Regola
ID |
Identificatore regola |
Versione regola |
Repu- tation |
Nome |
Descrizione |
Descrizione lunga |
0 |
0 |
0 |
-1 |
Non applicabile |
Nessuna regola ha influenzato questa reputazione |
Nessuna regola ha influenzato questa reputazione |
1 |
589825 |
9 |
-1 |
Utilizzare la reputazione del certificato per identificare i file affidabili o dannosi |
Determina se un file è affidabile o dannoso in base alla reputazione GTI o Enterprise del certificato di firma. |
Questa regola determina se un file è affidabile o dannoso in base alla reputazione GTI o Enterprise del certificato di firma. La reputazione del certificato deve essere nota come dannoso, noto come affidabile, probabilmente dannoso o probabilmente affidabile. |
2 |
196610 |
3 |
-1 |
USA reputazione file Enterprise per identificare file affidabili o dannosi |
Determina se un file è affidabile o dannoso in base alla reputazione Enterprise del file. |
Questa regola determina se un file è affidabile o dannoso in base alla reputazione Enterprise del file. La reputazione deve essere almeno dannoso noto, noto come affidabile, probabilmente dannoso o probabilmente affidabile. |
3 |
65539 |
1 |
0 |
Ignora ricerca di file in base ai criteri di selezione |
Ignora la ricerca GTI per i file in base ai criteri di selezione che potrebbero essere puliti o sconosciuti a GTI |
Ignora la ricerca GTI per i file in base ai criteri di selezione che potrebbero essere puliti o sconosciuti a GTI |
4 |
196612 |
3 |
-1 |
USA reputazione file GTI per identificare file affidabili o dannosi |
Determina se un file è affidabile o dannoso in base alla reputazione GTI del file. |
Questa regola determina se un file è affidabile o dannoso in base alla reputazione GTI del file. La reputazione deve essere almeno dannoso noto, noto come affidabile, probabilmente dannoso o probabilmente affidabile. |
5 |
327685 |
5 |
-1 |
Utilizza reputazione URL GTI per identificare i processi affidabili o dannosi |
Mitre-T1204. Determina se un processo è affidabile o dannoso in base alla reputazione URL GTI. |
Tattica: esecuzione-tecnica: T1204. Questa regola determina se un processo è affidabile o dannoso in base alla reputazione URL GTI. |
10 |
196618 |
3 |
100 |
Identifica che un file è il componente principale di un programma di installazione affidabile utilizzando gli attributi del file, la reputazione del certificato e la reputazione dei file. |
Determina se un file è un programma di installazione affidabile in base agli attributi, al nome di file e al certificato GTI o Enterprise e alla reputazione dei file. |
Questa regola determina se il file è un programma di installazione affidabile in base alla reputazione GTI o Enterprise del file. Inoltre, esamina il nome di file, l'azienda e altri attributi simili per determinare se si tratta di un programma di aggiornamento o di un componente di installazione che può essere considerato affidabile. |
12 |
131084 |
2 |
100 |
Identifica che un file è il componente principale di un programma di installazione affidabile in base a un file specifico identificato da hash |
Determina se un file è un programma di installazione affidabile in base al file hash e alla reputazione GTI o Enterprise. |
Questa regola determina se il file è un programma di installazione affidabile in base al hash del file e alla reputazione dei file GTI o Enterprise per determinare se si tratta di un programma di aggiornamento o di un componente di installazione che può essere considerato affidabile. |
20 |
131092 |
2 |
-1 |
Identificazione di file affidabili con privilegi di McAfee |
Identifica i file affidabili che utilizzano certificati o hash distribuiti nei file AV DAT. |
Questa regola identifica i file affidabili che utilizzano certificati o hash distribuiti nei file DAT AV e possono inoltre disporre di privilegi elevati con i processi e i driver McAfee. |
34 |
131106 |
2 |
1 |
Verifica SFv3 |
Identifica un campione di prova che può essere utilizzato per la convalida SFv3 |
Questa regola identifica un campione di prova per hash che può essere utilizzato per la verifica del Framework SFv3. |
35 |
196643 |
3 |
1 |
Verifica dell'installazione |
Identifica un campione di prova che può essere utilizzato per la verifica dell'installazione. |
Questa regola identifica un campione di prova che può essere utilizzato per la verifica dell'installazione. |
36 |
65572 |
1 |
1 |
Verifica dell'installazione senza server TIE |
Identifica un campione di prova che può essere utilizzato per la verifica dell'installazione in una configurazione senza server TIE. |
Questa regola identifica un campione di prova che può essere utilizzato per la verifica dell'installazione in una configurazione senza server TIE. |
38 |
131110 |
2 |
1 |
Regola di verifica SFv3 disattivata in cloud |
Regola di test disattivata in cloud per la convalida SFv3 |
Questa regola identifica un campione di prova per hash ed è disattivata in cloud per la verifica del Framework SFv3. |
50 |
65586 |
1 |
85 |
Identificazione di file affidabili da un autore affidabile |
Identifica i file affidabili creati da un programma di aggiornamento completamente affidabile. |
Questa regola identifica i file affidabili creati da un programma di aggiornamento completamente affidabile e non sono stati modificati. |
51 |
131123 |
2 |
-1 |
Identifica i file contrassegnati come programmi di installazione affidabili dallo scanner di affidabilità |
Identifica i file contrassegnati come affidabili dal programma di scansione di affidabilità che si basa sul file dat |
Questa regola identifica i file contrassegnati come file di programma di installazione affidabili in base alla programma di scansione di affidabilità basata sulle informazioni disponibili nel file dat e non cloud dipendente. |
55 |
131127 |
2 |
99 |
Identificazione dei certificati che necessitano di correzione della reputazione |
Identifica i certificati provenienti dai fornitori di dei che richiedono una correzione al livello di reputazione. |
Questa regola identifica i certificati provenienti dai fornitori di dei che richiedono una correzione al livello di reputazione. |
57 |
262201 |
4 |
-1 |
Utilizzare la reputazione dei file GTI per identificare i file che potrebbero essere affidabili o potenzialmente dannosi |
Determina i file che potrebbero essere affidabili o potenzialmente dannosi in base alla reputazione dei file GTI. |
Questa regola identifica i file meno conclusivi nella loro reputazione GTI come potrebbe essere affidabile e potrebbe essere dannoso. |
58 |
196878 |
3 |
70 |
Identificazione dell'affidabilità per i file eseguiti sulle condivisioni di rete |
Ciò identificherà la fiducia per i file eseguiti sulle condivisioni di rete utilizzando attributi di file e altre informazioni correlate come la prevalenza |
In questo modo si identifica l'affidabilità dei file eseguiti sulle condivisioni di rete utilizzando i risultati programma di scansione e gli attributi dei file per indicare l'affidabilità |
60 |
131132 |
2 |
0 |
Regola di impostazione dell'attributo per facilitare l'identificazione dei file interessanti |
Identifica gli elementi avviati da un attore interessante o è un elemento di fronte a Internet |
Identifica i file che vengono avviati da un attore interessante o che presentano caratteristiche speciali, ad esempio certificati autofirmati |
61 |
262205 |
4 |
0 |
Identificazione delle applicazioni di accesso a Internet |
Identificare le applicazioni più diffuse su Internet, ad esempio un browser Web o un client email |
Questa regola identifica le applicazioni che si affacciano su Internet come un browser Web o un client email utilizzando attributi identificabili quali il nome file e il certificato |
62 |
196670 |
3 |
0 |
Identificazione di un'applicazione che legge i file di contenuto |
Identifica un'applicazione che legge file di contenuto come documenti PDF, documenti Microsoft Office, video, ecc. |
Questa regola identifica il file eseguibile principale delle applicazioni più comuni che leggono contenuti come documenti PDF, documenti Microsoft Office, video, ecc. |
95 |
131167 |
2 |
85 |
Identifica i file firmati con un certificato di reputazione pulita nota e contrassegnali con maggiore probabilità come affidabili quando non sono in linea |
Identifica i file firmati da un certificato di reputazione pulita nota e contrassegnarli con maggiore probabilità come affidabili quando non sono in linea |
Identifica i file firmati da un certificato di reputazione pulita nota e contrassegnarli con maggiore probabilità come affidabili quando non sono in modalità di connettività |
96 |
65632 |
1 |
0 |
Richiesta intelligente |
Elimina la richiesta di caricamento della libreria per applicazioni affidabili diverse dai browser Internet. |
Questa regola elimina la richiesta di caricamento della libreria per applicazioni affidabili diverse dai browser Internet. |
