Hva er ASR (Attack Surface Reduction), og hvordan beskytter det enhetene dine?

Når du begynner å fordype deg i Windows-sikkerhet og alt Microsoft Defender har å tilby, begrepet ASR (Reduksjon av angrepsflater) Det dukker opp gang på gang. Og det er ingen tilfeldighet: vi snakker om et sett med regler og teknikker som har som mål å stoppe angrep før de i det hele tatt har en sjanse til å starte.

I en sammenheng med stadig mer sofistikerte truslerMed løsepengevirus, obfuskerte skript, tyveri av legitimasjon og filløse angrep har ASR-regler blitt en nøkkelkomponent i forebyggende forsvar. Problemet er at de ofte blir sett på som noe «magisk» og komplisert, når de i virkeligheten har en ganske klar logikk hvis de forklares rolig.

Hva er ASR (Attack Surface Reduction), og hvilket problem løser det?

Reduksjon av angrepsflaten, eller reduksjon av angrepsflatenASR er en tilnærming som innebærer å minimere alle punkter der en angriper kan gå inn i, flytte eller kjøre kode i et miljø. I Microsofts spesifikke tilfelle implementeres ASR gjennom regler som kontrollerer høyrisiko-endepunktatferd: skriptkjøring, Office-makroer, prosesser som startes fra USB-stasjoner, WMI-misbruk osv.

Rent praktisk er Microsoft Defender ASR-regler for endepunkt Dette er retningslinjer som sier: «visse ting som er typiske for malware De vil ikke være tillatt, selv om legitime applikasjoner noen ganger også gjør det. For eksempel Word boot PowerShell, som en script nedlastet fra Internett starter en kjørbar fil, eller én prosess prøver å injisere kode i en annen.

Den underliggende ideen er å redusere antall veier et angrep kan ta for å kompromittere systemet. Færre tilgjengelige veier, mindre overflatearealDette passer perfekt med Zero Trust-modellen: vi antar at det på et tidspunkt vil være et brudd, så vi reduserer «eksplosjonsradiusen» for hendelsen så mye som mulig.

Det er viktig å skille her mellom to konsepter som ofte blandes sammen: på den ene siden, å redusere angrepsflaten som en generell strategi (fjerne unødvendige tjenester, lukke porter, fjerne overflødig programvare, begrense tillatelser osv.), og på den annen side Microsoft Defender ASR-reglersom er en veldig spesifikk delmengde av den strategien, fokusert på endepunktet og programvareatferd.

Angrepsflaten: fysisk, digital og menneskelig

Når vi snakker om en organisasjons angrepsflate, refererer vi til alle punktene der en angriper kan bli involvertEnheter, applikasjoner, nettjenester, brukerkontoer, API-er, interne nettverk, eksterne skyer osv. Det er ikke bare et teknisk problem; menneskelige feil spiller også inn.

I den digitale delen finner vi nettsteder, servere, databaserendepunkter, skytjenester og bedriftsapplikasjonerHver feilkonfigurerte tjeneste, hver unødvendig åpne port, hvert uoppdaterte program kan være et inngangspunkt for et angrep. Det er derfor mange selskaper er avhengige av EASM-verktøy (External Attack Surface Management) som automatiserer oppdagelsen av eksponerte ressurser og sårbarheter.

På den fysiske overflaten spiller følgende inn lokale servere, arbeidsstasjoner, nettverksenheter og terminalerHer reduseres risikoen med fysiske adgangskontroller, kameraer, kort, låser, lukkede stativer og maskinvare Forsterket. Hvis hvem som helst kan få tilgang til datasenteret med en USB-stasjon, spiller det ingen rolle hvor god sikkerhetspolicyen din er.

Det tredje benet er overflaten som er assosiert med sosial manipulasjon og den menneskelige faktorenPhishing-e-poster, falske samtaler, upassende nettsteder eller enkle ansattfeil som fører til nedlasting av skadelig innhold. Derfor innebærer det å redusere angrepsflaten også opplæring og bevissthet, ikke bare teknologi.

ASR som en pilar for forebyggende sikkerhet og nulltillit

I en nulltillitsmodell antar vi at nettverket er allerede kompromittert eller vil bli detOg det vi sikter mot er å forhindre at angriperen enkelt eskalerer eller får privilegier. ASR-regler passer perfekt her fordi de setter barrierer mot de mest utnyttede angrepsvektorene, spesielt ved endepunktet.

