило, така че ако в околната среда се появи шум, е препоръчително да се провери съвместимостта.

Предотвратяване на създаването на дъщерни процеси от приложенията за комуникация на Office

Основно насочено към Outlook и други комуникационни продукти на Office, това правило блокира създаване на вторични процеси от имейл клиентасмекчаване на атаки, които използват уязвимости в правила, формуляри или злонамерени имейли на Outlook за изпълнение на код.

Вашият GUID е 26190899-1602-49e8-8b27-eb1d0a1ce869 и помага за затваряне на много привлекателен вектор за целенасочени фишинг кампании.

Блокиране на постоянството чрез абонаменти за WMI събития

Много „безфайлови“ заплахи разчитат на WMI за постигане на постоянство без да оставя ясни следи на диска. Това правило блокира създаването на злонамерени абонаменти за WMI събития, които биха могли да рестартират код, когато е изпълнено условие.

Вашият GUID е e6db77e5-3df2-4cf1-b95a-636979351e5b и не позволява изключване на файлове или папки, именно за да се предотврати злоупотребата с тях.

Блокиране на процеси, създадени от PSExec и WMI команди

PsExec и WMI са легитимни инструменти за дистанционно администриране, но те също така се използват постоянно за странично движение и разпространение на зловреден софтуерТова правило предотвратява процеси, произхождащи от команди PSExec или WMI се изпълняват, намалявайки този вектор.

GUID е d1e49aac-8f56-4280-b9ba-993a6d77406cТова е едно от онези правила, при които координацията с администраторите и оперативните екипи е ключова, за да се избегне нарушаване на легитимните процеси на дистанционно управление.

Блокиране на рестартиране в безопасен режим, инициирано от команди

En безопасен режимМного решения за сигурност са деактивирани или силно ограничени. Някои ransomware програми злоупотребяват с команди като например bcdedit или bootcfg за рестартиране в безопасен режим и криптиране без особена съпротива. Това правило елиминира тази възможност, позволявайки постоянен достъп до безопасен режим само чрез средата за ръчно възстановяване.

Вашият GUID е 33ddedf1-c6e0-47cb-833e-de6133960387 и генерира събития като AsrSafeModeRebootBlocked o AsrSafeModeRebootWarnBypassed.

Блокиране на неподписани или ненадеждни процеси от USB

Тук се контролира класическият маршрут за влизане: USB устройства и SD картиС това правило, неподписаните или ненадеждни изпълними файлове, изпълнявани от тези носители, са блокирани. Това се отнася за двоични файлове като .exe, .dll, .scr и др.

GUID е b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 и е особено полезен в среди, където съществува риск от неконтролирана употреба на USB.

Блокиране на използването на копирани или фалшифицирани системни инструменти

Много атаки се опитват да копират или имитират Системни инструменти на Windows (като cmd.exe, powershell.exe, regsvr32.exe и др.) да се маскират като легитимни процеси. Това правило блокира изпълнението на изпълними файлове, идентифицирани като копия или измамници на тези инструменти.

Вашият GUID е c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb и произвежда събития като AsrAbusedSystemToolBlockedТова е добро допълнение към други техники за контрол на приложенията.

Блокиране на създаването на WebShell на сървъри

WebShells са скриптове, специално разработени за да се даде на нападателя дистанционен контрол над сървърапозволявайки му да изпълнява команди, да качва файлове, да извлича данни и др. Това правило, насочено към сървъри и роли като Exchange, блокира създаването на тези злонамерени скриптове.

GUID е a8f5898e-1dc8-49a9-9878-85004b8a61e6 и е проектиран специално за защита на открити сървъри.

Блокиране на Win32 API извиквания от макроси на Office

Вероятно едно от най-ефективните правила срещу макро злонамерен софтуерТой блокира импортирането и извикването на Win32 API на Office VBA код, който обикновено се използва за зареждане на шелкод в паметта, манипулиране на процеси, достъп до памет и др.

Вашият GUID е 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b и разчита на AMSI. На практика, той потиска в зародиш много шаблони за зловреден софтуер в Word и Excel, които разчитат на тези извиквания за изпълнение на произволен код.