97 |
262241 |
4 |
70 |
Considera i file affidabili in modalità offline a meno che non sospetti per le versioni dello scanner ITC rilasciati dopo 2018 il |
Stabilisce che i file senza caratteristiche sospette sono considerati affidabili quando il sistema è offline (scollegato da TIE e GTI). |
Questa regola tratta i file che non presentano caratteristiche sospette come affidabili quando il sistema è disconnesso dal server TIE e da GTI. Questa regola utilizza criteri meno rigorosi per la determinazione dell'affidabilità per aiutare a mitigare i problemi con un numero elevato di file sconosciuti durante la disconnessione dal server TIE o GTI. Questa regola si applica alla versione dello scanner ITC 2.1.4.1590 e versioni successive, pubblicato il 2018 giugno |
98 |
262242 |
4 |
70 |
Considera i file affidabili in modalità offline a meno che non sospetti per le versioni dello scanner ITC rilasciati prima del 2018 giugno |
Stabilisce che i file senza caratteristiche sospette sono considerati affidabili quando il sistema è offline (scollegato da TIE e GTI). |
Questa regola tratta i file che non presentano caratteristiche sospette come affidabili quando il sistema è disconnesso dal server TIE e da GTI. Questa regola utilizza criteri meno rigorosi per la determinazione dell'affidabilità per aiutare a mitigare i problemi con un numero elevato di file sconosciuti durante la disconnessione dal server TIE o GTI. Questa regola si applica alle versioni del programma di scansione ITC seguenti 2.1.4.1590, pubblicato il 2018 giugno |
99 |
196707 |
3 |
50 |
Considera affidabili i file in base al livello di sicurezza dei sistemi a bassa modifica quando offline |
Stabilisce che i file senza caratteristiche sospette non sono noti quando il sistema è offline (disconnesso dal server TIE e da GTI). |
Tratta i file senza caratteristiche sospette come sconosciuti quando il sistema è disconnesso dal server TIE e da GTI. Questa è l'ultima regola da eseguire. |
125 |
196733 |
3 |
85 |
Identifica i file contrassegnati come affidabili Windows applicazioni AppStore |
Identifica i file contrassegnati come affidabili Windows applicazioni AppStore che si basano sugli attributi di file e processi |
Questa regola identifica i file contrassegnati come affidabili Windows applicazioni AppStore in base agli attributi del file, alla posizione del file e agli attributi del processo |
126 |
393342 |
6 |
85 |
Identifica applicazioni firmate affidabili |
Identifica i file firmati e posizionati nei percorsi comunemente utilizzati per l'installazione dei programmi. Possono anche avere una voce di menu di avvio. |
Questa regola identifica i file firmati e che dispongono di un certificato non autofirmato valido. Il percorso del file viene considerato insieme agli attributi ambientali, ad esempio la voce del menu di avvio. |
127 |
196735 |
3 |
85 |
Identifica librerie di risorse della Guida affidabili |
Identifica le librerie di risorse firmate utilizzate dal software affidabile. |
Questa regola identifica le librerie di risorse utilizzate dal software affidabile. I file sono firmati e non dispongono di una reputazione di certificato malevolo. Presentano caratteristiche che indicano che si tratta di una libreria di risorse, ad esempio nessuna importazione o esportazione e un numero ridotto di sezioni di eseguibili Portable (PE). |
128 |
196736 |
3 |
85 |
Identifica librerie di risorse della Guida affidabili |
Identifica le librerie di risorse firmate utilizzate dal software affidabile. Queste librerie vengono generalmente utilizzate come parte della documentazione della Guida in linea. |
Questa regola identifica le librerie di risorse firmate utilizzate dal software affidabile. Le librerie vengono generalmente utilizzate come parte della documentazione della Guida dell'applicazione. Sono firmati e non dispongono di una reputazione di certificato malevolo. Presentano caratteristiche che indicano che si tratta di una libreria di risorse, ad esempio nessuna importazione o esportazione e un numero ridotto di sezioni di eseguibili Portable (PE). Si trovano anche nelle cartelle di installazione dell'applicazione. |
129 |
262273 |
4 |
85 |
Identifica applicazioni di utilità firmate affidabili |
Identifica le applicazioni di utilità firmate e il certificato non è considerato non affidabile. Questi file non vengono avviati all'avvio e presentano caratteristiche che suggeriscono di essere programmi di utilità |
Questa regola identifica le applicazioni di utilità firmate e il certificato non è considerato non affidabile. Questi file non vengono avviati all'avvio. Si trovano in una cartella che indica uno strumento o un programma installato (ad esempio: %programfiles%\subfolder) e importare le API e avere altre caratteristiche coerenti con le applicazioni di utilità affidabili. |
130 |
327810 |
5 |
85 |
Identifica driver firmati affidabili |
Identifica i driver di periferica firmati e installati nel sistema locale. |
Questa regola identifica i driver di periferica firmati e installati nel sistema locale. Utilizzano il sottosistema nativo e si trovano nella %windir%cartelle \System32\Drivers o DriverStore. |
131 |
327811 |
5 |
85 |
Identifica librerie DRM (Digital Rights Management) firmate affidabili |
Identifica le librerie di gestione dei diritti digitali affidabili firmate utilizzate da Windows. |
Questa regola identifica le librerie di gestione dei diritti digitali affidabili firmate e il cui certificato è affidabile. Questi file si trovano nelle cartelle Windows DRM e DRM cache. |
132 |
262276 |
4 |
85 |
Identifica i file firmati affidabili |
Identifica i file firmati e affidabili e la cui reputazione di certificato è affidabile. |
Questa regola identifica i file firmati e affidabili e il cui certificato è anche affidabile |
133 |
262277 |
4 |
70 |
Identificazione di file affidabili sul disco |
Identifica i file presenti sul disco e non sospetti prima di installare il modulo TIE. |
Questa regola identifica i file presenti sul disco e non sospetti prima di installare il modulo TIE. Non sono stati manomessi come identificati dall'inserimento nel diario dei file NTFS. |
134 |
327814 |
5 |
85 |
Identificare i file affidabili sul disco prevalenti nell'azienda prima di installare il modulo TIE. |
Identifica i file presenti sul disco e non sono sospetti prima di installare il modulo TIE e sono stati visualizzati nell'azienda. |
Questa regola identifica i file presenti sul disco e non sospetti prima di installare il modulo TIE. Non sono stati manomessi come identificati dall'inserimento nel diario dei file NTFS. I file devono essere stati visualizzati anche nell'azienda. |
136 |
327816 |
5 |
85 |
Identifica i file NativeImage senza firma che potrebbero essere considerati affidabili |
Rileva i file NativeImage non firmati con un certificato affidabile noto. Questi file sono spesso di scarsa prevalenza e possono essere univoci per un sistema. |
Questa regola rileva i file binari pre-compilati che potrebbero essere considerati affidabili che sono stati installati nella cartella NativeImages e non contengono attributi sospetti |
137 |
196745 |
3 |
85 |
Identifica assembly DOTNet senza firma che potrebbero essere considerati affidabili |
Rileva gli assembly DOTNet che non sono firmati con un certificato affidabile noto. Questi file sono spesso di scarsa prevalenza e possono essere univoci per un sistema. |
Questa regola rileva i file che potrebbero essere considerati affidabili che sono stati installati nelle cartelle cache assembly globali e che non contengono attributi sospetti. Questi file si trovano spesso in pochi sistemi nella rete e possono includere file di immagine nativi DOTNet precompilati e assembly simili. |
138 |
393354 |
6 |
85 |
Identificazione di assembly DOTNet senza firma affidabili Microsoft |
Rileva Microsoft assembly DOTNet che non sono firmati con un certificato affidabile noto. Questi file potrebbero non essere presenti in molte macchine all'interno dell'azienda. |
La regola THS rileva che i file forniti da Microsoft che dispongono di codice CLR (DOTNet) sono stati installati nelle cartelle assembly cache globali e non contengono attributi sospetti. I file possono essere trovati o meno su più computer all'interno dell'azienda, che potrebbero includere gli assembly compilati Just-in-time. |
139 |
327819 |
5 |
85 |
Identifica assembly DOTNet affidabili |
Rileva gli assembly DOTNet che sono stati installati nel cache globale assembly e sono presenti su più computer. |
Questa regola rileva i file che dispongono di codice CLR (DOTNet) e sono stati installati nelle cartelle cache assembly globali. I file sono presenti su più computer all'interno dell'azienda, indicando che non si tratta di assembly compilati Just-in-time. |
140 |
196748 |
3 |
85 |
Identificazione di file prevalenti affidabili |