ASR-reglene anvender prinsippet om minimumsprivilegier brukt på oppførselDet handler ikke bare om hvilke tillatelser en konto har, men hvilke handlinger et bestemt program kan utføre. For eksempel kan Office fortsatt redigere dokumenter uten problemer, men det kan ikke lenger starte bakgrunnsprosesser eller opprette kjørbare filer på disk fritt.

Denne typen atferdskontroll er spesielt effektiv mot polymorfe trusler og filløse angrepSelv om skadelig programvare stadig endrer signaturen eller hashen sin, må de fleste fortsatt gjøre de samme tingene: kjøre skript, injisere kode i prosesser, manipulere LSASS, misbruke WMI, skrive sårbare drivere osv. ASR fokuserer nettopp på disse mønstrene.

Videre kan reglene utføres på forskjellige måter: blokkering, revisjon eller advarselDette muliggjør en faseinndelt adopsjon, som starter med å observere effekten (revisjonsmodus), deretter varsler brukeren (advarsel), og til slutt blokkerer den nådeløst når ekskluderingene er justert.

Forutsetninger og kompatible operativsystemer

For å få mest mulig ut av ASR-reglene i Microsoft Defender, er det viktig å ha et solid grunnlag. I praksis må du Microsoft Defender Antivirus bør være ditt primære antivirusprogram.kjører i aktiv, ikke passiv, modus, og med sanntidsbeskyttelse aktivert.

Mange regler, spesielt de mer avanserte, krever at man har Sky-levert beskyttelse Aktiv og tilkoblingsbar med Microsofts skytjenester. Dette er nøkkelen for funksjoner som er avhengige av omdømme, utbredelse eller heuristikker i skyen, for eksempel regelen «kjørbare filer som ikke oppfyller kriteriene for utbredelse, alder eller klarert liste» eller regelen «avansert beskyttelse mot løsepengevirus».

Selv om ASR-reglene ikke strengt tatt krever lisens Microsoft 365 E5, ja det er det Det anbefales på det sterkeste å ha E5- eller tilsvarende lisenser. Hvis du vil ha avanserte funksjoner for administrasjon, overvåking, analyse, rapportering og arbeidsflyt integrert i Microsoft Defender for Endpoint og Microsoft Defender XDR-portalen.

Hvis du jobber med lisenser som Windows Professional eller Microsoft 365 E3 uten disse avanserte funksjonene, kan du fortsatt bruke ASR, men du må stole mer på Hendelsesvisning, Microsoft Defender Antivirus-logger og proprietære løsninger overvåking og rapportering (videresending av hendelser, SIEM osv.). I alle tilfeller er det viktig å gjennomgå listen over OS støttesfordi de forskjellige reglene har minimumskrav for Windows 10/11 og serverversjoner.

ASR-regelmoduser og forhåndsvurdering

Hver ASR-regel kan konfigureres i fire tilstander: ikke konfigurert/deaktivert, blokkering, revisjon eller advarselDisse tilstandene er også representert med numeriske koder (henholdsvis 0, 1, 2 og 6) som brukes i GPO, MDM, Intune og PowerShell.

modus låse Aktiverer regelen og stopper den mistenkelige oppførselen direkte. Modusen revisjon Den logger hendelser som ville blitt blokkert, men lar handlingen fortsette, slik at du kan vurdere virkningen på forretningsapplikasjoner før du strammer inn sikkerheten.

modus advarsel (Advarsel) er en slags mellomting: regelen oppfører seg som en blokkeringsregel, men brukeren ser en dialogboks som indikerer at innhold er blokkert og får muligheten til å låse opp midlertidig i 24 timerEtter den perioden vil det samme mønsteret bli blokkert igjen med mindre brukeren tillater det igjen.

Varslingsmodus støttes kun fra Windows 10 versjon 1809 (RS5) og nyereI tidligere versjoner, hvis du konfigurerte en regel i advarselsmodus, ville den faktisk oppføre seg som en blokkeringsregel. I tillegg støtter ikke noen spesifikke regler advarselsmodus når de konfigureres via Intune (selv om de gjør det via gruppepolicy).

