Régua
TIDENTIFICAÇÃO |
Identificador de regra |
Versão da regra |
Repu- tation |
Codinome |
Descrição |
Descrição longa |
0 |
0 |
0 |
-1 |
Não aplicável |
Nenhuma regra afetou esta reputação |
Nenhuma regra afetou esta reputação |
1 |
589825 |
9 |
-1 |
Use a reputação de certificados para identificar arquivos confiáveis ou maliciosos |
Determina se um arquivo é confiável ou malicioso com base na reputação do GTI ou empresarial do certificado de assinatura. |
Essa regra determina se um arquivo é confiável ou malicioso com base na reputação do GTI ou da empresa do certificado de assinatura. A reputação do certificado deve ser malicioso conhecido, confiável conhecido, provavelmente malicioso ou provavelmente confiável. |
2 |
196610 |
3 |
-1 |
Use a reputação de arquivo empresarial para identificar arquivos confiáveis ou maliciosos |
Determina se um arquivo é confiável ou malicioso com base na reputação empresarial do arquivo. |
Essa regra determina se um arquivo é confiável ou malicioso com base na reputação empresarial do arquivo. A reputação deve ser, pelo menos, maliciosamente conhecido, confiável conhecido, provavelmente malicioso ou provavelmente confiável. |
3 |
65539 |
1 |
0 |
Ignorar pesquisa por arquivos com base em critérios de seleção |
Ignorar pesquisa de GTI para arquivos com base em critérios de seleção que provavelmente serão limpos ou desconhecidos para GTI |
Ignorar pesquisa de GTI para arquivos com base em critérios de seleção que provavelmente serão limpos ou desconhecidos para GTI |
4 |
196612 |
3 |
-1 |
Use a reputação de arquivo do GTI para identificar arquivos confiáveis ou maliciosos |
Determina se um arquivo é confiável ou malicioso com base na reputação de GTI do arquivo. |
Essa regra determina se um arquivo é confiável ou malicioso com base na reputação do GTI do arquivo. A reputação deve ser, pelo menos, maliciosamente conhecido, confiável conhecido, provavelmente malicioso ou provavelmente confiável. |
5 |
327685 |
5 |
-1 |
Use a reputação de URLs do GTI para identificar processos confiáveis ou maliciosos |
O-T1204. Determina se um processo é confiável ou malicioso com base na reputação de URL do GTI. |
Tática: execução-técnica: T1204. Essa regra determina se um processo é confiável ou malicioso com base na reputação de URL do GTI. |
10 |
196618 |
3 |
100 |
Identifique que um arquivo é o componente principal de um instalador confiável que usa os atributos do arquivo, a reputação do certificado e a reputação do arquivo. |
Determina se um arquivo é um instalador confiável com base nos atributos do arquivo, nome do arquivo e do GTI ou do certificado corporativo e reputação de arquivo. |
Essa regra determina se arquivo é um instalador confiável com base na reputação GTI ou empresarial do arquivo. Ele também verifica o nome do arquivo, o nome da empresa e outros atributos semelhantes para determinar se ele é um componente atualizador ou instalador que pode ser confiável. |
12 |
131084 |
2 |
100 |
Identificar se um arquivo é o componente principal de um instalador confiável com base em uma arquivo específica identificada pelo hash |
Determina se um arquivo é um instalador confiável com base no hash arquivo e na reputação do GTI ou da empresa. |
Essa regra determina se o arquivo é um instalador confiável com base na arquivo de hash e GTI ou na reputação da empresa arquivo para determinar se é um atualizador ou um componente do instalador que pode ser confiável. |
20 |
131092 |
2 |
-1 |
Identificar arquivos confiáveis com privilégios de McAfee |
Identifica arquivos confiáveis usando certificados ou hashes que são distribuídos nos arquivos DAT do AV. |
Essa regra identifica os arquivos confiáveis usando certificados ou hashes que são distribuídos nos arquivos DAT do AV e também podem ter privilégios elevados com McAfee processos e drivers. |
34 |
131106 |
2 |
1 |
Verificação de SFv3 |
Identifica uma amostra de teste que pode ser usada para validação do SFv3 |
