Planen der Bereitstellung von Regeln zur Verringerung der Angriffsfläche

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2

Bevor Sie Regeln zur Verringerung der Angriffsfläche testen oder aktivieren, sollten Sie Ihre Bereitstellung planen. Eine sorgfältige Planung hilft Ihnen, die Bereitstellung ihrer Regeln zur Verringerung der Angriffsfläche zu testen und allen Regelausnahmen einen Schritt voraus zu sein. Wenn Sie planen, Regeln zur Verringerung der Angriffsfläche zu testen, stellen Sie sicher, dass Sie mit der richtigen Geschäftseinheit beginnen. Beginnen Sie mit einer kleinen Gruppe von Personen in einer bestimmten Geschäftseinheit. Sie können einige Experten innerhalb einer bestimmten Geschäftseinheit identifizieren, die Feedback geben können, um Ihre Implementierung zu optimieren.

Wichtig

Während Sie den Prozess der Planung, Überwachung und Aktivierung von Regeln zur Verringerung der Angriffsfläche durchlaufen, wird empfohlen, die folgenden drei Standardschutzregeln zu aktivieren. Wichtige Details zu den beiden Arten von Regeln zur Verringerung der Angriffsfläche finden Sie unter Regeln zur Verringerung der Angriffsfläche nach Typ.

• Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren
• Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern
• Blockieren der Persistenz über ein WMI-Ereignisabonnement (Windows Management Instrumentation)

In der Regel können Sie die Standardschutzregeln mit minimalen spürbaren Auswirkungen auf den Endbenutzer aktivieren. Eine einfache Methode zum Aktivieren der Standardschutzregeln finden Sie unter Vereinfachte Standardschutzoption.

Starten Der Bereitstellung von ASR-Regeln mit der richtigen Geschäftseinheit

Wie Sie die Geschäftseinheit auswählen, um die Bereitstellung Ihrer Regeln zur Verringerung der Angriffsfläche bereitzustellen, hängt von Folgenden Faktoren ab:

• Größe der Geschäftseinheit
• Verfügbarkeit von Experten zur Verringerung der Angriffsfläche
• Verteilung und Verwendung von:
  • Software
  • Freigegebene Ordner
  • Verwendung von Skripts
  • Office-Makros
  • Andere Entitäten, die von Regeln zur Verringerung der Angriffsfläche betroffen sind

Abhängig von Ihren geschäftlichen Anforderungen können Sie mehrere Geschäftseinheiten einbeziehen, um eine umfassende Stichprobe von Software, freigegebenen Ordnern, Skripts, Makros usw. zu erhalten. Sie können den Umfang Ihrer ersten Regeln zur Verringerung der Angriffsfläche auf eine einzelne Geschäftseinheit beschränken. Wiederholen Sie dann den gesamten Rolloutprozess der Regeln zur Verringerung der Angriffsfläche für Ihre anderen Geschäftseinheiten einzeln.

Identifizieren von Experten für ASR-Regeln

Experten für Regeln zur Verringerung der Angriffsfläche sind Mitglieder In Ihrem organization die Ihnen bei der einführungsweisen Einführung von Regeln zur Verringerung der Angriffsfläche während der vorläufigen Test- und Implementierungsphase helfen können. Ihre Experten sind in der Regel Mitarbeiter, die technisch versierter sind und nicht durch zeitweilige Ausfälle des Arbeitsflusses entgleist werden. Das Engagement der Experten setzt sich während der umfassenderen Erweiterung der Regeln zur Verringerung der Angriffsfläche auf Ihre organization fort. Ihre Experten für die Verringerung der Angriffsfläche sind die ersten, die jede Ebene der Regeln zur Verringerung der Angriffsfläche erleben.

Es ist wichtig, einen Feedback- und Reaktionskanal für Ihre Experten zur Verringerung der Angriffsfläche bereitzustellen, um Sie über Arbeitsunterbrechungen im Zusammenhang mit Regeln zur Verringerung der Angriffsfläche zu warnen und Kommunikationen im Zusammenhang mit den Regeln zur Verringerung der Angriffsfläche zu erhalten.