Før låsepunktet når frem, anbefales det sterkt å bruke revisjonsmodus og stole på Microsoft Defender SårbarhetshåndteringHer kan du se den forventede effekten av hver regel (prosentandel av berørte enheter, potensiell innvirkning på brukere osv.). Basert på revisjonsdataene kan du bestemme hvilke regler som skal aktiveres i blokkeringsmodus, i hvilke pilotgrupper og hvilke unntak du trenger.

ASR-regler etter type: standard beskyttelsesregler og andre regler

Microsoft klassifiserer ASR-regler i to grupper: på den ene siden standard beskyttelsesreglerDette er de som nesten alltid anbefales å aktivere fordi de har svært liten innvirkning på brukervennligheten, og på den annen side resten av reglene som vanligvis krever en mer nøye testfase.

Blant standardbeskyttelsesreglene skiller følgende seg ut, for eksempel: «Blokker misbruk av utnyttede sårbare signerte kontrollører», "Blokker tyveri av legitimasjon fra det lokale sikkerhetsmyndighetens delsystem (lsass.exe)" o "Blokker persistens gjennom WMI-hendelsesabonnementer"Disse peker direkte på vanlige teknikker for privilegiumsopptrapping, forsvarsondring og vedvarende.

De resterende reglene, selv om de er svært kraftige, er mer sannsynlig å komme i konflikt med bedriftsapplikasjoner som bruker skript, makroer, underordnede prosesser eller verktøy for fjernadministrasjon i stor grad. Dette inkluderer alle de som påvirker Office, Adobe Reader, PSExec, ekstern WMI, obfuskerte skript, utførelse fra USB, WebShellsOsv

For hver regel dokumenterer Microsoft en Intune-navn, mulig navn i Configuration Manager, unik GUID, avhengigheter (AMSI, Cloud Protection, RPC…) og typer hendelser generert i avansert søk (for eksempel AsrObfuscatedScriptBlocked, AsrOfficeChildProcessAuditedosv.). Disse GUID-ene er de du må bruke i GPO, MDM og PowerShell for å aktivere, deaktivere eller endre modusen.

Detaljert beskrivelse av de viktigste ASR-reglene

ASR-regler dekker et svært bredt spekter av angrepsvektorerNedenfor er en oppsummering av de mest relevante og hva hver enkelt blokkerer, basert på offisielle referanser og praktisk erfaring.

Blokker misbruk av sårbare, utnyttede signerte sjåfører

Denne regelen hindrer at et program med tilstrekkelige rettigheter skriv signerte, men sårbare drivere til disk som angripere deretter kan laste inn for å få tilgang til kjernen og deaktivere eller omgå sikkerhetsløsninger. Det blokkerer ikke lasting av sårbare drivere som allerede var til stede, men det kutter av en av de typiske måtene å introdusere dem på.

Den identifiseres av GUID-en 56a863a9-875e-4185-98a7-b882c64b5ce5 og genererer hendelser av typen AsrVulnerableSignedDriverAudited y AsrVulnerableSignedDriverBlocked i Microsoft Defenders avanserte søk.

Hindre Adobe Reader i å opprette underprosesser

Formålet med denne regelen er å forhindre Adobe Reader fungerer som et springbrett å laste ned og starte nyttelaster. Den blokkerer opprettelsen av sekundære prosesser fra Reader, og beskytter mot PDF-utnyttelser og sosial manipulering som er avhengige av dette visningsprogrammet.

GUID-en din er 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2cog kan generere hendelser AsrAdobeReaderChildProcessAudited y AsrAdobeReaderChildProcessBlockedDet avhenger av at Microsoft Defender Antivirus er i drift.

Hindre alle Office-applikasjoner i å opprette underprosesser

Denne regelen forbyr Word, Excel, PowerPoint, OneNote og Access generere sekundære prosesserDet er en direkte måte å stoppe mange makrobaserte angrep lansert av PowerShell. CMD eller andre systemverktøy for å kjøre skadelig kode.

Den tilhørende GUID-en er d4f940ab-401b-4efc-aadc-ad5f3c50688aI virkelige scenarier bruker noen legitime forretningsapplikasjoner også dette mønsteret (for eksempel for å åpne en ledetekst eller bruke endringer i registeret), så det er viktig å teste det først i revisjonsmodus.

Blokker tyveri av LSASS-legitimasjon

Denne regelen beskytter prosessen lsass.exe mot uautorisert tilgang fra andre prosesser, noe som reduserer angrepsflaten for verktøy som Mimikatz, som prøver å trekke ut hasher, passord i ren tekst eller Kerberos-billetter.