Esta regra identifica uma amostra de teste por hash que pode ser usada para a verificação do SFv3 Framework. |
35 |
196643 |
3 |
1 |
Verificação de instalação |
Identifica uma amostra de teste que pode ser usada para a verificação da instalação. |
Esta regra identifica uma amostra de teste que pode ser usada para a verificação da instalação. |
36 |
65572 |
1 |
1 |
Verificação de instalação sem servidor TIE |
Identifica uma amostra de teste que pode ser usada para a verificação da instalação em uma configuração sem nenhum servidor TIE. |
Esta regra identifica uma amostra de teste que pode ser usada para a verificação da instalação em uma configuração sem servidor TIE. |
38 |
131110 |
2 |
1 |
Regra de verificação de SFv3 desativada na nuvem |
Uma regra de teste que está desativada na nuvem para validação do SFv3 |
Essa regra identifica uma amostra de teste por hash e é desativada na nuvem para verificação do SFv3 Framework. |
50 |
65586 |
1 |
85 |
Identificar arquivos confiáveis de um criador confiável |
Identifica os arquivos confiáveis que foram criados por um atualizador totalmente confiável. |
Essa regra identifica os arquivos confiáveis que foram criados por um atualizador totalmente confiável e que não foram modificados. |
51 |
131123 |
2 |
-1 |
Identificar arquivos marcados como instaladores confiáveis pelo mecanismo de varredura de confiança |
Identifica os arquivos marcados como confiáveis pela mecanismo de varredura de confiança que se baseiam no dat arquivo |
Essa regra identifica os arquivos que são marcados como arquivos do instalador confiáveis por relação de confiança mecanismo de varredura com base nas informações disponíveis no arquivo dat e não são dependentes da nuvem |
55 |
131127 |
2 |
99 |
Identificar certificados que precisam de correção de reputação |
Identifica certificados de fornecedores camada 1 que precisam de uma correção para seu nível de reputação. |
Essa regra identifica os certificados dos fornecedores camada 1 que precisam de uma correção para seu nível de reputação. |
57 |
262201 |
4 |
-1 |
Use a reputação de arquivo do GTI para identificar os arquivos que podem ser confiáveis ou que podem ser maliciosos |
Determina os arquivos que podem ser confiáveis ou que podem ser maliciosos com base no GTI arquivo reputação. |
Essa regra identifica os arquivos que são menos conclusivos em suas reputações de GTI, como podem ser confiáveis e podem ser maliciosos. |
58 |
196878 |
3 |
70 |
Identificar confiança para arquivos executados em compartilhamentos de rede |
Isso identificará a confiança para arquivos executados em compartilhamentos de rede usando atributos arquivo e outras informações relacionadas, como prevalência |
Isso identificará a confiança dos arquivos executados em compartilhamentos de rede usando os resultados mecanismo de varredura e os atributos de arquivo para indicar confiança |
60 |
131132 |
2 |
0 |
Regra de configuração de atributo para ajudar na identificação de arquivos interessantes |
Identifica itens iniciados por um ator interessante ou um item de Internet |
Identifica arquivo que são iniciadas por um ator interessante ou têm características especiais, como o certificado autoassinado |
61 |
262205 |
4 |
0 |
Identificar aplicativos voltados para a Internet |
Identificar aplicativos populares da Internet, como um navegador da Web ou cliente de e-mail |
Esta regra identifica aplicativos que funcionam na Internet, como um navegador da Web ou cliente de e-mail usando atributos de identificação, como nome de arquivo e certificado |
62 |
196670 |
3 |
0 |
Identificar um aplicativo que lê arquivos de conteúdo |
Identificar um aplicativo que lê arquivos de conteúdo, como documentos PDF, Microsoft Office documentos, vídeos, etc. |
Essa regra identifica o principal executável arquivo de aplicativos populares que lêem conteúdo, como documentos em PDF, documentos Microsoft Offices, vídeos, etc. |
95 |
131167 |
2 |
85 |