Rileva i file presenti nell'azienda per un lungo periodo di tempo e prevalenti su più computer. |
Questa regola rileva i file considerati affidabili perché diffusi e ben noti. I file sono presenti su più computer all'interno dell'azienda e sono noti da oltre 3 mesi. |
151 |
196759 |
3 |
70 |
Identificazione di programmi di installazione Web |
Identifica i programmi di installazione Web firmati e il cui certificato non è considerato non affidabile. Identifica inoltre l'azienda, il prodotto e la versione. |
Questa regola identifica i programmi di installazione Web firmati e il cui certificato non è considerato non attendibile. Identifica inoltre l'azienda, il prodotto e la versione del programma di installazione Web. |
152 |
327832 |
5 |
70 |
Identificazione dei file sicuri estratti dal programma di installazione Windows |
Identifica i file sicuri estratti dal programma di installazione di Windows Installer in base al processo attore, al certificato e alla reputazione cloud. |
Questa regola identifica i file sicuri estratti dal programma di installazione Windows in base al processo attore, al certificato e alla reputazione cloud. In caso di sospetti sul file scaricato dal programma di installazione, la regola non restituirà una reputazione pulita. |
153 |
131225 |
2 |
70 |
Identifica i file che ATD non segnala come sospetti. |
Identifica i file che Advanced Threat Defense non segnala come sospetti |
Questa regola identifica i file che sono stati valutati da Advanced Threat Defense e non sono segnalati come sospetti. |
205 |
262349 |
4 |
30 |
Identifica i file sospetti che presentano date di creazione strane e probabilmente non sono compressi |
Identifica i file sospetti che probabilmente non sono compressi, che presentano date di creazione strane e si trovano in percorsi quali le cartelle TEMP o download. |
Questa regola identifica i file sospetti in percorsi quali le cartelle TEMP o download. Questi file probabilmente non sono compressi e non vi sono prove che le proprietà della data siano state manomesse. |
206 |
65742 |
1 |
30 |
Identifica i file sospetti che presentano date di creazione dispari e sono probabilmente imballati |
Identifica i file sospetti in qualsiasi punto del sistema. I file sono probabilmente imballati e mostrano la prova che la data è stata manomessa. |
Questa regola identifica i file sospetti che si trovano in qualsiasi punto del sistema. Questi file vengono identificati come compressi e vi sono prove che le proprietà della data sono state manomesse. |
207 |
196815 |
3 |
15 |
Identificazione di file sospetti in esecuzione dal Cestino |
Identifica i file sospetti eseguiti dal Cestino. |
Questa regola identifica i file sospetti che risiedono in e vengono eseguiti dal Cestino. |
208 |
65744 |
1 |
15 |
Identificazione di file sospetti in esecuzione dalla cartella roaming |
Identifica i file sospetti eseguiti o caricati dalla cartella roaming dell'utente. |
Questa regola identifica i file sospetti eseguiti o caricati dalla cartella roaming dell'utente (%userprofile%\AppData\Roaming) in modo errato. |
209 |
196817 |
3 |
15 |
Identificazione di file sospetti nascosti dall'utente |
Identifica i file sospetti che vengono eseguiti o caricati mentre sono nascosti dall'utente. |
Questa regola identifica i file sospetti eseguiti o caricati e viene nascosta dall'utilizzo di un meccanismo, ad esempio un attributo file. Questi file sembrano essere file di sistema operativo critici, ma non lo sono. |
211 |
65747 |
1 |
15 |
Identifica i file sospetti creati da un processo non affidabile |
Identifica i file sospetti creati con un processo che presenta una reputazione dannosa sospetta o nota. |
Questa regola identifica un file sospetto perché il processo che lo ha creato ha una reputazione di potrebbe essere dannoso a dannoso noto al momento della creazione. Anche il file non è stato modificato dalla sua creazione. |
213 |
65749 |
1 |
30 |
Identifica un file come sospetto in base alla modalità di confezionamento |
Identifica un file compresso o crittografato come sospetto e il Packer non utilizzato dal software legittimo. |
Questa regola identifica un file come sospetto quando è determinato per essere compresso o crittografato e vi sono funzionalità nel file che non si trovano comunemente nel software legittimo. |
214 |
65750 |
1 |
30 |
Identificazione di un keylogger sospetto |
Identifica un file come sospetto quando presenta funzionalità non utilizzate dal software legittimo e si presenta come un keylogger. |
Questa regola identifica un file come sospetto quando presenta funzionalità non utilizzate dal software legittimo. Il file presenta caratteristiche sospette, ad esempio l'importazione di API utilizzate per monitorare le sequenze di tasti e le informazioni sulla versione mancanti. |
217 |
131289 |
2 |
15 |
Identificazione di un ladro di password sospetto |
Identifica i file che sono stati installati erroneamente nel profilo roaming dell'utente e presentano caratteristiche sospette. |
Questa regola identifica un file che è stato erroneamente installato nel profilo roaming dell'utente e presenta caratteristiche sospette. Il file importa le API utilizzate per il monitoraggio delle sequenze di tasti, la cattura di schermate o la verifica dei debugger attivi. |
218 |
65754 |
1 |
30 |
Identifica un file sospetto che nasconde la sua età |
Identifica i file che modificano l'età presentata del file. I file contengono caratteristiche sospette e non assomigliano a programmi installati. |
Questa regola identifica i file che modificano l'età presentata del file. I file contengono caratteristiche sospette, quali il confezionamento, le informazioni sulla versione mancanti, contrassegnate come file di sistema o l'importazione di API sospette. Non sono presenti in un percorso utilizzato in genere per i programmi installati. |
219 |
327899 |
5 |
15 |
Identifica un file sospetto che si nasconde in un percorso sicuro |
Identifica i file in percorsi sicuri, ad esempio le cartelle riservate ai driver di sistema. Questi file non sono coerenti con altri file in quella posizione e presentano caratteristiche sospette. |
Questa regola identifica i file che si trovano in percorsi protetti, ad esempio cartelle riservate ai driver di sistema. I file non utilizzano il sottosistema nativo e presentano caratteristiche sospette quali informazioni sulla versione mancanti o errate o un tipo di file che non soddisfa l'estensione. |
220 |
65756 |
1 |
30 |
Identificazione di nuovi file sospetti |
Identifica i file che sono nuovi al sistema e contengono caratteristiche sospette come i nomi delle sezioni modificate o il codice modificato nel punto di ingresso del file binario. |
Questa regola identifica i file che hanno una data di creazione negli ultimi 30 giorni e contengono caratteristiche sospette. Questi includono nomi di sezioni modificati o codice modificato nel punto di ingresso del file binario. |
222 |
131294 |
2 |
15 |
Identificazione di un keylogger sospetto nascosto come programma installato |
Rileva i file che importano le API di registrazione e si nascondono nei percorsi utilizzati da un programma installato. Presentano caratteristiche sospette come un numero ridotto di importazioni e sono nuove al sistema, senza sembrare un'applicazione legittima. |
Questa regola rileva i file che importano le API di registrazione dei dati e si nascondono nelle cartelle o nelle sottocartelle dei file di programma. I file non sono registrati come servizio o in Installazione applicazioni. Dispongono di chiavi di registro che vengono avviate all'avvio e di caratteristiche sospette quali un numero ridotto di sezioni di importazione o di eseguibili Portable (PE). |
234 |
65770 |
1 |
15 |
Identifica i file che ATD segnala come sospetti |
Identifica i file che Advanced Threat Defense segnala come sospetti. |
Questa regola identifica i file che Advanced Threat Defense segnala come sospetti. |
235 |
65771 |
1 |
30 |
Identificazione di file sospetti provenienti da Internet che potrebbero essere dannosi in base alla reputazione GTI |
Identifica i file provenienti da Internet che potrebbero essere dannosi in base alla reputazione GTI. |
Questa regola identifica i file provenienti da un URL non affidabile. Sono dannosi e presentano caratteristiche sospette, come il confezionamento, hanno meno di 15 giorni di età e appaiono su meno di 10 sistemi o sull'1% dell'azienda. |
237 |
196845 |
3 |
15 |
Trova file sospetti firmati con un certificato revocato |
Rileva i file che dispongono di un certificato revocato incorporato. I file sono stati scoperti di recente e sono visibili su un numero ridotto di sistemi. |
Questa regola rileva i file con un certificato incorporato che è stato revocato. I file sono stati nell'ambiente per meno di 5 giorni e sono visibili in meno dell'1% delle macchine. |
238 |
655598 |
10 |
