ASR(공격 표면 감소) 규칙은 공격자가 일반적으로 맬웨어를 통해 악용하는 Windows 디바이스의 위험한 소프트웨어 동작을 대상으로 합니다(예: 파일을 다운로드하는 스크립트 시작, 난독 처리된 스크립트 실행 및 다른 프로세스에 코드 삽입). ASR 규칙 및 요구 사항에 대한 소개는 ASR(공격 표면 감소) 규칙 개요를 참조하세요.
이 가이드는 ASR 규칙 배포를 계획, 테스트, 구현 및 관리하여 사람이 운영하는 랜섬웨어와 같은 고급 위협을 효과적으로 중지하는 데 도움이 됩니다.
중요
이 가이드에서는 ASR 규칙을 구성하는 방법을 결정하는 데 도움이 되는 이미지와 예제를 제공합니다. 이러한 이미지와 예제는 사용자 환경에 가장 적합한 구성 옵션을 반영하지 않을 수 있습니다.
중요한 사전 배포 주의 사항
일반적으로 테스트 없이 차단 또는 경고 모드에서 표준 보호 규칙을 사용하도록 설정할 수 있습니다. 차단 또는경고 모드로 전환하기 전에 감사 모드에서 다른 ASR 규칙을 테스트해야 합니다.
시작하기 전에
배포 프로세스를 시작하기 전에 다음 설명서를 검토합니다.
배포 단계
다음 문서를 사용하여 ASR 규칙 배포를 계획, 테스트, 구현 및 관리합니다.
- ASR 규칙 배포 계획: 인프라 요구 사항을 결정하고, 사업부 및 챔피언을 선택하고, 팀 역할을 정의합니다.
- ASR 규칙 테스트: 감사 모드에서 규칙을 구성하고, 보고서를 검토하고, 제외를 추가합니다.
- ASR 규칙 사용: 감사 에서 차단 모드로 규칙을 전환하고 다른 배포 링으로 확장합니다.
- ASR 규칙 관리 및 모니터링: 진행 중인 활동을 모니터링하고, 가양성 관리를 하고, 고급 헌팅을 사용합니다.