Hvad er ASR (Attack Surface Reduction), og hvordan beskytter det dine enheder?

Når du begynder at fordybe dig i Windows-sikkerhed og alt, hvad Microsoft Defender har at tilbyde, bruges udtrykket ASR (Reduktion af angrebsflade) Det dukker op igen og igen. Og det er ikke tilfældigt: vi taler om et sæt regler og teknikker, der har til formål at stoppe angreb, før de overhovedet har en chance for at starte.

I en sammenhæng med stadig mere sofistikerede truslerMed ransomware, obfuskerede scripts, tyveri af legitimationsoplysninger og filløse angreb er ASR-regler blevet en nøglekomponent i forebyggende forsvar. Problemet er, at de ofte ses som noget "magisk" og kompliceret, når de i virkeligheden har en ret klar logik, hvis de forklares roligt.

Hvad er ASR (Attack Surface Reduction), og hvilket problem løser det?

Reduktion af angrebsfladen, eller reduktion af angrebsfladenASR er en tilgang, der involverer at minimere alle punkter, hvorigennem en angriber kan komme ind i, flytte eller udføre kode i et miljø. I Microsofts specifikke tilfælde implementeres ASR gennem regler, der kontrollerer højrisiko-endpoint-adfærd: scriptudførelse, Office-makroer, processer, der startes fra USB-drev, WMI-misbrug osv.

Rent praktisk er Microsoft Defender ASR-regler for slutpunkt Det er politikker, der siger: "visse ting, der er typiske for malware De vil ikke være tilladt, selvom legitime programmer nogle gange også gør det. For eksempel Word støvle PowerShell, som en script Hvis en fil downloades fra internettet, starter den en eksekverbar fil, eller én proces forsøger at indsprøjte kode i en anden.

Den underliggende idé er at reducere antallet af veje, et angreb kan tage for at kompromittere systemet. Færre tilgængelige veje, mindre overfladearealDette passer perfekt med Zero Trust-modellen: vi antager, at der på et tidspunkt vil være et brud, så vi reducerer hændelsens "eksplosionsradius" så meget som muligt.

Det er vigtigt at skelne her mellem to begreber, der ofte blandes sammen: på den ene side at reducere angrebsfladen som en generel strategi (fjerning af unødvendige tjenester, lukning af porte, fjernelse af redundant software, begrænsning af tilladelser osv.), og på den anden side Microsoft Defender ASR-reglersom er en meget specifik delmængde af den strategi, fokuseret på endpoint og softwareadfærd.

Angrebsfladen: fysisk, digital og menneskelig

Når vi taler om en organisations angrebsflade, refererer vi til alle de punkter, hvor en angriber kan blive involveretEnheder, applikationer, onlinetjenester, brugerkonti, API'er, interne netværk, eksterne clouds osv. Det er ikke kun et teknisk problem; menneskelige fejl spiller også ind.

I den digitale sektion finder vi hjemmesider, servere, databaserendpoints, cloudtjenester og virksomhedsapplikationerEnhver forkert konfigureret tjeneste, enhver unødvendigt åben port, enhver ikke-patchet softwareapplikation kan være et indgangspunkt for et angreb. Derfor er mange virksomheder afhængige af EASM-værktøjer (External Attack Surface Management), der automatiserer opdagelsen af ​​eksponerede aktiver og sårbarheder.

På den fysiske overflade spiller følgende ind lokale servere, arbejdsstationer, netværksenheder og terminalerHer mindskes risikoen med fysisk adgangskontrol, kameraer, kort, låse, lukkede stativer og hardware Forstærket. Hvis alle kan få adgang til datacenteret med et USB-drev, er det ligegyldigt, hvor god din sikkerhedspolitik er.

Det tredje ben er den overflade, der er forbundet med social manipulation og den menneskelige faktorPhishing-e-mails, falske opkald, upassende hjemmesider eller simple medarbejderfejl, der fører til download af skadeligt indhold. Derfor involverer reduktion af angrebsfladen også træning og opmærksomhed, ikke kun teknologi.

ASR som en søjle i forebyggende sikkerhed og Zero Trust

I en Zero Trust-model antager vi, at netværket er allerede kompromitteret eller vil blive detOg det, vi sigter mod, er at forhindre angriberen i nemt at eskalere eller opnå privilegier. ASR-regler passer perfekt her, fordi de skaber barrierer mod de mest udnyttede angrebsvektorer, især ved endpointen.