-1 |
Identificare gli abusi dei processi comuni generati da posizioni non standard in modalità di osservazione. |
Mitre-T1036: i file possono mascherarsi come file legittimi nascondendosi in posizioni non standard. Questa regola rileva l'esecuzione sospetta dei processi comuni se viene generata da posizioni non standard in modalità di osservazione. |
Tattica: evasione della difesa-tecnica: T1036. Identifica l'esecuzione sospetta del processo in comune, se viene generato da percorsi non standard. La regola adotta un approccio più aggressivo all'ID regola 267 ed è per impostazione predefinita solo per osservare. Sarà necessario impostarlo manualmente su attivato in qualsiasi assegnazione del gruppo di regole che si desidera utilizzare in |
239 |
1179887 |
18 |
-1 |
Identificazione dell'esecuzione del parametro di comando sospetto |
Mitre-T1059: identifica l'esecuzione sospetta di un'applicazione mediante i parametri della riga di comando. |
Tattica: esecuzione-tecnica: T1059. Questa regola si rivolge a invocazioni sospette di interpreti di comando e script |
240 |
65776 |
1 |
30 |
Identifica i file sospetti con caratteristiche che sono state viste principalmente in ransomware |
Identifica i file sospetti con caratteristiche che sono state viste principalmente in ransomware e che si trovano in posizioni insolite |
Identifica i file sospetti con caratteristiche che sono state viste principalmente in ransomware e che si trovano in posizioni insolite |
243 |
1573107 |
24 |
-1 |
Identificazione e blocco delle esecuzioni dei processi sospetti |
Mitre-T1059: blocca l'uso sospetto di interpreti di comando e script. Simlar alla regola ID 239 ma deve essere attivato manualmente |
Tattica: esecuzione-tecnica: T1059. Questa regola accetta un approccio più aggressivo rispetto a quello predefinito dell'ID regola 239, pertanto è in osservazione per impostazione predefinita in tutte le assegnazioni dei gruppi di regole. Sarà necessario attivarlo manualmente se si desidera utilizzarlo |
250 |
131322 |
2 |
-1 |
Elevate la fiducia di un file che è stato sottoposto a scansione più volte senza rilevamento |
Elevare la fiducia di un file in base all'età locale sul disco quando il file è stato sottoposto a scansione più volte |
Elevare la fiducia di un file in base all'età locale su disco quando il file è stato sottoposto a scansione più volte e non presenta caratteristiche sospette |
251 |
65787 |
1 |
15 |
Identifica i file che MWG segnala come sospetti |
Identifica i file che McAfee Web Gateway rapporti come noti dannosi o probabilmente dannosi e rilascia una reputazione probabilmente dannosa. |
Questa regola identifica i file che McAfee Web Gateway rapporti come noti dannosi o probabilmente dannosi e rilascia una reputazione probabilmente dannosa. Questa regola non emette una reputazione per i file che McAfee Web Gateway determina potrebbe essere dannoso. |
252 |
131324 |
2 |
15 |
Identifica i file che CTD segnala come sospetti |
Identifica i file che Cloud Threat Detection rapporti alti o molto elevati e genera una reputazione probabilmente dannosa. |
Questa regola identifica i file che Cloud Threat Detection rapporti con un punteggio di affidabilità elevato o molto elevato e rilascia una reputazione probabilmente dannosa. Questa regola non emette una reputazione per i file che CTD determina con un punteggio di attendibilità medio. |
253 |
65789 |
1 |
-1 |
Identificazione di file dannosi o sicuri in base ai punteggi dei provider di reputazione di terze parti |
Rilevamento o attendibilità dei file in considerazione dei punteggi del provider di reputazione di terze parti |
Rilevamento o attendibilità dei file considerati i punteggi del provider di reputazione di terze parti connessi a DXL |
255 |
590079 |
9 |
-1 |
Rileva parametri della riga di comando potenzialmente offuscati |
Mitre-T1027: attiva gli argomenti della riga di comando che sono molto offuscati |
Tattica: evasione della difesa-tecnica: T1027. Questa regola è stata studiata per analizzare i parametri della riga di comando trasmessi ai programmi per avvisare su stringhe potenzialmente offuscate che potrebbero indicare un comportamento dannoso |
256 |
262400 |
4 |
-1 |
Rileva l'utilizzo di Long-EncodedCommand PowerShell |
Mitre-T1059: comando e interprete di scripting. Avvisi relativi all'utilizzo di-EncodedCommand [base64] in PowerShell. |
Tattica: esecuzione-tecnica: T1059. Tenta di cercare l'utilizzo sospetto dell'opzione-EncodedCommand in PowerShell. Il malware può utilizzare questa tecnica per eludere i rilevamenti statici dei parametri della riga di comando. Quando viene attivato questo avviso, è necessario ispezionare il comando Base64 decodificato per assicurarsi che sia un comportamento previsto |
257 |
327937 |
5 |
15 |
Rileva l'utilizzo potenzialmente dannoso di WMI |
Mitre-T1047: cerca l'utilizzo comune di WMI per eseguire codice, muoversi lateralmente o persistere |
Tattica: esecuzione, movimento laterale-tecnica: T1047. WMI fornisce un modo per individuare, eseguire codice, muoversi lateralmente o anche persistere in un ambiente |
258 |
983298 |
15 |
15 |
Rileva i file mascherati più probabili che possono provocare lanci di processo sospetti |
Mitre-T1036: rileva i file mascherati da binari legittimi per eludere i rilevamenti |
Tattica: evasione della difesa-tecnica: T1036. Questa regola è simile a quella predefinita dell'ID 259 della regola del file mascherato ma include un set di file diverso che può attivare falsi positivi |
259 |
524547 |
8 |
15 |
Rileva i file mascherati o i lanci di processo |
Mitre-T1036: avvisa se un file di sistema comune viene rinominato o abbandonato in un percorso non standard |
Tattica: evasione della difesa-tecnica: T1036. Questa regola cerca gli scenari in cui i file sono stati rinominati, ad esempio script interpreti |
260 |
327940 |
5 |
15 |
Rileva tecniche di bypass AMSI |
Mitre-T1562: rileva le tecniche utilizzate per bypassare l'interfaccia di scansione antimalware (AMSI) |
Tattica: evasione della difesa-tecnica: T1562. Questa regola è stata studiata per prevenire diverse tecniche utilizzate per bypassare l'interfaccia di scansione antimalware (AMSI) |
262 |
262406 |
4 |
-1 |
Identificazione dell'esecuzione del parametro di comando sospetto per le assegnazioni dei gruppi di regole di sicurezza |
Mitre-T1059 identifica l'esecuzione sospetta di un'applicazione mediante i parametri della riga di comando per le assegnazioni dei gruppi di regole di sicurezza |
Tattica: esecuzione-tecnica: T1059. Questa regola identifica l'esecuzione sospetta di un'applicazione mediante parametri di esecuzione per le assegnazioni dei gruppi di regole di sicurezza. Sarà necessario attivarlo manualmente per la produttività e le assegnazioni di gruppi di regole bilanciate |
263 |
852231 |
13 |
-1 |
Rileva i processi che accedono a URL sospetti |
Mitre-T1204. Rileva i processi che accedono a URL sospetti che vengono utilizzati per download contenuti dannosi |
Tattica: esecuzione-tecnica: T1204. Questa regola è stata studiata per rilevare i processi con URL sospetti nei parametri di comando utilizzati per download payload dannoso |
264 |
393480 |
6 |
15 |
Ispezionare EncodedCommand PowerShell |
Mitre-T1059, T1140: Base64 Decode-EncodedCommand Usage in PowerShell per ispezionare i comandi sospetti |
Tattiche: esecuzione, evasione della difesa-tecniche: T1059, T1140. Questa regola decodifica i comandi con codifica Base64 per verificare la presenza di potenziali download culle o altri utilizzi di PowerShell dannosi |
265 |
393481 |
6 |
15 |
Ricerca di file eseguibili con estensioni non standard |
Mitre-T1564: identifica i file eseguibili (PE) ma non termina in un'estensione standard |
Tattica: evasione della difesa-tecniche: Mitre-T1564. Questa regola cerca di rimuovere tutti i file identificati come file PE, ma contiene un'estensione non standard come identificata quando si esegue cmd/c Assoc |
266 |
524554 |
8 |
30 |
Identificazione del processo di destinazione per l'avvio di estensioni non standard o avviate da attore non standard |
Mitre-T1036, T1059: tentativi di prevenzione dei processi che tentano di lanciare estensioni non standard o lanciate da un attore non standard |
Tattiche: esecuzione, evasione della difesa-tecniche: T1036, T1059. Rileva il processo di destinazione il lancio di estensioni non standard come CScript sta lanciando un file txt |
267 |
196875 |
3 |
-1 |
Protezione contro gli abusi dei processi comuni generati da posizioni non standard nelle assegnazioni di gruppi di regole di sicurezza |
Mitre-T1036: i file possono mascherarsi come file legittimi nascondendosi in posizioni non standard. Questa regola protegge dall'esecuzione sospetta del processo comune, se viene generato da posizioni non standard nelle assegnazioni dei gruppi di regole di sicurezza |