Han deler en filosofi med Microsoft Defender Credential GuardHvis du allerede har aktivert Credential Guard, tilfører regelen lite, men den er veldig nyttig i miljøer der du ikke kan aktivere den på grunn av inkompatibilitet med drivere eller tredjepartsprogramvare. GUID-en din er 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2.

Blokker kjørbart innhold fra e-postklienter og webmail

Her legger vi inn en regel som er veldig lik phishing-angrep. Det den gjør er å forhindre... kjørbare filer, skript og komprimerte filer som er lastet ned eller lagt ved fra e-post- og webpostklienter kjøres direkte. Den gjelder primært for Outlook, Outlook.com og populære webpostleverandører, og er spesielt nyttig i kombinasjon med annen e-postbeskyttelse og med sikre nettleserinnstillinger.

GUID-en din er be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 og genererer hendelser som AsrExecutableEmailContentAudited y AsrExecutableEmailContentBlockedDet er spesielt nyttig i kombinasjon med annen e-postbeskyttelse.

Hindre kjørbare filer i å kjøre hvis de ikke oppfyller kriteriene for prevalens, alder eller tillitsliste.

Denne regelen blokkerer kjøringen av binærfiler (.exe, .dll, .scr osv.) som er ikke hyppige nok, gamle nok eller pålitelige Ifølge Microsofts data om skyomdømme er den svært kraftig mot ny skadelig programvare, men kan være sårbar i miljøer med mye intern eller uvanlig programvare.

GUID-en er 01443614-cd74-433a-b99e-2ecdc07bfc25 Og det avhenger eksplisitt av Cloud Protection. Igjen er det et tydelig eksempel på regelen om at det er best å starte i revisjonsmodus og deretter gradvis implementere blokkering.

Blokker kjøringen av potensielt obfuskerte skript

Obfuskert kode er vanlig for både angripere og noen ganger legitime utviklere. Denne regelen analyserer mistenkelige funksjoner i obfuskerte PowerShell-, VBScript-, JavaScript- eller makroskript og blokkerer de med høy sannsynlighet for å være ondsinnede.

GUID-en din er 5beb7efe-fd9a-4556-801d-275e5ffc04cc Den bruker AMSI (Antimalware Scan Interface) og skybeskyttelse for å ta sin avgjørelse. Dette er en av de mest effektive reglene mot moderne skriptbaserte kampanjer.

Hindre JavaScript eller VBScript i å starte nedlastede kjørbare filer

Denne regelen fokuserer på det typiske nedlastingsmønsteret: a Et skript i JS eller VBS laster ned en binærfil fra internett og kjører den.Det ASR gjør her er å forhindre det nøyaktige trinnet med å starte den nedlastede kjørbare filen.

GUID-en din er d3e037e1-3eb8-44c8-a917-57927947596dDen er også avhengig av AMSI og er spesielt viktig i scenarier der eldre teknologier eller skript fortsatt brukes i nettleseren eller på skrivebordet.

Hindre Office-applikasjoner i å opprette kjørbart innhold

En annen vanlig teknikk er å bruke Office til skrive skadelige komponenter til disk som vedvarer etter en omstart (for eksempel en vedvarende kjørbar fil eller DLL). Denne regelen hindrer Office i å lagre eller få tilgang til den typen kjørbart innhold for å starte det.

GUID-en er 3b576869-a4ec-4529-8536-b80a7769e899 Den er avhengig av Microsoft Defender Antivirus og RPC. Den er svært effektiv til å bryte makrobaserte infeksjonskjeder som laster ned vedvarende nyttelaster.

Hindre Office-programmer i å sette inn kode i andre prosesser

Dette hindrer Office i å bruke teknikker for prosessinjeksjonDette innebærer å injisere kode i andre prosesser for å skjule ondsinnet aktivitet. Microsoft er ikke klar over noen legitim forretningsbruk for dette mønsteret, så det er en ganske trygg regel å aktivere i de fleste miljøer.

GUID-en din er 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84Imidlertid er det dokumentert spesifikke bruksområder som er i konflikt med denne regelen, så hvis det oppstår støy i omgivelsene, anbefales det å sjekke kompatibiliteten.