Използване на усъвършенствана защита от ransomware

Това правило добавя допълнителен слой защита, базиран на евристики за клиенти и облак за откриване на поведение, съответстващо на ransomware. Взема предвид фактори като репутация, цифров подпис или разпространение, за да определи дали даден файл е по-вероятно да е ransomware, отколкото легитимна програма.

Вашият GUID е c1db55ab-c21a-4637-bb3f-a12568109d35И въпреки че се опитва да сведе до минимум фалшивите положителни резултати, той е склонен да бъде предпазлив, за да не пропусне истински шифър.

Методи за конфигуриране: Intune, MDM, Configuration Manager, GPO и PowerShell

Правилата за намаляване на повърхността на атаката могат да бъдат конфигурирани по няколко начина в зависимост от това как управлявате вашия парк от устройства. Общата препоръка на Microsoft е да използвате платформи за управление на корпоративно ниво (Intune или Configuration Manager), тъй като техните политики имат предимство пред GPO или локалните конфигурации на PowerShell при стартиране на системата.

Con Microsoft Intune Имате три подхода: специфична за ASR политика за сигурност на крайните точки, профили за конфигурация на устройства (Endpoint Protection) и персонализирани профили, използващи OMA-URI за дефиниране на правила по GUID и състояние. Във всички случаи можете да добавяте директно изключения на файлове и папки или да ги импортирате от CSV файл.

В среди генерични MDM-и Използва се CSP ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules За да дефинирате масив от GUID със състояния, разделени с вертикални черти. Например, можете да комбинирате няколко правила, като им присвоите 0, 1, 2 или 6, в зависимост от това дали искате да деактивирате, блокирате, одитирате или предупреждавате. Изключенията се управляват от CSP. ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions.

Con Диспечер на конфигурация на Microsoft Можете да създавате правила за Windows Defender Защитата от експлойти се фокусира върху „Намаляване на повърхността на атаката“, изберете кои правила искате да блокирате или одитирате и ги разположете на конкретни колекции от устройства.

La Групова политика Позволява ви да конфигурирате ASR чрез административни шаблони, като отидете до възлите Microsoft Defender Antivirus и „Намаляване на повърхността на атаката“. Там активирате политиката „Конфигуриране на правила за намаляване на повърхността на атаката“ и въвеждате GUID-тата със съответното им състояние. Допълнителен GPO ви позволява да дефинирате изключения на файлове и пътища.

На последно място, PowerShell Това е най-директният и полезен начин за еднократни тестове или автоматизирани скриптове. Командлети като Set-MpPreference y Add-MpPreference Те ви позволяват да активирате, одитирате, предупреждавате или деактивирате отделни правила, както и да управлявате списъка с изключения с -AttackSurfaceReductionOnlyExclusionsАко обаче е замесен GPO или Intune, техните настройки имат приоритет.

Изключения, конфликти на правила и известия

Почти всички правила на ASR позволяват изключване на файлове и папки Това предотвратява блокирането на легитимни приложения, които по дизайн проявяват поведение, подобно на злонамерен софтуер. Това е мощен инструмент, но трябва да се използва с хирургическа прецизност: прекалено широките изключения могат да оставят сериозни уязвимости.

Когато се прилагат конфликтуващи правила от MDM и Intune, конфигурацията на Груповата директива е с приоритет Ако съществува. Освен това, правилата на ASR поддържат поведение на сливане на политики: създава се надмножество с неконфликтиращaта конфигурация и конфликтиращите записи се пропускат за това устройство.

Всеки път, когато правило се задейства в блоков режим, потребителят вижда системно известие обяснение, че дадена операция е блокирана от съображения за сигурност. Тези известия могат да бъдат персонализирани с данни за компанията и информация за контакт. За някои правила и състояния се генерират и се виждат и EDR известия и вътрешни известия в портала на Microsoft Defender.

Не всички правила спазват Изключения на антивирусната програма на Microsoft Defender Нито пък вземат предвид индикаторите за компрометиране (IOC), конфигурирани в Defender for Endpoint. Например, правилото за блокиране на кражба на идентификационни данни на LSASS или правилото за блокиране на вмъкването на код на Office не вземат предвид определени IOC, именно за да поддържат тяхната надеждност.