Tattica: evasione della difesa-tecnica: T1036. Protezione contro l'esecuzione sospetta del processo in comune, se viene generato da posizioni non standard nell'assegnazione del gruppo di regole di sicurezza. Sarà necessario modificare l'opzione da osserva a attivata nelle assegnazioni dei gruppi di regole di produttività e bilanciate |
268 |
262412 |
4 |
-1 |
Protezione contro gli abusi dei processi comuni generati da posizioni non standard |
Mitre-T1036: i file possono mascherarsi come file legittimi nascondendosi in posizioni non standard. Questa regola protegge dall'esecuzione sospetta del processo comune, se viene generato da posizioni non standard |
Tattica: evasione della difesa-tecnica: T1036. Protezione contro l'esecuzione sospetta del processo in comune, se viene generato da posizioni non standard. |
269 |
196877 |
3 |
15 |
Rileva l'utilizzo potenzialmente dannoso del servizio WMI per ottenere la persistenza |
Mitre-T1047: cerca l'utilizzo comune del servizio WMI per l'esecuzione di codice e la persistenza |
Tattica: esecuzione, movimento laterale-tecnica: T1047. WMI fornisce un modo per individuare, eseguire codice, muoversi lateralmente o anche persistere in un ambiente |
270 |
196878 |
3 |
-1 |
Identifica e blocca i parametri di comando sospetti che vengono manipolati per bypassare il rilevamento |
Mitre-T1059: blocca l'uso sospetto di interpreti di comando e script. Blocca i pattern che vengono manipolati per bypassare i rilevamenti |
Tattica: esecuzione-tecnica: T1059. Questa regola è destinata alle invocazioni sospette di interpreti di comando e script in cui i comandi vengono manipolati per ignorare il rilevamento. Sarà necessario attivarlo manualmente se si desidera utilizzarlo |
300 |
590124 |
9 |
-1 |
Impedisci alle applicazioni di Office di avviare processi figlio che possono eseguire comandi script |
Mitre-T1566: impedisce alle applicazioni di Office di avviare processi per i bambini che possono eseguire script come PowerShell e cscript |
Tattica: accesso iniziale, esecuzione, evasione della difesa-tecniche: T1566, T1059. Tentativi di impedire abusi delle applicazioni di Office per fornire payload dannosi |
301 |
459053 |
7 |
-1 |
Impedisce a cmd. exe di essere generato dalle applicazioni di Office |
Mitre-T1566: impedisce a qualsiasi applicazione di Office di avviare cmd. exe |
Tattica: accesso iniziale, esecuzione, evasione della difesa-tecniche: T1566, T1059. Non è raro che cmd. exe venga lanciato tramite documenti di Office e possa essere un segno di comportamento dannoso. Si consiglia di attivare questa regola se i flussi di lavoro lo consentono |
303 |
262447 |
4 |
-1 |
Identificazione di payload altamente sospetti che mirano alle applicazioni correlate al browser |
Identifica i payload altamente sospetti che mirano alle applicazioni correlate al browser come Firefox, Chrome, Edge e altri |
Identifica i payload estremamente sospetti, compresi i file binari sconosciuti che mirano alle applicazioni browser come Firefox, Chrome, Edge e altri. |
304 |
459056 |
7 |
-1 |
Impedisci ai browser di lanciare strumenti a doppio uso come script editor e cmd |
Impedisci ai browser di lanciare strumenti a doppio uso come script editor e cmd |
Impedisci ai browser di lanciare strumenti a doppio uso come script editor e cmd |
306 |
262450 |
4 |
-1 |
Identifica i payload altamente sospetti che mirano ai servizi o alle applicazioni di rete |
Identifica i payload altamente sospetti che mirano ai servizi o alle applicazioni di rete e non consentirà il lancio di strumenti che indicano un comportamento sospetto |
Identifica i payload altamente sospetti che mirano ai servizi o alle applicazioni di rete e non consentirà il lancio di strumenti che indicano un comportamento sospetto |
307 |
590131 |
9 |
-1 |
Impedisci a Wmiprvse. exe e netsh. exe di lanciare script interpreti o altri strumenti di duplice uso |
Impedisci a Wmiprvse. exe e netsh. exe di lanciare script interpreti o altri strumenti di duplice uso |
Gli interpreti di script come PowerShell quando vengono richiamati tramite WMI possono causare il processo di Wmiprvse. exe per generare il processo rendendo più difficile il rilevamento. Alcuni processi legittimi possono utilizzare questo, ma si consiglia di attivare questa regola, se possibile, per verificare la presenza di falsi positivi |
309 |
459061 |
7 |
-1 |
Blocca i processi che tentano di avviare dalle applicazioni di Office. Regola attivata solo in Policy di sicurezza elevate |
Mitre-T1566: impedisce alle applicazioni di Office di avviare processi sospetti. La regola è attivata per impostazione predefinita solo nell'assegnazione del gruppo di regole di sicurezza |
Tattica: accesso iniziale, esecuzione, evasione della difesa-tecniche: T1566, T1059. Tentativi di impedire abusi delle applicazioni di Office per fornire payload dannosi quando sono attivati per i sistemi con un'elevata Policy di sicurezza |
310 |
131382 |
2 |
-1 |
Impedisci alle applicazioni di posta elettronica di avviare processi figlio che possono eseguire comandi script |
Mitre-T1204. Impedisci ai programmi di posta elettronica di avviare processi che possono eseguire comandi script |
Tattica: esecuzione-tecnica: T1204. Tentativi di impedire l'utilizzo di applicazioni di posta elettronica per generare ulteriormente i processi che possono eseguire script |
311 |
131383 |
2 |
-1 |
Impedisci alle applicazioni di posta elettronica di avviare processi figlio che possono eseguire script comandi nelle assegnazioni dei gruppi di regole di sicurezza |
Mitre-T1204. Impedisci ai programmi di posta elettronica di avviare processi che possono eseguire script comandi solo nelle assegnazioni dei gruppi di regole di sicurezza |
Tattica: esecuzione-tecnica: T1204. Tentativi di impedire l'utilizzo di applicazioni di posta elettronica per generare ulteriormente i processi che possono eseguire script |
312 |
131384 |
2 |
-1 |
Impedisci alle applicazioni di posta elettronica come Outlook di generare script editor e strumenti di duplice utilizzo |
Mitre-T1204. Impedisci alle applicazioni di posta elettronica come Outlook di generare script editor e strumenti di duplice utilizzo |
Tattica: esecuzione-tecnica: T1204. Questa regola consente di impedire ad applicazioni quali Outlook di generare strumenti potenzialmente abusare. Alcuni ambienti possono eseguire questa operazione in modo legittimo, pertanto si consiglia di basare l'ambiente prima di attivare |
313 |
262457 |
4 |
-1 |
Impedisci a vari editor di testo come Notepad e WordPad di generare processi che possono eseguire script comandi in tutte le assegnazioni dei gruppi di regole |
Mitre-T1204: impedisce agli editor di testo di generare nuovi processi che possono essere ulteriormente utilizzati per eseguire comandi di scripting |
Tattica: esecuzione-tecnica: T1204. Impedisci l'utilizzo di editor di testo per generare processi come cmd o PowerShell |
314 |
262458 |
4 |
-1 |
Impedisci a vari editor di testo come Notepad e WordPad di generare processi che possono eseguire script comandi nell'assegnazione dei gruppi di regole di sicurezza |
Mitre-T1204: impedisce agli editor di testo di generare nuovi processi che possono essere ulteriormente utilizzati per eseguire comandi di script nell'assegnazione del gruppo di regole di sicurezza |
Tattica: esecuzione-tecnica: T1204. Impedire agli editor di testo di essere utilizzati per deporre le uova script interpreti. Questa regola è attiva solo per impostazione predefinita nell'assegnazione del gruppo di regole di sicurezza. Sarà necessario attivarlo manualmente se si utilizzano assegnazioni di gruppi di regole di bilanciamento o produttività |
315 |
262459 |
4 |
-1 |
Blocca in modo aggressivo i processi con reputazioni sconosciute che vengono generate dagli editor di testo |
Mitre-T1204: blocca in modo aggressivo i processi con reputazioni sconosciute che vengono generate dagli editor di testo |
Tattica: esecuzione-tecnica: T1204. Simile alla regola ID 313 ma richiede un approccio più aggressivo. È impostato su osserva solo per impostazione predefinita e deve essere attivato nell'assegnazione del gruppo di regole. |
316 |
262460 |
4 |
-1 |
Impedisci ai lettori PDF di avviare processi che possono eseguire script in tutte le assegnazioni dei gruppi di regole |
Mitre-T1204: impedisce ai lettori PDF di lanciare processi che possono eseguire script |
Tattica: esecuzione-tecnica: T1204. Impedisci ai lettori PDF di lanciare processi che possono eseguire script |
317 |
262461 |
4 |
-1 |
Impedisci ai lettori PDF di lanciare processi che possono eseguire script solo nelle assegnazioni dei gruppi di regole di sicurezza |
Mitre-T1204: impedisce ai lettori PDF di avviare processi che possono eseguire script nelle assegnazioni dei gruppi di regole di sicurezza |
Tattica: esecuzione-tecnica: T1204. Impedisci ai lettori PDF di lanciare processi che possono eseguire script solo nelle assegnazioni dei gruppi di regole di sicurezza |