Hindre Office-kommunikasjonsprogrammer i å opprette underprosesser

Denne regelen, som primært er rettet mot Outlook og andre Office-kommunikasjonsprodukter, blokkerer opprette sekundære prosesser fra e-postklientenredusere angrep som utnytter sårbarheter i Outlook-regler, skjemaer eller ondsinnede e-poster for å kjøre kode.

GUID-en din er 26190899-1602-49e8-8b27-eb1d0a1ce869 og bidrar til å lukke en svært attraktiv vektor for målrettede phishing-kampanjer.

Blokker persistens gjennom WMI-hendelsesabonnementer

Mange «filløse» trusler er avhengige av WMI for å oppnå utholdenhet uten å etterlate tydelige spor på disken. Denne regelen blokkerer opprettelsen av ondsinnede WMI-hendelsesabonnementer som kan starte kode på nytt når en betingelse er oppfylt.

GUID-en din er e6db77e5-3df2-4cf1-b95a-636979351e5b og den tillater ikke utelatelser av filer eller mapper, nettopp for å forhindre at de blir misbrukt.

Blokker prosesser opprettet fra PSExec- og WMI-kommandoer

PsExec og WMI er legitime verktøy for fjernadministrasjon, men de brukes også stadig til lateral bevegelse og spredning av skadelig programvareDenne regelen hindrer prosesser som stammer fra kommandoer PSExec eller WMI kjøres, noe som reduserer den vektoren.

GUID-en er d1e49aac-8f56-4280-b9ba-993a6d77406cDet er en av de reglene der koordinering med administratorer og driftsteam er nøkkelen til å unngå å forstyrre legitime eksterne administrasjonsprosesser.

Blokker omstart i sikkermodus initiert av kommandoer

En sikker modusMange sikkerhetsløsninger er deaktivert eller sterkt begrenset. Noe ransomware misbruker kommandoer som bcdedit eller bootcfg for å starte på nytt i sikkermodus og kryptere uten særlig motstand. Denne regelen eliminerer denne muligheten, og gir fortsatt tilgang til sikkermodus kun gjennom det manuelle gjenopprettingsmiljøet.

GUID-en din er 33ddedf1-c6e0-47cb-833e-de6133960387 og genererer hendelser som AsrSafeModeRebootBlocked o AsrSafeModeRebootWarnBypassed.

Blokker usignerte eller uklarerte prosesser fra USB

Her kontrolleres en klassisk innkjøringsrute: USB-stasjoner og SD-kortMed denne regelen blokkeres usignerte eller ikke-klarerte kjørbare filer som kjøres fra disse mediene. Dette gjelder binærfiler som .exe, .dll, .scr osv.

GUID-en er b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 og det er spesielt nyttig i miljøer der det er risiko for ukontrollert USB-bruk.

Blokker bruken av kopierte eller forfalskede systemverktøy

Mange angrep forsøker å kopiere eller imitere Windows-systemverktøy (som cmd.exe, powershell.exe, regsvr32.exe osv.) for å utgi seg for å være legitime prosesser. Denne regelen blokkerer kjøringen av kjørbare filer identifisert som kopier eller bedragere av disse verktøyene.

GUID-en din er c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb og produserer arrangementer som f.eks. AsrAbusedSystemToolBlockedDet er et godt supplement til andre applikasjonskontrollteknikker.

Blokker opprettelsen av WebShell på servere

WebShells er skript som er spesielt utviklet for å gi angriperen fjernkontroll over en serverslik at den kan utføre kommandoer, laste opp filer, eksfiltrere data osv. Denne regelen, som er rettet mot servere og roller som Exchange, blokkerer opprettelsen av disse ondsinnede skriptene.

GUID-en er a8f5898e-1dc8-49a9-9878-85004b8a61e6 og den er designet for å spesifikt herde eksponerte servere.

Blokker Win32 API-kall fra Office-makroer

Sannsynligvis en av de mest effektive reglene mot makro-skadevareDen blokkerer Office VBA-kode fra å importere og kalle Win32 API-er, som ofte brukes til å laste inn skallkode i minne, manipulere prosesser, få tilgang til minne osv.

GUID-en din er 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b og den er avhengig av AMSI. I praksis stopper den mange maler for skadelig programvare i Word og Excel som er avhengige av disse kallene for å kjøre vilkårlig kode.