Abrufen des Inventars von branchenspezifischen Apps und Verstehen der Geschäftseinheitsprozesse

Ein vollständiges Verständnis der Anwendungen und Prozesse pro Geschäftseinheit, die in Ihren organization verwendet werden, ist für eine erfolgreiche Bereitstellung von Regeln zur Verringerung der Angriffsfläche von entscheidender Bedeutung. Darüber hinaus ist es unerlässlich, dass Sie verstehen, wie diese Apps in den verschiedenen Geschäftseinheiten in Ihrem organization verwendet werden. Zunächst sollten Sie eine Bestandsaufnahme der Apps abrufen, die für die Verwendung im gesamten organization genehmigt sind. Sie können Tools wie das Microsoft 365 Apps Admin Center verwenden, um Softwareanwendungen zu inventarisieren. Weitere Informationen finden Sie unter Übersicht über den Bestand im Microsoft 365 Apps Admin Center.

Definieren von Rollen und Zuständigkeiten des Teams für Berichterstellung und Reaktion auf ASR-Regeln

Die klare Artikulation der Rollen und Zuständigkeiten von Personen, die für die Überwachung und Kommunikation von Regeln zur Verringerung der Angriffsfläche status und Aktivitäten verantwortlich sind, ist eine Kernaktivität der Wartung der Angriffsfläche. Daher ist es wichtig, Folgendes zu bestimmen:

• Die Person oder das Team, die für das Sammeln von Berichten verantwortlich ist
• Wie und für wen Berichte freigegeben werden
• Wie eine Eskalation bei neu identifizierten Bedrohungen oder unerwünschten Blockaden durch Regeln zur Verringerung der Angriffsfläche behandelt wird

Typische Rollen und Zuständigkeiten sind:

• IT-Administratoren: Implementieren Sie Regeln zur Verringerung der Angriffsfläche, verwalten Sie Ausschlüsse. Arbeiten Sie mit verschiedenen Geschäftseinheiten an Apps und Prozessen. Zusammenstellen und Freigeben von Berichten für Beteiligte
• Certified Security Operations Center (CSOC)-Analyst: Verantwortlich für die Untersuchung von Prozessen mit hoher Priorität, um festzustellen, ob die Bedrohung gültig ist oder nicht
• Chief Information Security Officer (CISO): Verantwortlich für den allgemeinen Sicherheitsstatus und die Integrität der organization

Bereitstellung des ASR-Regelrings

Für große Unternehmen empfiehlt Microsoft die Bereitstellung von Regeln zur Verringerung der Angriffsfläche in "Ringen". Ringe sind Gruppen von Geräten, die visuell als konzentrische Kreise dargestellt werden, die wie nicht überlappender Baumringe nach außen strahlen. Wenn der innerste Ring erfolgreich bereitgestellt wurde, können Sie in die Testphase zum nächsten Ring wechseln. Eine gründliche Bewertung Ihrer Geschäftseinheiten, Experten zur Verringerung der Angriffsfläche, Apps und Prozesse ist für die Definition Ihrer Ringe unerlässlich. In den meisten Fällen verfügt Ihr organization über Bereitstellungsringe für stufenweise Rollouts von Windows-Updates. Sie können Ihr vorhandenes Ringdesign verwenden, um Regeln zur Verringerung der Angriffsfläche zu implementieren. Siehe: Create eines Bereitstellungsplans für Windows

Weitere Artikel in dieser Bereitstellungssammlung

Übersicht über die Bereitstellung von Regeln zur Verringerung der Angriffsfläche

Testen von Regeln zur Verringerung der Angriffsfläche

Aktivieren der Regeln zur Verringerung der Angriffsfläche

Operationalisieren von Regeln zur Verringerung der Angriffsfläche

Referenz zu Regeln zur Verringerung der Angriffsfläche

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.