Мониторинг на събития на ASR: Портал, Разширено търсене и Преглед на събития

Мониторингът е ключов, за да се гарантира, че ASR не е черна кутия. Defender for Endpoint предоставя подробни отчети за събития и блокажи свързани с правилата на ASR, които могат да бъдат прегледани както в портала на Microsoft Defender XDR, така и чрез разширено търсене.

Разширеното търсене ви позволява да стартирате консултации относно масата DeviceEventsфилтриране по типове действия, които започват с „Asr“. Например, основната заявка DeviceEvents | where ActionType startswith 'Asr' Показва ви събития, свързани с ASR, групирани по процес и по час, тъй като е нормализирано до един екземпляр на час, за да се намали обемът.

В среди без E5 или без достъп до тези възможности, винаги има възможност за преглед на Регистрационни файлове на Windows в програмата за преглед на събитияMicrosoft предоставя персонализирани изгледи (като например файла cfa-events.xml), които филтрират съответните събития с идентификатори като 5007 (промени в конфигурацията), 1121 (правило в режим на блокиране) и 1122 (правило в режим на одит).

При хибридни внедрявания е доста обичайно тези събития да се препращат към SIEM или централизирана платформа за регистриране, съпоставете ги с други индикатори и задействайте персонализирани предупреждения, когато определени правила започнат да генерират твърде много събития в конкретен сегмент от мрежата.

Намаляване на повърхността за атака отвъд ASR: стратегии, технологии и предизвикателства

Въпреки че правилата за ASR са много важен компонент, намаляването на повърхността за атака като глобална стратегия отива далеч отвъд крайната точка. То включва картографирайте всички активи и входни точкиЕлиминирайте ненужните услуги, сегментирайте мрежите, прилагайте строг контрол на достъпа, втвърдете системите, поддържайте сигурни конфигурации и защитете облака и API-тата.

Организациите обикновено започват с пълна инвентаризация на устройства, софтуер, акаунти и връзкиСлед това се идентифицират и деинсталират неизползваните услуги и приложения, мрежовите портове се затварят, а функциите, които не добавят стойност, се деактивират. Това опростява средата и намалява броя на „вратите“, които се нуждаят от наблюдение.

Частта от контрол на достъпа От решаващо значение е: прилагане на принципа за минимални привилегии, силни пароли, многофакторно удостоверяване, бързо отнемане на достъп, когато някой смени ролята си или напусне организацията, и наблюдение на подозрителни опити за влизане.

В облака, повърхността за атака нараства с всяка нова услуга, API или интеграция. Неправилни конфигурации в съхранениеПрекалено широките роли, осиротелите акаунти или несигурните стойности по подразбиране са често срещани проблеми. Тук влизат в действие редовните одити на конфигурацията, криптирането на данни в покой и по време на пренос, сегментирането на виртуалната мрежа и непрекъснатите прегледи на разрешенията.

За да се поддържа всичко това, технологии като инструменти за откриване и картографиране на активи, скенери за уязвимости, системи за контрол на достъпа, платформи за управление на конфигурации и инструменти за мрежова сигурност (защитни стени, IDS/IPS, NDR и др.). Решения като SentinelOne, например, комбинират защита на крайните точки, поведенчески анализ и автоматизиран отговор, за да намалят допълнително ефективната повърхност за атака.

Предизвикателствата са много: сложни зависимости между системитеНаличието на остарели приложения, които не поддържат съвременни мерки, бързият темп на технологични промени, ограниченията на ресурсите и вечният конфликт между сигурността и производителността допринасят за това предизвикателство. Намирането на правилния баланс изисква задълбочено разбиране на бизнеса и приоритизиране на критични активи и процеси.

В този контекст, правилата за ASR се превръщат в един от най-ефективните инструменти за ограничаване на полето на действие на атакуващия в крайната точка. Добре планирани (започвайки с одит), прецизно настроени с точни изключения и внимателно наблюдавани, те предотвратяват автоматичното ескалиране на потребителска грешка, единична експлойт или злонамерено USB устройство в критичен инцидент, помагайки за поддържането на по-малка, по-управляема и най-вече по-ефективна повърхност за атака. много по-трудно за експлоатация.