ASR-reglerne anvender princippet om minimumsprivilegier anvendt på adfærdDet handler ikke kun om, hvilke tilladelser en konto har, men hvilke handlinger et specifikt program kan udføre. For eksempel kan Office stadig redigere dokumenter uden problemer, men det kan ikke længere starte baggrundsprocesser eller oprette eksekverbare filer på disken frit.

Denne type adfærdskontrol er særligt effektiv mod polymorfe trusler og filløse angrebSelvom malware konstant ændrer sin signatur eller hash, skal de fleste stadig gøre de samme ting: køre scripts, injicere kode i processer, manipulere LSASS, misbruge WMI, skrive sårbare drivere osv. ASR fokuserer netop på disse mønstre.

Derudover kan reglerne udføres på forskellige måder: blokering, revision eller advarselDette muliggør en faseopdelt implementering, startende med at observere dens indvirkning (revisionstilstand), derefter underrette brugeren (advarsel) og endelig blokere den nådesløst, når udelukkelserne er blevet justeret.

Forudsætninger og kompatible operativsystemer

For at få mest muligt ud af ASR-reglerne i Microsoft Defender er det vigtigt at have et solidt fundament. I praksis skal du Microsoft Defender Antivirus bør være dit primære antivirusprogram.kører i aktiv, ikke passiv, tilstand og med realtidsbeskyttelse aktiveret.

Mange regler, især de mere avancerede, kræver, at man har Cloud-leveret beskyttelse Aktiv og forbindelse til Microsofts cloudtjenester. Dette er nøglen til funktioner, der er afhængige af omdømme, udbredelse eller heuristikker i skyen, f.eks. reglen "eksekverbare filer, der ikke opfylder kriterierne for udbredelse, alder eller liste over betroede programmer" eller reglen "avanceret ransomware-beskyttelse".

Selvom ASR-reglerne ikke strengt taget kræver en licens Microsoft 365 E5, ja det er det Det anbefales kraftigt at have E5- eller tilsvarende licenser. Hvis du ønsker at have de avancerede administrations-, overvågnings-, analyse-, rapporterings- og arbejdsgangsfunktioner integreret i Microsoft Defender for Endpoint og Microsoft Defender XDR-portalen.

Hvis du arbejder med licenser som Windows Professional eller Microsoft 365 E3 uden disse avancerede funktioner, kan du stadig bruge ASR, men du bliver nødt til at stole mere på Hændelsesvisning, Microsoft Defender Antivirus-logfiler og proprietære løsninger overvågning og rapportering (videresendelse af begivenheder, SIEM osv.). I alle tilfælde er det vigtigt at gennemgå listen over OS understøttetfordi de forskellige regler har minimumskrav til Windows 10/11 og serverversioner.

ASR-regeltilstande og forhåndsvurdering

Hver ASR-regel kan konfigureres i fire tilstande: ikke konfigureret/deaktiveret, blokering, revision eller advarselDisse tilstande er også repræsenteret med numeriske koder (henholdsvis 0, 1, 2 og 6), der bruges i GPO, MDM, Intune og PowerShell.

tilstand lås Aktiverer reglen og stopper den mistænkelige adfærd direkte. Tilstanden revision Den logger hændelser, der ellers ville være blevet blokeret, men lader handlingen fortsætte, så du kan vurdere virkningen på forretningsapplikationer, før du strammer sikkerheden.

tilstand Advarsel (Advarsel) er en slags mellemvej: reglen opfører sig som en blokeringsregel, men brugeren ser en dialogboks, der angiver, at indhold er blevet blokeret, og får mulighed for at midlertidig oplåsning i 24 timerEfter denne periode vil det samme mønster blive blokeret igen, medmindre brugeren tillader det igen.

Advarselstilstand understøttes kun fra Windows 10 version 1809 (RS5) og nyereI tidligere versioner, hvis du konfigurerede en regel i advarselstilstand, ville den faktisk opføre sig som en blokregel. Derudover understøtter nogle specifikke regler ikke advarselstilstand, når den konfigureres via Intune (selvom de gør via gruppepolitik).