318 |
262462 |
4 |
-1 |
Impedisci ai lettori PDF di lanciare cmd. exe |
Mitre-T1204: impedisce ai lettori PDF di lanciare cmd. exe |
Tattica: esecuzione-tecnica: T1204. Impedisci ai lettori PDF di lanciare cmd. exe |
319 |
196927 |
3 |
-1 |
Impedisci a cmd. exe di lanciare altri interpreti script come cscript o PowerShell in tutte le assegnazioni dei gruppi di regole |
Mitre-T1059: tenta di impedire a cmd. exe di lanciare altre istanze che potrebbero indicare un payload dannoso |
Tattica: esecuzione-tecnica: T1059. È possibile bloccare l'avvio di strumenti dual use da cmd. exe comunemente utilizzati negli attacchi |
320 |
131392 |
2 |
-1 |
Impedisci a cmd. exe di lanciare altri interpreti script come cscript o PowerShell per impostazione predefinita solo nelle assegnazioni dei gruppi di regole di sicurezza |
Mitre-T1059: identifica i payload sospetti che invocano la shell dei comandi nelle assegnazioni del gruppo di regole di sicurezza |
Tattica: esecuzione-tecnica: T1059. Identifica i payload sospetti che invocano la shell di comando. Questa regola è attivata solo per impostazione predefinita nell'assegnazione del gruppo di regole di sicurezza. Sarà necessario attivarlo manualmente se si utilizza un'altra assegnazione di gruppo di regole |
321 |
393537 |
6 |
-1 |
Impedisci a cmd. exe di lanciare script interpreti |
Mitre-T1059: tentativi di impedire catene di processi sospetti mantenendo cmd da ulteriori deposizione delle uova script interpretare i processi |
Tattica: esecuzione-tecnica: T1059. Tentativi di impedire catene di processi sospetti mantenendo cmd da ulteriori deposizione delle uova script interpretare i processi |
322 |
328002 |
5 |
-1 |
Impedisci l'avvio di mshta da parte di qualsiasi processo per tutte le assegnazioni dei gruppi di regole |
Mitre-T1218: impedisce che mshta venga utilizzato come file binario firmato per proxy esecuzione di codice tramite |
Tattica: accesso iniziale, evasione della difesa, esecuzione-tecnica: T1218, T1204. mshta. exe è uno strumento comune utilizzato per distribuire un payload. Questa regola impedisce l'utilizzo |
323 |
262467 |
4 |
-1 |
Impedisci l'avvio di mshta come processo figlio |
Mitre-T1218: impedisce l'avvio di mshta da parte di qualsiasi processo per le assegnazioni dei gruppi di regole di sicurezza |
Tattica: accesso intial, evasione della difesa, esecuzione-tecnica: T1218, T1204. Impedire l'avvio di mshta. exe da parte di qualsiasi processo. Solo per impostazione predefinita nell'assegnazione del gruppo di regole di sicurezza. Sarà necessario attivare l'opzione se si utilizzano assegnazioni di gruppi di regole di bilanciamento o produttività |
324 |
524612 |
8 |
-1 |
Impedisci mshta di avviare un processo sospetto |
Mitre-T1218: impedisce a mshta di avviare un'applicazione sospetta |
Tattica: accesso iniziale, evasione della difesa, esecuzione-tecnica: T1218, T1204. Questa regola adotta un approccio più aggressivo per prevenire il codice eseguito tramite mshta. exe e in quanto tale è in osservazione per impostazione predefinita in tutte e 3 le assegnazioni dei gruppi di regole. È possibile che possa generare falsi positivi e che sarà necessario attivarlo manualmente |
325 |
196933 |
3 |
-1 |
Identificazione di payload sospetti che invocano il processo rundll32 |
Mitre-T1218: identifica i payload sospetti che delega l'esecuzione del codice tramite il processo rundll32 |
Tattica: evasione della difesa, esecuzione-tecnica: T1218. Identificazione dei payload sospetti che delega l'esecuzione del codice tramite il processo rundll32 |
326 |
328006 |
5 |
-1 |
Identificazione dei payload sospetti che richiamano rundll32 in sistemi a modifica elevata |
Mitre-T1218: identifica i payload sospetti che delega l'esecuzione del codice tramite il processo rundll32 |
Tattica: evasione della difesa, esecuzione-tecnica: T1218. Identificazione di payload sospetti che richiamano rundll32. Questa regola è attiva solo per impostazione predefinita nell'assegnazione del gruppo di regole di sicurezza ed è impostata in modo da osservare nelle assegnazioni di gruppi di produttività e bilanciate. |
327 |
328007 |
5 |
-1 |
Identifica i più probabili payload sospetti che invocano il processo rundll32 |
Mitre-T1218: identifica i più probabili payload sospetti che invocano il processo rundll32 |
Tattica: evasione della difesa, esecuzione-tecnica: T1218. Questa regola è per impostazione predefinita in osserva solo in tutte e 3 le assegnazioni dei gruppi di regole. Richiede un approccio più aggressivo al blocco del codice eseguito con rundll32 e potrebbe generare falsi positivi. Sarà necessario attivarlo manualmente in tutte le assegnazioni del gruppo di regole |
329 |
328009 |
5 |
-1 |
Identificazione e blocco dell'utilizzo sospetto di attività pianificate in sistemi a modifica elevata |
Mitre-T1053: Cerca qualsiasi richiamo potenzialmente dannoso delle attività di pianificazione e li blocca prima di essere aggiunto in sistemi a modifica elevata |
Tattiche: esecuzione, persistenza, escalation dei privilegi-tecnica: T1053. Cerca qualsiasi richiamo potenzialmente dannoso delle attività di pianificazione e li blocca prima di essere aggiunto in sistemi a modifica elevata. In questo modo si tenterà di tagliare malware meccanismo di persistenza |
330 |
262474 |
4 |
-1 |
Identificate e bloccate probabilmente il richiamo sospetto del processo di sistema SvcHost e quindi impedendogli di abusarne |
Mitre-T1055: Cerca qualsiasi richiamo potenzialmente dannoso del processo di sistema SvcHost e lo blocca da iniezioni di processo indesiderate |
Tattica: evasione della difesa-tecnica: T1055. Cerca qualsiasi richiamo potenzialmente dannoso del processo di sistema SvcHost e lo blocca da iniezioni di processo indesiderate da parte di un processo sconosciuto |
331 |
131403 |
2 |
-1 |
Identificate e bloccate probabilmente il richiamo sospetto del processo di sistema SvcHost per le assegnazioni dei gruppi di regole di sicurezza |
Mitre-T1055. Cerca qualsiasi richiamo potenzialmente dannoso del processo di sistema SvcHost e lo blocca da iniezioni di processo indesiderate per una postura di sicurezza |
Tattica: evasione della difesa-tecnica: T1055. Cerca qualsiasi richiamo potenzialmente dannoso del processo di sistema SvcHost e lo blocca dalle iniezioni di processo indesiderate da parte di un processo sconosciuto per la postura della sicurezza |
332 |
328012 |
5 |
-1 |
Impedisci a certutil. exe di scaricare o decodificare file con estensioni sospette |
Mitre-T1140: impedisce a certutil di scaricare file remoti o decodificare file mascherati da qualcos'altro |
Tattiche: evasione della difesa-tecniche: T1140, T1218. CertUtil è un file binario che può essere abusato dagli aggressori per recuperare o decodificare i payload. Questa regola impedisce a certutil. exe di recuperare i payload o di decodificare i file messi in scena. Certutil appartiene anche a un gruppo di strumenti dual-use nella tecnica Mitre T1218 |
333 |
721229 |
11 |
-1 |
Identifica le catene di processo probabilmente sospette |
Mitre-T1574: identifica le catene di processo interessanti e bloccale se il comportamento è sospetto |
Tattiche: persistenza, escalation dei privilegi, evasione della difesa-tecnica: T1574. Identificare le catene di processi interessanti e bloccarle se il comportamento non è auspicabile o sospetto |
334 |
196942 |
3 |
-1 |
Identificazione delle modifiche del registro di sistema nei percorsi sospetti |
Mitre-T1547: il malware può talvolta mantenere la persistenza aggiungendo o modificando le chiavi di registro per richiedere l'avvio di un servizio o di un file binario |
Tattica: persistenza-tecnica: T1547. Identifica e blocca le modifiche al registro di sistema nei percorsi sospetti |
335 |
328015 |
5 |
-1 |
Impedisci l'utilizzo delle utilità comuni di Windows dal lancio dei processi nel tentativo di aggirare il controllo dell'account utente |
Mitre-T1548: tentativo di prevenzione delle tecniche di elevazione comuni come le esclusioni dell'UAC |
Tattiche: escalation dei privilegi, evasione della difesa-tecnica: T1548. Questa regola tenta di mitigare alcune tecniche comuni di bypass del controllo dell'account utente in Windows |
336 |
131408 |
2 |
-1 |
Rileva i payload sospetti che mirano ai servizi o alle applicazioni di rete |
Rilevamento di payload sospetti destinati ai servizi o alle applicazioni di rete nelle assegnazioni dei gruppi di regole di sicurezza |
Rileva i payload sospetti che colpiscono i servizi o le applicazioni di rete tramite vari strumenti a duplice uso o script interpreti |
337 |
131409 |
2 |
-1 |
Impedisci ai browser di avviare script interpreti o strumenti dual use nelle assegnazioni dei gruppi di regole di sicurezza |