Identificar os arquivos assinados por certificado de reputação limpa conhecida e marcá-los provavelmente como confiáveis quando estiverem off-line |
Identifica os arquivos assinados por certificado de reputação limpa conhecida e os marca como confiáveis quando estiver off-line |
Identifica os arquivos que são assinados por certificado de reputação limpa conhecida e os marca como confiáveis quando não estiver no modo de conectividade |
96 |
65632 |
1 |
0 |
Prompt inteligente |
Suprimir a solicitação de cargas de biblioteca para aplicativos confiáveis que não sejam os navegadores da Internet. |
Essa regra suprime a solicitação de cargas de biblioteca para aplicativos confiáveis que não sejam os navegadores da Internet. |
97 |
262241 |
4 |
70 |
Confiar nos arquivos enquanto estiver off-line, a menos que seja altamente suspeito para versões do JTI scanner lançadas após 2018 |
Determina que os arquivos sem características suspeitas são confiáveis quando o sistema está off-line (desconectado do TIE e GTI). |
Essa regra trata os arquivos que não têm características suspeitas como confiáveis quando o sistema está desconectado do servidor TIE e do GTI. Essa regra usa critérios menos rigorosos para determinar a confiança, a fim de ajudar a mitigar problemas com grandes números de arquivos desconhecidos enquanto estiver desconectado do servidor TIE ou do GTI. Esta regra se aplica à versão do JTI scanner 2.1.4.1590 e acima, lançada em junho de 2018 |
98 |
262242 |
4 |
70 |
Confiar nos arquivos enquanto estiver off-line, a menos que seja altamente suspeito para versões do JTI scanner lançadas antes de 2018 |
Determina que os arquivos sem características suspeitas são confiáveis quando o sistema está off-line (desconectado do TIE e GTI). |
Essa regra trata os arquivos que não têm características suspeitas como confiáveis quando o sistema está desconectado do servidor TIE e do GTI. Essa regra usa critérios menos rigorosos para determinar a confiança, a fim de ajudar a mitigar problemas com grandes números de arquivos desconhecidos enquanto estiver desconectado do servidor TIE ou do GTI. Esta regra se aplica às versões do mecanismo de varredura JTI abaixo 2.1.4.1590, lançado em junho de 2018 |
99 |
196707 |
3 |
50 |
Confiar em arquivos com base no nível de segurança de poucos sistemas de alteração quando off-line |
Determina que os arquivos sem características suspeitas são desconhecidos quando o sistema está off-line (desconectado do servidor TIE e de GTI). |
Trata os arquivos sem características suspeitas como desconhecidos quando o sistema está desconectado do servidor TIE e de GTI. Esta é a última regra a ser executada. |
125 |
196733 |
3 |
85 |
Identificar os arquivos marcados como confiáveis Windows aplicativos AppStore |
Identifica os arquivos que são marcados como confiáveis Windows aplicativos AppStore que se baseiam nos atributos de arquivo e de processo |
Essa regra identifica os arquivos que são marcados como confiáveis Windows aplicativos AppStore com base nos atributos arquivo, no local de arquivo e nos atributos de processo |
126 |
393342 |
6 |
85 |
Identificar aplicativos com assinatura confiável |
Identifica os arquivos que são assinados e localizados em caminhos geralmente usados para a instalação de programas. Eles também podem ter uma entrada no menu iniciar. |
Essa regra identifica os arquivos que são assinados e que têm um certificado não autoassinado válido. O local do arquivo é considerado junto com atributos ambientais, como entrada do menu iniciar. |
127 |
196735 |
3 |
85 |
Identificar bibliotecas de recursos de ajuda confiáveis |
Identifica as bibliotecas de recursos assinadas que são usadas por um software confiável. |
Essa regra identifica as bibliotecas de recursos que são usadas por um software confiável. Os arquivos são assinados e não têm uma reputação de certificado mal-intencionado. Eles têm características indicando que é uma biblioteca de recursos, como nenhuma importação ou exportação, e um pequeno número de seções de executáveis portáteis (PE). |