Før låsningen nås, anbefales det kraftigt at bruge revisionstilstand og stole på Microsoft Defender SårbarhedsstyringHer kan du se den forventede effekt af hver regel (procentdel af berørte enheder, potentiel effekt på brugerne osv.). Baseret på revisionsdataene kan du beslutte, hvilke regler der skal aktiveres i blokeringstilstand, i hvilke pilotgrupper, og hvilke undtagelser du har brug for.

ASR-regler efter type: standardbeskyttelsesregler og andre regler

Microsoft klassificerer ASR-regler i to grupper: på den ene side standardbeskyttelsesreglerDet er dem, der næsten altid anbefales at aktivere, fordi de har meget lille indflydelse på brugervenligheden, og på den anden side resten af ​​reglerne, der normalt kræver en mere omhyggelig testfase.

Blandt standardbeskyttelsesreglerne skiller følgende sig for eksempel ud: "Bloker misbrug af udnyttede sårbare signerede controllere", "Bloker tyveri af legitimationsoplysninger fra det lokale sikkerhedsmyndighedsundersystem (lsass.exe)" o "Blokér persistens via WMI-hændelsesabonnementer"Disse peger direkte på almindelige teknikker til privilegietoptrapping, forsvarsunddragelse og vedholdenhed.

De resterende regler, selvom de er meget effektive, er mere tilbøjelige til at komme i konflikt med virksomhedsapplikationer, der i høj grad bruger scripts, makroer, underordnede processer eller fjernadministrationsværktøjer. Dette inkluderer alle dem, der påvirker Office, Adobe Reader, PSExec, fjern-WMI, obfuskerede scripts, udførelse fra USB, WebShellsOsv

For hver regel dokumenterer Microsoft en Intune-navn, muligt navn i Configuration Manager, unikt GUID, afhængigheder (AMSI, Cloud Protection, RPC…) og typer af hændelser genereret i avanceret søgning (f.eks. AsrObfuscatedScriptBlocked, AsrOfficeChildProcessAuditedosv.). Disse GUID'er er dem, du skal bruge i GPO, MDM og PowerShell for at aktivere, deaktivere eller ændre tilstanden.

Detaljeret beskrivelse af de vigtigste ASR-regler

ASR-reglerne dækker en meget bred vifte af angrebsvektorerNedenfor er en oversigt over de mest relevante og hvad hver enkelt præcist blokerer, baseret på officielle referencer og praktisk erfaring.

Bloker misbrug af sårbare, udnyttede signerede chauffører

Denne regel forhindrer en applikation med tilstrækkelige rettigheder i at skriv signerede, men sårbare drivere til disk som angribere derefter kan indlæse for at få adgang til kernen og deaktivere eller omgå sikkerhedsløsninger. Det blokerer ikke indlæsningen af ​​sårbare drivere, der allerede var til stede, men det afskærer en af ​​de typiske måder at introducere dem på.

Det er identificeret af GUID'et 56a863a9-875e-4185-98a7-b882c64b5ce5 og genererer hændelser af typen AsrVulnerableSignedDriverAudited y AsrVulnerableSignedDriverBlocked i Microsoft Defenders avancerede søgning.

Forhindr Adobe Reader i at oprette underprocesser

Formålet med denne regel er at forhindre Adobe Reader fungerer som springbræt at downloade og starte data. Det blokerer oprettelsen af ​​sekundære processer fra Reader og beskytter mod PDF-angreb og social engineering-teknikker, der er afhængige af denne fremviser.

Dit GUID er 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2cog kan generere begivenheder AsrAdobeReaderChildProcessAudited y AsrAdobeReaderChildProcessBlockedDet afhænger af, at Microsoft Defender Antivirus fungerer.

Forhindr alle Office-programmer i at oprette underprocesser

Denne regel forbyder Word, Excel, PowerPoint, OneNote og Access generere sekundære processerDet er en direkte måde at stoppe mange makrobaserede angreb lanceret af PowerShell. CMD eller andre systemværktøjer til at udføre ondsindet kode.

Det tilhørende GUID er d4f940ab-401b-4efc-aadc-ad5f3c50688aI virkelige scenarier bruger nogle legitime forretningsapplikationer også dette mønster (for eksempel til at åbne en kommandoprompt eller anvende ændringer i registreringsdatabasen), så det er vigtigt at teste det først i revisionstilstand.

Bloker tyveri af LSASS-legitimationsoplysninger

Denne regel beskytter processen lsass.exe mod uautoriseret adgang fra andre processer, hvilket reducerer angrebsfladen for værktøjer som Mimikatz, der forsøger at udtrække hashes, adgangskoder i klartekst eller Kerberos-tickets.