Rileva i pattern in cui i browser tentano di avviare script editor o strumenti dual use in posizione di sicurezza |
Rileva i pattern in cui i browser tentano di avviare script editor o strumenti dual use ed è un lavoro come predefinito nelle assegnazioni dei gruppi di regole di sicurezza |
338 |
196946 |
3 |
15 |
Rileva e blocca i tentativi di svuotamento del processo per i processi che sono stati attivati da un attore sconosciuto |
Mitre-T1055. Rileva e blocca qualsiasi tentativo di svuotamento dei processi identificato utilizzando lo stato thread iniziale |
Tattiche: evasione della difesa, escalation dei privilegi-tecnica: T1055. Rileva e blocca qualsiasi tentativo di svuotamento dei processi identificato utilizzando lo stato thread iniziale e altri titolari di informazioni di processo pertinenti |
339 |
131411 |
2 |
-1 |
Impedisci l'esecuzione delle utilità .NET per la registrazione degli assembly |
Mitre-T1218: impedisce a Regsvcs. exe e Regasm. exe di registrarsi ed eseguire gli assembly .NET |
Tattica: evasione della difesa-tecnica: T1218. Impedire a Regsvcs. exe e Regasm. exe di registrare ed eseguire assembly .NET che possono essere utilizzati per proxy esecuzione di codice |
340 |
131412 |
2 |
-1 |
Identificare e bloccare probabilmente le invocazioni sospette da parte di SearchProtocolHost e quindi impedirne l'abuso |
Mitre-T1055: Cerca qualsiasi richiamo potenzialmente dannoso dei processi da parte di SearchProtocolHost e ne impedisce le iniezioni di processo indesiderate |
Tattica: evasione della difesa-tecnica: T1055. Cerca qualsiasi richiamo potenzialmente dannoso dei processi mediante il processo di SearchProtocolHost del sistema e ne impedisce le iniezioni di processo indesiderate |
341 |
196949 |
3 |
-1 |
Identificare e bloccare i pattern utilizzati negli attacchi ransomware nelle assegnazioni dei gruppi di regole di sicurezza. |
Cerca qualsiasi richiamo potenzialmente dannoso di pattern che sono comuni negli attacchi ransomware. Ci vuole un approccio più aggressivo rispetto alla regola 342 e lavora nelle assegnazioni dei gruppi di regole di sicurezza. |
Cerca qualsiasi richiamo potenzialmente dannoso dei pattern che sono comuni negli attacchi ransomware e blocca l'esecuzione. Ci vuole un approccio più aggressivo rispetto alla regola 342 e lavora nelle assegnazioni dei gruppi di regole di sicurezza. |
342 |
131414 |
2 |
-1 |
Identificazione e blocco dei pattern utilizzati negli attacchi ransomware |
Cerca qualsiasi richiamo potenzialmente dannoso di pattern comuni negli attacchi ransomware |
Cerca qualsiasi richiamo potenzialmente dannoso di pattern che sono comuni negli attacchi ransomware e blocca l'esecuzione |
343 |
131415 |
2 |
-1 |
Impedisci ai file binari abusano di Windows di lanciare cmd. exe come parte di un bypass UAC |
Mitre-T1548: tentativo di prevenzione delle tecniche di elevazione comuni come le esclusioni dell'UAC |
Tattiche: escalation dei privilegi, evasione della difesa-tecnica: T1548. Questa regola tenta di mitigare alcune tecniche comuni di bypass del controllo dell'account utente in Windows |
344 |
131416 |
2 |
-1 |
Identificazione delle catene di processo sospette per le assegnazioni dei gruppi di regole di sicurezza |
Mitre-T1574: identifica le catene di processi interessanti e bloccale se il comportamento è sospetto. La regola è valida solo per le assegnazioni dei gruppi di regole di sicurezza |
Tattiche: persistenza, escalation dei privilegi, evasione della difesa-tecnica: T1574. Identificare le catene di processi interessanti e bloccarle se il comportamento non è auspicabile o sospetto. Le regole sono valide solo per le assegnazioni dei gruppi di regole di sicurezza |
345 |
65881 |
1 |
-1 |
Identificare le catene di esecuzione di processi sospetti. Ciò è determinato dall'inusuale insorgenza del processo in una catena di processi specifica. |
Mitre-T1574: identifica le catene di processo interessanti e bloccale se il comportamento è sospetto |
Tattiche: persistenza, escalation dei privilegi, evasione della difesa-tecnica: T1574. Identificare le catene di processi interessanti e bloccarle se il comportamento non è auspicabile o sospetto |
346 |
131418 |
2 |
-1 |
Impedisci a certutil. exe di scaricare o decodificare qualsiasi file |
Mitre-T1140: impedisce a certutil di scaricare file remoti o decodificare i file. Questa regola è diversa dall'ID regola 332 in quanto fornisce una copertura più generale dei parametri di certutil abusare |
Tattiche: evasione della difesa-tecniche: T1140, T1218. CertUtil è un file binario che può essere abusato dagli aggressori per recuperare o decodificare i payload. Questa regola impedisce a certutil. exe di recuperare i payload o di decodificare i file messi in scena. Certutil appartiene anche a un gruppo di strumenti dual-use nella tecnica Mitre T1218 |
347 |
196955 |
3 |
-1 |
Impedisci ai processi degli attori di tentare ripetutamente di eseguire comandi consecutivi |
Mitre-T1059: comando e scripting. Impedisce ai processi sconosciuti di avviare ripetutamente comandi per arrestare i servizi o eseguire altri elementi di script in una riga |
Ciò è comune con i set di strumenti e gli script di ricognizione per un processo per eseguire ripetutamente cmd, PowerShell, WMIC, NET, etc per eseguire una rapida ricognizione di un sistema o per arrestare i servizi e i processi critici |
349 |
65885 |
1 |
15 |
Rileva l'utilizzo potenzialmente dannoso di BITSAdmin |
Mitre-T1197: cerca l'utilizzo sospetto dello strumento BITSAdmin per download un file in un percorso non standard o da siti dannosi |
Tattica: evasione della difesa, persistenza-tecnica: T1197. Cerca l'utilizzo sospettoso dello strumento BITSAdmin per download un file in un percorso non standard o da siti dannosi |
350 |
65886 |
1 |
15 |
Rilevamento dell'utilizzo sospetto di strumenti di trasferimento dati |
Mitre-T1537, T1567: cerca l'utilizzo sospetto di strumenti che possono essere utilizzati per trasferire dati a una rete esterna |
Tattica: fuoriuscita, tecnica: T-1537, T-1567. Questa regola è destinata a rilevare i dati fuoriuscita rilevando l'utilizzo sospetto di strumenti di trasferimento dati comuni. Il traffico di rete relativo allo strumento deve essere esaminato nel caso in cui la regola venga attivata |
500 |
197108 |
3 |
15 |
Blocco del movimento laterale da altre macchine Windows nella rete |
Mitre-T1570: trasferimento utensile laterale. Blocca l'utilizzo di strumenti che consentono il movimento laterale dei file a questo client. |
Tattica: movimento laterale-tecnica: T1570. Questa regola blocca il movimento laterale dai client Windows. Potrebbe essere necessario esaminare un'origine dati di rete che esegue il monitoraggio del traffico per garantire che si tratti di un'attività prevista. Questa regola deve essere attivata solo per i sistemi che si trovano in ambienti estremamente restrittivi, in quanto potrebbero generare molti falsi positivi |
501 |
131573 |
2 |
15 |
Blocco del movimento laterale da altre macchine Linux nella rete |
Mitre-T1570. Blocca tutti i movimenti laterali a questo client da altre macchine Linux nella rete |
Tattica: movimento laterale-tecnica: T1570. Questa regola blocca il movimento laterale dai client Linux. Dovrebbe essere attivata solo per i sistemi che si trovano in ambienti estremamente restrittivi poiché possono generare molti falsi positivi |
502 |
131574 |
2 |
15 |
Rileva nuova creazione di servizi |
Mitre-T1543: impedisce la creazione di nuovi servizi tramite SC. exe o PowerShell. exe |
Tattica: persistenza, escalation dei privilegi-tecnica: T1543. La creazione di nuovi servizi, anche se in comune, può rappresentare un potenziale indicatore di comportamento dannoso. I nuovi servizi devono essere monitorati e la loro esecuzione sottostante è stata studiata per garantire che sia un comportamento previsto. I servizi possono anche essere chiamati a mascherarsi come servizi legittimi in modo che solo il nome non sia sufficiente per indicare i servizi dannosi legittimi |
503 |
131575 |
2 |
15 |
Rileva i file binari firmati con certificati sospetti |
Mitre-T1553: impedisce l'esecuzione di file binari firmati con un CERT sospetto |
Tattica: evasione della difesa-tecnica: T1553-sovvertire il codice di controllo della fiducia. Questa regola blocca l'esecuzione dei file binari firmati con certificati non affidabili. Dovrebbe essere attivata solo per i sistemi che si trovano in ambienti estremamente restrittivi poiché possono generare molti falsi positivi |
504 |
131576 |
2 |
15 |
Impedisci l'utilizzo di sdbinst. exe per installare shim di applicazioni |
Mitre-T1546: impedisce l'utilizzo di sdbinst. exe per installare shim di applicazioni. Può essere utilizzato per patchare i file binari esistenti per contribuire a stabilire il privilegio di persistenza o escalation |