128 |
196736 |
3 |
85 |
Identificar bibliotecas de recursos de ajuda confiáveis |
Identifica as bibliotecas de recursos assinadas que são usadas por um software confiável. Essas bibliotecas geralmente são usadas como parte da documentação da ajuda. |
Essa regra identifica as bibliotecas de recursos assinadas que são usadas por um software confiável. As bibliotecas geralmente são usadas como parte da documentação de ajuda do aplicativo. Eles são assinados e não têm uma reputação de certificado mal-intencionado. Eles têm características indicando que é uma biblioteca de recursos, como nenhuma importação ou exportação, e um pequeno número de seções de executáveis portáteis (PE). Eles também estão localizados nas pastas de instalação do aplicativo. |
129 |
262273 |
4 |
85 |
Identificar aplicativos de utilitário assinados confiáveis |
Identifica os aplicativos do utilitário que são assinados e o certificado não é confiável. Esses arquivos não são iniciados na inicialização e têm características que sugerem que são programas utilitários |
Essa regra identifica os aplicativos de utilitário que são assinados e o certificado não é confiável. Esses arquivos não são iniciados na inicialização. Eles estão localizados em uma pasta que indica uma ferramenta ou programa instalado (exemplo: %programfiles%\subfolder) e importe APIs e tenha outras características consistentes com aplicativos de utilitário confiável. |
130 |
327810 |
5 |
85 |
Identificar drivers assinados confiáveis |
Identifica os drivers de dispositivo que são assinados e instalados no sistema local. |
Essa regra identifica os drivers de dispositivo que são assinados e instalados no sistema local. Eles usam o subsistema nativo e estão localizados no %windir%pastas \System32\Drivers ou DriverStore. |
131 |
327811 |
5 |
85 |
Identificar bibliotecas de gerenciamento de direitos digitais (DRM) assinadas confiáveis |
Identifica as bibliotecas de gerenciamento de direitos digitais confiáveis assinadas usadas pelo Windows. |
Essa regra identifica as bibliotecas de gerenciamento de direitos digitais confiáveis que são assinadas e cujo certificado é confiável. Esses arquivos estão nas pastas Windows DRM e cache DRM. |
132 |
262276 |
4 |
85 |
Identificar arquivos assinados com confiança |
Identifica os arquivos assinados e confiáveis, e cuja reputação de certificado é confiável. |
Essa regra identifica os arquivos que são assinados e confiáveis, e cujo certificado também é confiável. |
133 |
262277 |
4 |
70 |
Identificar arquivos confiáveis no disco |
Identifica os arquivos que estão presentes no disco e não são suspeitos antes da instalação do módulo TIE. |
Essa regra identifica os arquivos que estão no disco e não são suspeitos antes da instalação do módulo TIE. Elas não foram adulteradas conforme identificadas pelo armazenamento em log de arquivo NTFS. |
134 |
327814 |
5 |
85 |
Identifique os arquivos confiáveis no disco que foram predominantes na empresa antes da instalação do módulo TIE. |
Identifica os arquivos que estão presentes no disco e não são suspeitos antes da instalação do módulo TIE e que foram observados na empresa. |
Essa regra identifica os arquivos que estão no disco e não são suspeitos antes da instalação do módulo TIE. Elas não foram adulteradas conforme identificadas pelo armazenamento em log de arquivo NTFS. Os arquivos também devem ter sido observados na empresa. |
136 |
327816 |
5 |
85 |
Identificar arquivos NativeImage não assinados que possam ser confiáveis |
Detecta arquivos do NativeImage que não são assinados com um certificado confiável conhecido. Geralmente, esses arquivos são de baixa prevalência e podem ser exclusivos de um sistema. |
Essa regra detecta arquivos binários pré-compilados que podem ser confiáveis e que foram instalados na pasta NativeImages e não contêm atributos suspeitos |