Han deler en filosofi med Microsoft Defender Credential GuardHvis du allerede har aktiveret Credential Guard, tilføjer reglen kun lidt, men den er meget nyttig i miljøer, hvor du ikke kan aktivere den på grund af uforenelighed med drivere eller tredjepartssoftware. Dit GUID er 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2.

Bloker eksekverbart indhold fra e-mailklienter og webmail

Her indfører vi en regel, der minder meget om phishing-angreb. Den forhindrer... eksekverbare filer, scripts og komprimerede filer, der er downloadet eller vedhæftet fra e-mail- og webmailklienter køres direkte. Det gælder primært for Outlook, Outlook.com og populære webmail-udbydere og er især nyttigt i kombination med andre e-mail-beskyttelser og med sikre browserindstillinger.

Dit GUID er be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 og genererer begivenheder som f.eks. AsrExecutableEmailContentAudited y AsrExecutableEmailContentBlockedDet er især nyttigt i kombination med andre e-mail-beskyttelser.

Forhindr eksekverbare filer i at køre, hvis de ikke opfylder kriterierne for prævalens, alder eller tillidsliste.

Denne regel blokerer udførelsen af ​​binære filer (.exe, .dll, .scr osv.), der er ikke hyppige nok, gamle nok eller pålidelige Ifølge Microsofts data om cloud-omdømme er den meget effektiv mod ny malware, men kan være sårbar i miljøer med meget intern eller usædvanlig software.

GUID'et er 01443614-cd74-433a-b99e-2ecdc07bfc25 Og det afhænger eksplicit af Cloud Protection. Igen er det et klart eksempel på reglen om, at det er bedst at starte i revisionstilstand og derefter gradvist implementere blokering.

Bloker udførelsen af ​​potentielt forvirrede scripts

Obfuskeret kode er almindelig for både angribere og nogle gange legitime udviklere. Denne regel analyserer Mistænkelige funktioner i obfuskerede PowerShell-, VBScript-, JavaScript- eller makroscripts og blokerer dem med høj sandsynlighed for at være ondsindede.

Dit GUID er 5beb7efe-fd9a-4556-801d-275e5ffc04cc Den bruger AMSI (Antimalware Scan Interface) og cloud-beskyttelse til at træffe sin beslutning. Dette er en af ​​de mest effektive regler mod moderne scriptbaserede kampagner.

Forhindr JavaScript eller VBScript i at starte downloadede eksekverbare filer

Denne regel fokuserer på det typiske downloadmønster: a Et script i JS eller VBS downloader en binær fil fra internettet og udfører den.Hvad ASR gør her er at forhindre det præcise trin med at starte den downloadede eksekverbare fil.

Dit GUID er d3e037e1-3eb8-44c8-a917-57927947596dDet er også afhængigt af AMSI og er især afgørende i scenarier, hvor ældre teknologier eller scripts stadig bruges i browseren eller på skrivebordet.

Forhindr Office-programmer i at oprette eksekverbart indhold

En anden almindelig teknik er at bruge Office til skriv skadelige komponenter til disken der bevares efter en genstart (f.eks. en persistent eksekverbar fil eller DLL). Denne regel forhindrer Office i at gemme eller få adgang til den type eksekverbart indhold for at starte det.

GUID'et er 3b576869-a4ec-4529-8536-b80a7769e899 Den er afhængig af Microsoft Defender Antivirus og RPC. Den er meget effektiv til at bryde makrobaserede infektionskæder, der downloader vedvarende data.

Forhindr Office-programmer i at indsætte kode i andre processer

Dette forhindrer Office i at bruge teknikker til procesindsprøjtningDette involverer indsprøjtning af kode i andre processer for at skjule ondsindet aktivitet. Microsoft er ikke bekendt med nogen legitim forretningsmæssig anvendelse af dette mønster, så det er en forholdsvis sikker regel at aktivere i de fleste miljøer.

Dit GUID er 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84Der er dog dokumenteret specifikke anvendelser, der er i konflikt med denne regel, så hvis der opstår støj i omgivelserne, anbefales det at kontrollere kompatibiliteten.