Bruk av avansert ransomware-beskyttelse

Denne regelen legger til et ekstra lag med beskyttelse basert på kunde- og skyheuristikker for å oppdage atferd som er konsistent med ransomware. Den tar hensyn til faktorer som omdømme, digital signatur eller utbredelse for å avgjøre om en fil er mer sannsynlig å være ransomware enn et legitimt program.

GUID-en din er c1db55ab-c21a-4637-bb3f-a12568109d35Og selv om den prøver å minimere falske positiver, har den en tendens til å være på den forsiktige siden for ikke å gå glipp av en ekte chiffer.

Konfigurasjonsmetoder: Intune, MDM, Configuration Manager, GPO og PowerShell

Regler for reduksjon av angrepsflater kan konfigureres på flere måter, avhengig av hvordan du administrerer enhetsparken din. Microsofts generelle anbefaling er å bruke administrasjonsplattformer på bedriftsnivå (Intune eller Configuration Manager), siden policyene deres prioriteres over GPO- eller lokale PowerShell-konfigurasjoner når systemet starter.

med Microsoft Intune Du har tre tilnærminger: ASR-spesifikk endepunktsikkerhetspolicy, enhetskonfigurasjonsprofiler (Endpoint Protection) og tilpassede profiler som bruker OMA-URI for å definere regler etter GUID og tilstand. I alle tilfeller kan du legge til fil- og mappeutelatelser direkte eller importere dem fra en CSV-fil.

I miljøer generiske MDM-er CSP brukes ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules For å definere en matrise med GUID-er med statuser, atskilt med vertikale streker. Du kan for eksempel kombinere flere regler ved å tilordne 0, 1, 2 eller 6, avhengig av om du vil deaktivere, blokkere, revidere eller advare. Unntak administreres med CSP-en. ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions.

med Microsoft Configuration Manager Du kan opprette retningslinjer for Windows Defender Exploit Guard fokuserte på «Reduksjon av angrepsflater», velg hvilke regler du vil blokkere eller revidere og distribuer dem til bestemte samlinger av enheter.

La Gruppepolitikk Den lar deg konfigurere ASR via administrative maler ved å navigere til nodene Microsoft Defender Antivirus og «Attack Surface Reduction». Der aktiverer du policyen «Konfigurer regler for angrepsoverflatereduksjon» og angir GUID-ene med tilhørende status. Et ekstra GPO lar deg definere fil- og stiutelukkelser.

Endelig, PowerShell Det er den mest direkte og nyttige måten for engangs tester eller automatiseringsskript. Cmdlets som Set-MpPreference y Add-MpPreference De lar deg aktivere, revidere, advare eller deaktivere individuelle regler, samt administrere ekskluderingslisten med -AttackSurfaceReductionOnlyExclusionsMen hvis det er et GPO eller Intune involvert, prioriteres innstillingene deres.

Utelatelser, retningslinjekonflikter og varsler

Nesten alle ASR-regler tillater det ekskluder filer og mapper Dette forhindrer blokkering av legitime applikasjoner som, per design, viser skadevarelignende oppførsel. Det er et kraftig verktøy, men det må brukes med kirurgisk presisjon: altfor brede utelukkelser kan etterlate alvorlige sårbarheter.

Når motstridende policyer brukes fra MDM og Intune, kan konfigurasjonen av Gruppedirektiv prioriteres Hvis den finnes. Videre støtter ASR-regler en policysammenslåingsatferd: et supersett konstrueres med den ikke-konfliktfylte konfigurasjonen, og motstridende oppføringer utelates for den enheten.

Hver gang en regel utløses i blokkmodus, ser brukeren en systemvarsel som forklarer at en operasjon er blokkert av sikkerhetsmessige årsaker. Disse varslene kan tilpasses med firmadetaljer og kontaktinformasjon. For noen regler og statuser genereres også EDR-varsler og interne varsler, som er synlige i Microsoft Defender-portalen.

Ikke alle regler respekterer Microsoft Defender antivirusunntak De tar heller ikke hensyn til indikatorene for kompromittering (IOC-er) som er konfigurert i Defender for Endpoint. For eksempel tar ikke LSASS-blokkeringsregelen for påloggingstyveri eller blokkeringsregelen for Office-kodeinnsetting hensyn til visse IOC-er, nettopp for å opprettholde robustheten deres.