Tattica: escalation dei privilegi, persistenza-tecnica: T1546. L'applicazione spessoramento è una forma di esecuzione attiva dell'evento e deve essere attentamente monitorata per l'utilizzo nell'ambiente. L'utilizzo di sdbinst. exe per installare uno shim di applicazioni potrebbe essere un'indicazione del potenziale comportamento dannoso |
505 |
131577 |
2 |
15 |
Rileva parametri della riga di comando di cmd. exe offuscati |
Mitre-T1027: rileva i tentativi di offuscamento di parametri della riga di comando di cmd. exe. Strumenti di destinazione come Invoke-DOSfuscation |
Tattica: evasione della difesa-tecnica: T1027. I pirati informatici possono tentare di aggirare i rilevamenti della riga di comando offuscando i payload. I parametri della riga di comando offuscati possono essere un indicatore di attività dannose e devono essere esaminati per verificare che si tratti di un utilizzo previsto |
506 |
197114 |
3 |
30 |
Rileva comandi per l'individuazione degli utenti |
Mitre-T1033: rileva i comandi che consentono il rilevamento del proprietario del sistema/dell'utente |
Tattica: Discovery-tecnica: T1033. Una volta ottenuto un appiglio, un aggressore potrebbe tentare di utilizzare strumenti di amministrazione dei sistemi comuni per saperne di più sul sistema a cui hanno ottenuto l'accesso. Questa regola può generare falsi positivi a causa della sua copertura generica, quindi dovrebbe essere attivata con cura |
507 |
197115 |
3 |
30 |
Rileva i comandi utilizzati per scoprire ulteriori informazioni su un sistema |
Mitre-T1082: rileva i comandi comunemente utilizzati per eseguire ulteriori ricognizione su un sistema |
Tattica: Discovery-tecnica: T1082. Una volta ottenuto un punto d'appoggio, un aggressore potrebbe tentare di utilizzare strumenti di amministrazione di sistema comuni per scoprire ulteriori dettagli quali gli hotfix installati e la versione del sistema operativo per comprendere meglio la casella a cui hanno acquisito l'accesso iniziale. È necessario prestare attenzione quando si attiva questa regola in quanto può generare falsi positivi a causa di come questi comandi sono generici |
508 |
197116 |
3 |
30 |
Rileva i comandi utilizzati per rilevare le informazioni sull'autorizzazione relative a utenti e gruppi |
Mitre-T1069: individuazione gruppi di autorizzazioni. |
Tattica: Discovery-tecnica: T1069. Durante la fase di rilevamento di un attacco, un avversario può utilizzare strumenti comuni per enumerare gli utenti e i gruppi che dispongono di autorizzazioni per risorse diverse nell'ambiente. Questi comandi possono generare falsi positivi a causa di come sono generici ma possono fungere da indicatore potenziale di compromesso durante la fase di rilevamento di un attacco |
509 |
197117 |
3 |
30 |
Rileva i comandi utilizzati per rilevare le configurazioni correlate alla rete |
Mitre-T1016, T1049: rileva i comandi utilizzati per scoprire informazioni relative alla configurazione di rete e alle informazioni sulle connessioni |
Tattica: Discovery-tecnica: T1016, T1049. Durante la fase di rilevamento di un attacco, un avversario può utilizzare strumenti comuni per enumerare la configurazione di rete e le connessioni di rete. Questi comandi possono generare falsi positivi a causa di come sono generici ma possono fungere da indicatore potenziale di compromesso durante la fase di rilevamento di un attacco |
510 |
131582 |
2 |
15 |
Rilevamento di tentativi di crittografia dei dati per attività sospette |
Mitre-T1022-T1560: rileva i tentativi di compressione e cifratura prima che i tentativi fuoriuscita da parte di attori sospetti |
Tattica: collezione-tecnica: T1560: cifratura di rilevamento da parte di software di terze parti o metodi personalizzati prima di fuoriuscita. La regola è destinata a ambienti estremamente restrittivi e potrebbe essere soggetta a falsi positivi |
511 |
131583 |
2 |
30 |
Rileva i tentativi di scaricare informazioni sensibili tramite registro o Lsass |
Mitre-T1003: rileva i comandi che possono essere utilizzati per scaricare le informazioni sensibili sul sistema operativo relative alle credenziali |
Tattica: accesso alle credenziali-tecnica: T1003. Gli aggressori comunemente sfruttano strumenti personalizzati o nativi per esportare dati sensibili, ad esempio un dump di memoria di LSASS. exe, un'esportazione dell'hive del registro di sistema SAM o una copia shadow di NTDS. dit per facilitare il dumping di hash/credenziali. Alcuni software possono eseguire questa operazione in modo legittimo, così falsi positivi possono essere generati utilizzando questa regola |
512 |
197120 |
3 |
30 |
Rileva comandi che consentono l'esecuzione indiretta al di fuori di cmd e PowerShell |
Mitre-T1202: rileva comandi che possono eseguire comandi diversi da cmd o PowerShell. L'esecuzione di un comando indiretto può essere un modo per gli avversari di eludere alcuni rilevamenti |
Tattica: evasione della difesa-tecnica: T1202. Un modo per eludere le difese può essere quello di utilizzare l'esecuzione indiretta del comando che potrebbe consentire agli aggressori di rimanere sotto il radar e di bypassare i rilevamenti che potrebbero essere alla ricerca di un'esecuzione diretta tramite cmd. exe o PowerShell. exe. Alcuni script possono utilizzare legittimamente questi comandi in modo che possano essere generati falsi positivi quando si attiva questa regola |
513 |
197121 |
3 |
15 |
Rileva i comandi utilizzati per la copia di file da un sistema remoto |
Mitre-T1105, T1570: rileva i comandi utilizzati per trasferire gli strumenti o altri file da un ambiente esterno a un sistema compromesso |
Tattica: comando e controllo-tecnica: T1105, T1570. Blocca le operazioni di copia remota o gli strumenti laterali dall'ambiente esterno. Questa regola può generare falsi positivi, quindi destinati a ambienti estremamente restrittivi |
514 |
197122 |
3 |
15 |
Rilevamento di carichi DLL potenzialmente dirottati |
Mitre-T1574: rileva i tentativi di impadronirsi del flusso di esecuzione impedendo il caricamento delle dll sospette |
Tattica: persistenza, escalation dei privilegi, evasione della difesa-tecnica: T1574. Il dirottamento del flusso di controllo può essere eseguito in vari modi abusando dell'ordine che i file binari legittimi tentano di caricare le dipendenze. Ciò può consentire agli aggressori di utilizzare i file binari affidabili per caricare una DLL non affidabile sfruttando quando il file binario non è esplicito del percorso assoluto in cui sono previste le dipendenze |
515 |
197123 |
3 |
-1 |
Protezione dalle app di Office che lanciano processi sconosciuti da percorsi non standard. |
Questa regola protegge dall'uso sospetto delle app di Office. Cerca i processi sospetti lanciati dalle app di Office in posizioni non standard. |
Le app di Office vengono in genere utilizzate per fornire malware, questa regola cerca di avviare processi sospetti dalle app di Office. Questa regola può generare falsi positivi in modo che sia possibile attivarli con attenzione. |
516 |
131588 |
2 |
15 |
Identifica e blocca i processi in esecuzione con le righe di comando non standard |
Tentare di bloccare i processi in esecuzione con le righe di comando normalmente non visualizzate dal processo. |
Tattica: evasione della difesa. Questa regola è destinata ai processi Windows comuni che vengono eseguiti con le righe di comando non standard. Sarà necessario attivarlo manualmente se si desidera utilizzarlo |
517 |
131589 |
2 |
15 |
Impedisci processo attore con reputazioni sconosciute dall'avvio dei processi nelle cartelle di sistema comuni |
Questa regola cerca gli attori con una reputazione di processo sconosciuta e ne impedisce l'avvio dei processi figlio con righe di comando vuote dalle directory di sistema comuni |
Questa regola è destinata ai processi con una reputazione di processo sconosciuta (o inferiore) che avvia i file binari dalle cartelle di sistema comuni. Cerca anche le righe di comando vuote come è comune in alcuni spawnto di cobalto Strike utilizza |
518 |
66054 |
1 |
15 |
Impedisci ai processi di Actor sconosciuti di lanciare processi di destinazione nelle cartelle di sistema comuni |
Questa regola è simile a 517 ma cerca un attore sconosciuto che lancia un bersaglio con parametri sospetti della riga di comando |
Questa regola è simile a 517 ma cerca un attore sconosciuto che lancia un bersaglio con parametri sospetti della riga di comando |
519 |
66055 |
1 |
15 |
Rileva l'uso dei privilegi di GetSystem Command elevate |
Mitre-T1134: accesso token manipolazione per l'escalation dei privilegi. Questa regola cerca la tecnica di rappresentazione della named pipe utilizzata per ottenere i privilegi di sistema |
Gli avversari possono utilizzare le named pipe per connettersi e duplicare il manico per ottenere privilegi di sistema. Se questa regola genera l'origine e la destinazione deve essere attentamente ispezionata per cercare eventuali abusi di sistema potenziali |