Forhindr Office-kommunikationsprogrammer i at oprette underprocesser

Denne regel, der primært er rettet mod Outlook og andre Office-kommunikationsprodukter, blokerer oprettelse af sekundære processer fra e-mailklientenafbødning af angreb, der udnytter sårbarheder i Outlook-regler, formularer eller ondsindede e-mails til at udføre kode.

Dit GUID er 26190899-1602-49e8-8b27-eb1d0a1ce869 og hjælper med at lukke en meget attraktiv vektor for målrettede phishing-kampagner.

Bloker persistens via WMI-hændelsesabonnementer

Mange "filløse" trusler er afhængige af WMI for at opnå persistens uden at efterlade tydelige spor på disken. Denne regel blokerer oprettelsen af ​​ondsindede WMI-hændelsesabonnementer, der kan genstarte kode, når en betingelse er opfyldt.

Dit GUID er e6db77e5-3df2-4cf1-b95a-636979351e5b og den tillader ikke udelukkelser af filer eller mapper, netop for at forhindre dem i at blive misbrugt.

Blokprocesser oprettet fra PSExec- og WMI-kommandoer

PsExec og WMI er legitime fjernadministrationsværktøjer, men de bruges også konstant til lateral bevægelse og malware-spredningDenne regel forhindrer processer, der stammer fra kommandoer PSExec eller WMI udføres, hvilket reducerer vektoren.

GUID'et er d1e49aac-8f56-4280-b9ba-993a6d77406cDet er en af ​​de regler, hvor koordinering med administratorer og driftsteams er nøglen til at undgå at forstyrre legitime fjernadministrationsprocesser.

Bloker genstart i sikker tilstand initieret af kommandoer

En sikker tilstandMange sikkerhedsløsninger er deaktiveret eller stærkt begrænsede. Nogle ransomware-programmer misbruger kommandoer som f.eks. bcdedit eller bootcfg for at genstarte i fejlsikret tilstand og kryptere uden megen modstand. Denne regel eliminerer denne mulighed og tillader fortsat adgang til sikker tilstand kun via det manuelle gendannelsesmiljø.

Dit GUID er 33ddedf1-c6e0-47cb-833e-de6133960387 og genererer begivenheder som f.eks. AsrSafeModeRebootBlocked o AsrSafeModeRebootWarnBypassed.

Bloker usignerede eller ikke-tillidfulde processer fra USB

Her styres et klassisk indgangspunkt: USB-drev og SD-kortMed denne regel blokeres usignerede eller ikke-tillidfulde eksekverbare filer, der køres fra disse medier. Dette gælder for binære filer som .exe, .dll, .scr osv.

GUID'et er b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 og det er især nyttigt i miljøer, hvor der er risiko for ukontrolleret USB-brug.

Bloker brugen af ​​kopierede eller forfalskede systemværktøjer

Mange angreb forsøger at kopiere eller imitere Windows-systemværktøjer (såsom cmd.exe, powershell.exe, regsvr32.exe osv.) til at udgive sig for at være legitime processer. Denne regel blokerer udførelsen af ​​eksekverbare filer, der er identificeret som kopier eller bedragere af disse værktøjer.

Dit GUID er c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb og producerer arrangementer som f.eks. AsrAbusedSystemToolBlockedDet er et godt supplement til andre applikationskontrolteknikker.

Bloker oprettelsen af ​​WebShell på servere

WebShells er scripts, der er specielt designet til at give angriberen fjernkontrol over en serverså den kan udføre kommandoer, uploade filer, exfiltrere data osv. Denne regel, der er rettet mod servere og roller som Exchange, blokerer oprettelsen af ​​disse ondsindede scripts.

GUID'et er a8f5898e-1dc8-49a9-9878-85004b8a61e6 og den er designet til specifikt at hærde udsatte servere.

Bloker Win32 API-kald fra Office-makroer

Sandsynligvis en af ​​de mest effektive regler mod makro-malwareDen blokerer Office VBA-kode fra at importere og kalde Win32 API'er, som almindeligvis bruges til at indlæse shellcode i hukommelsen, manipulere processer, tilgå hukommelse osv.

Dit GUID er 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b og den er afhængig af AMSI. I praksis kvæler den mange malware-skabeloner i Word og Excel, der er afhængige af disse kald for at udføre vilkårlig kode.