ASR-hendelsesovervåking: Portal, avansert søk og hendelsesvisning

Overvåking er nøkkelen til å sikre at ASR ikke er en svart boks. Defender for Endpoint tilbyr detaljerte rapporter om hendelser og blokkeringer relatert til ASR-regler, som kan konsulteres både på Microsoft Defender XDR-portalen og via avansert søk.

Avansert søk lar deg starte konsultasjoner om bordet DeviceEventsfiltrering etter handlingstyper som begynner med «Asr». For eksempel den grunnleggende spørringen DeviceEvents | where ActionType startswith 'Asr' Den viser deg ASR-relaterte hendelser gruppert etter prosess og time, ettersom det er normalisert til én enkelt forekomst per time for å redusere volumet.

I miljøer uten E5 eller uten tilgang til disse funksjonene, er det alltid mulighet til å gjennomgå Windows-logger i hendelsesvisningenMicrosoft tilbyr tilpassede visninger (som filen cfa-events.xml) som filtrerer relevante hendelser, med identifikatorer som 5007 (konfigurasjonsendringer), 1121 (regel i blokkeringsmodus) og 1122 (regel i revisjonsmodus).

For hybriddistribusjoner er det ganske vanlig å videresende disse hendelsene til en SIEM eller sentralisert loggplattform, korrelere dem med andre indikatorer og utløse tilpassede varsler når visse regler begynner å generere for mange hendelser i et bestemt segment av nettverket.

Redusere angrepsflaten utover ASR: strategier, teknologier og utfordringer

Selv om ASR-regler er en svært viktig komponent, går det å redusere angrepsflaten som en global strategi langt utover endepunktet. Det innebærer kartlegg alle eiendeler og inngangspunkterEliminer unødvendige tjenester, segmenter nettverk, bruk strenge tilgangskontroller, herd systemer, vedlikehold sikre konfigurasjoner og beskytt skyen og API-ene.

Organisasjoner starter vanligvis med en fullstendig oversikt over enheter, programvare, kontoer og tilkoblingerDeretter identifiseres og avinstalleres ubrukte tjenester og applikasjoner, nettverksporter lukkes, og funksjoner som ikke tilfører verdi deaktiveres. Dette forenkler miljøet og reduserer antallet «dører» som trenger overvåking.

Den delen av tilgangskontroll Det er kritisk: anvendelse av prinsippet om minste privilegium, sterke passord, flerfaktorautentisering, rask tilbakekalling av tilgang når noen endrer rolle eller forlater organisasjonen, og overvåking av mistenkelige innloggingsforsøk.

I skyen vokser angrepsflaten med hver ny tjeneste, API eller integrasjon. Feilkonfigurasjoner i lagringFor brede roller, foreldreløse kontoer eller usikre standardverdier er vanlige problemer. Det er her regelmessige konfigurasjonsrevisjoner, kryptering av data i ro og under overføring, segmentering av virtuelle nettverk og kontinuerlige tillatelsesgjennomganger kommer inn i bildet.

For å støtte alt dette, teknologier som verktøy for oppdaging og kartlegging av eiendeler, sårbarhetsskannere, tilgangskontrollsystemer, konfigurasjonsstyringsplattformer og nettverkssikkerhetsverktøy (brannmurer, IDS/IPS, NDR osv.). Løsninger som SentinelOne kombinerer for eksempel endepunktbeskyttelse, atferdsanalyse og automatisert respons for å redusere den effektive angrepsflaten ytterligere.

Utfordringene er mange: komplekse avhengigheter mellom systemerTilstedeværelsen av eldre applikasjoner som ikke støtter moderne tiltak, den raske teknologiske endringen, ressursbegrensninger og den evige konflikten mellom sikkerhet og produktivitet bidrar alle til denne utfordringen. Å finne den rette balansen krever en dyp forståelse av virksomheten og prioritering av kritiske eiendeler og prosesser.

Gitt denne konteksten blir ASR-regler et av de mest effektive verktøyene for å begrense angriperens spillerom ved endepunktet. Godt planlagte (starter med revisjon), finjusterte med presise ekskluderinger og nøye overvåket, forhindrer de at en brukerfeil, et enkelt utnyttelsesangrep eller en ondsinnet USB-stasjon automatisk eskalerer til en kritisk hendelse, noe som bidrar til å opprettholde en mindre, mer håndterbar og fremfor alt mer effektiv angrepsflate. mye vanskeligere å utnytte.