Brug af avanceret ransomware-beskyttelse

Denne regel tilføjer et ekstra lag af beskyttelse baseret på kunde- og cloud-heuristikker at detektere adfærd, der er forenelig med ransomware. Den tager højde for faktorer som omdømme, digital signatur eller udbredelse for at afgøre, om en fil er mere tilbøjelig til at være ransomware end et legitimt program.

Dit GUID er c1db55ab-c21a-4637-bb3f-a12568109d35Og selvom den forsøger at minimere falske positiver, har den en tendens til at være på den forsigtige side for ikke at gå glip af en rigtig chiffer.

Konfigurationsmetoder: Intune, MDM, Configuration Manager, GPO og PowerShell

Regler for reduktion af angrebsflader kan konfigureres på flere måder afhængigt af, hvordan du administrerer din enhedsflåde. Microsofts generelle anbefaling er at bruge administrationsplatforme på virksomhedsniveau (Intune eller Configuration Manager), da deres politikker har forrang over GPO- eller lokale PowerShell-konfigurationer, når systemet starter.

med Microsoft Intune Du har tre tilgange: den ASR-specifikke slutpunktssikkerhedspolitik, enhedskonfigurationsprofiler (Endpoint Protection) og brugerdefinerede profiler ved hjælp af OMA-URI til at definere regler efter GUID og tilstand. I alle tilfælde kan du tilføje fil- og mappeudelukkelser direkte eller importere dem fra en CSV-fil.

I miljøer generiske MDM'er CSP bruges ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules At definere en række GUID'er med statusser, adskilt af lodrette bjælker. For eksempel kan du kombinere flere regler ved at tildele 0, 1, 2 eller 6, afhængigt af om du vil deaktivere, blokere, revidere eller advare. Udelukkelser administreres med CSP'en. ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions.

med Microsoft Konfigurationsstyring Du kan oprette politikker for Windows Defender Exploit Guard fokuserer på "Reduktion af angrebsflader", vælg hvilke regler du vil blokere eller revidere, og implementer dem til specifikke samlinger af enheder.

La Gruppepolitik Det giver dig mulighed for at konfigurere ASR via administrative skabeloner ved at navigere til Microsoft Defender Antivirus og noderne "Attack Surface Reduction". Der aktiverer du politikken "Konfigurer regler for angrebsoverfladereduktion" og indtaster GUID'erne med deres tilsvarende status. Et ekstra GPO giver dig mulighed for at definere fil- og stiudelukkelser.

Endelig PowerShell Det er den mest direkte og nyttige metode til engangstests eller automatiseringsscripts. Cmdlets som f.eks. Set-MpPreference y Add-MpPreference De giver dig mulighed for at aktivere, revidere, advare eller deaktivere individuelle regler, samt administrere udelukkelseslisten med -AttackSurfaceReductionOnlyExclusionsHvis der dog er et GPO eller Intune involveret, har deres indstillinger forrang.

Udelukkelser, politikkonflikter og notifikationer

Næsten alle ASR-regler tillader ekskluder filer og mapper Dette forhindrer blokering af legitime applikationer, der per design udviser malware-lignende adfærd. Det er et kraftfuldt værktøj, men det skal bruges med kirurgisk præcision: for brede udelukkelser kan efterlade alvorlige sårbarheder.

Når der anvendes modstridende politikker fra MDM og Intune, konfigureres Gruppedirektiv har prioritet Hvis den findes. Derudover understøtter ASR-regler en politikfletningsadfærd: et supersæt konstrueres med den ikke-konfliktfyldte konfiguration, og modstridende poster udelades for den pågældende enhed.

Hver gang en regel udløses i bloktilstand, ser brugeren en systemmeddelelse der forklarer, at en handling er blevet blokeret af sikkerhedsmæssige årsager. Disse meddelelser kan tilpasses med virksomhedsoplysninger og kontaktoplysninger. For nogle regler og statusser genereres EDR-advarsler og interne meddelelser også, og de er synlige i Microsoft Defender-portalen.

Ikke alle regler respekterer Undtagelser fra Microsoft Defender-antivirus De tager heller ikke højde for de kompromitteringsindikatorer (IOC'er), der er konfigureret i Defender for Endpoint. For eksempel tager LSASS-blokeringsreglen for tyveri af legitimationsoplysninger eller blokeringsreglen for indsættelse af Office-kode ikke visse IOC'er i betragtning, netop for at opretholde deres robusthed.

ASR-hændelsesovervågning: Portal, avanceret søgning og hændelsesvisning

Overvågning er nøglen til at sikre, at ASR ikke er en sort boks. Defender for Endpoint leverer detaljerede rapporter om hændelser og blokeringer relateret til ASR-regler, som kan konsulteres både på Microsoft Defender XDR-portalen og via avanceret søgning.

Avanceret søgning giver dig mulighed for at starte konsultationer om bordet DeviceEventsfiltrering efter handlingstyper, der starter med "Asr". For eksempel den grundlæggende forespørgsel DeviceEvents | where ActionType startswith 'Asr' Den viser dig ASR-relaterede hændelser grupperet efter proces og time, da det er normaliseret til en enkelt forekomst i timen for at reducere volumen.

I miljøer uden E5 eller uden adgang til disse funktioner er der altid mulighed for at gennemgå Windows-logfiler i LogbogMicrosoft leverer brugerdefinerede visninger (f.eks. filen cfa-events.xml), der filtrerer relevante hændelser med identifikatorer som 5007 (konfigurationsændringer), 1121 (regel i blokeringstilstand) og 1122 (regel i revisionstilstand).

For hybride implementeringer er det ret almindeligt at videresende disse hændelser til en SIEM eller centraliseret loggingplatform, korrelere dem med andre indikatorer og udløse brugerdefinerede advarsler, når bestemte regler begynder at generere for mange hændelser i et specifikt segment af netværket.

Reduktion af angrebsfladen ud over ASR: strategier, teknologier og udfordringer

Selvom ASR-regler er en meget vigtig komponent, går reduktion af angrebsfladen som en global strategi langt ud over slutpunktet. Det involverer kortlæg alle aktiver og indgangspunkterEliminer unødvendige tjenester, segmenter netværk, anvend strenge adgangskontroller, forstærk systemer, oprethold sikre konfigurationer og beskyt skyen og API'er.

Organisationer starter typisk med en komplet opgørelse over enheder, software, konti og forbindelserDernæst identificeres og afinstalleres ubrugte tjenester og applikationer, netværksporte lukkes, og funktioner, der ikke tilføjer værdi, deaktiveres. Dette forenkler miljøet og reducerer antallet af "døre", der skal overvåges.

Den del af kontrol de acceso Det er afgørende: anvendelse af princippet om mindst mulig privilegium, stærke adgangskoder, multifaktor-godkendelse, hurtig tilbagekaldelse af adgang, når nogen skifter rolle eller forlader organisationen, og overvågning af mistænkelige loginforsøg.

I skyen vokser angrebsfladen med hver ny tjeneste, API eller integration. Fejlkonfigurationer i opbevaringFor brede roller, forældreløse konti eller usikre standardværdier er almindelige problemer. Det er her, regelmæssige konfigurationsrevisioner, kryptering af data i hvile og under transit, virtuel netværkssegmentering og løbende tilladelsesgennemgange kommer i spil.

For at understøtte alt dette, teknologier som f.eks. Værktøjer til registrering og kortlægning af aktiver, sårbarhedsscannere, adgangskontrolsystemer, konfigurationsstyringsplatforme og netværkssikkerhedsværktøjer (firewalls, IDS/IPS, NDR osv.). Løsninger som SentinelOne kombinerer for eksempel endpoint-beskyttelse, adfærdsanalyse og automatiseret respons for yderligere at reducere den effektive angrebsflade.

Udfordringerne er mange: komplekse afhængigheder mellem systemerTilstedeværelsen af ​​ældre applikationer, der ikke understøtter moderne foranstaltninger, den hurtige teknologiske forandring, ressourcebegrænsninger og den evige konflikt mellem sikkerhed og produktivitet bidrager alle til denne udfordring. At finde den rette balance kræver en dyb forståelse af virksomheden og prioritering af kritiske aktiver og processer.

I denne kontekst bliver ASR-regler et af de mest effektive værktøjer til at begrænse angriberens spillefelt ved slutpunktet. Velplanlagte (startende med revision), finjusterede med præcise udelukkelser og omhyggeligt overvågede, forhindrer de en brugerfejl, en enkelt udnyttelse eller et ondsindet USB-drev i automatisk at eskalere til en kritisk hændelse, hvilket hjælper med at opretholde en mindre, mere håndterbar og frem for alt mere effektiv angrebsflade. meget sværere at udnytte.