137 |
196745 |
3 |
85 |
Identificar assemblies DOTNet não assinados que podem ser confiáveis |
Detecta assemblies DOTNet que não são assinados com um certificado confiável conhecido. Geralmente, esses arquivos são de baixa prevalência e podem ser exclusivos de um sistema. |
Essa regra detecta arquivos que podem ser confiáveis e que foram instalados nas pastas do global assembly cache e que não contêm atributos suspeitos. Esses arquivos geralmente estão em poucos sistemas na rede e podem incluir arquivos de imagem nativa DOTNet pré-compilados e assemblies semelhantes. |
138 |
393354 |
6 |
85 |
Identificar assemblies de Microsoft do DOTNet confiáveis e não assinados |
Detecta Microsoft assemblies DOTNet que não são assinados com um certificado confiável conhecido. Esses arquivos podem não estar presentes em muitas máquinas da empresa. |
A regra essa detecta arquivos fornecidos pelo Microsoft que possuem código CLR (DOTNet), foram instalados nas pastas assembly cache global e não contêm atributos suspeitos. Os arquivos podem ou não ser encontrados em várias máquinas da empresa, o que pode incluir assemblies compilados just-in-time. |
139 |
327819 |
5 |
85 |
Identificar assemblies do DOTNet confiáveis |
Detecta assemblies DOTNet que foram instalados no cache global assembly e estão presentes em várias máquinas. |
Essa regra detecta arquivos com código CLR (DOTNet) e que foram instalados nas pastas globais do assembly cache. Os arquivos estão presentes em várias máquinas na empresa, indicando que eles não são assemblies compilados just-in-time. |
140 |
196748 |
3 |
85 |
Identificar arquivos predominantes confiáveis |
Detecta arquivos que já estão presentes na empresa há muito tempo e que se prevalecem em várias máquinas. |
Essa regra detecta arquivos que são confiáveis, pois eles são amplamente disseminados e bem conhecidos. Os arquivos estão presentes em várias máquinas da empresa e são conhecidos por mais de 3 meses. |
151 |
196759 |
3 |
70 |
Identificar instaladores da Web |
Identifica os instaladores da Web que são assinados e cujo certificado não é confiável. Ele também identifica a empresa, o produto e a versão. |
Essa regra identifica os instaladores da Web que são assinados e cujo certificado não é confiável. Ele também identifica a empresa, o produto e a versão do instalador da Web. |
152 |
327832 |
5 |
70 |
Identificar arquivos seguros extraídos pelo Windows Installer |
Identifica arquivos seguros extraídos pelo instalador do Windows Installer com base no processo de ator, na reputação de certificados e na nuvem. |
Essa regra identifica arquivos seguros extraídos pelo Windows Installer com base no processo de ator, na reputação de certificados e na nuvem. Se houver alguma suspeita de que o instalador tenha descartado arquivo, a regra não irá gerar uma reputação limpa. |
153 |
131225 |
2 |
70 |
Identifique os arquivos que o ATD não relata como suspeitos. |
Identifica os arquivos que Advanced Threat Defense não são relatados como suspeitos |
Essa regra identifica os arquivos que foram avaliados por Advanced Threat Defense e não são relatados como suspeitos. |
205 |
262349 |
4 |
30 |
Identificar arquivos suspeitos que tenham datas de criação estranhas e que provavelmente não sejam compactados |
Identifica os arquivos suspeitos que provavelmente não estão compactados, têm datas de criação estranhas e estão em locais como as pastas Temp ou downloads. |
Essa regra identifica os arquivos suspeitos em locais como as pastas Temp ou downloads. Esses arquivos provavelmente não são compactados e há evidências de que as propriedades de data tenham sido adulteradas. |
206 |
65742 |
1 |
30 |
Identificar arquivos suspeitos que tenham datas de criação estranhas e que provavelmente sejam compactados |
Identifica os arquivos suspeitos em qualquer lugar do sistema. Os arquivos provavelmente serão compactados e mostrarão evidências de que a data foi adulterada. |
Essa regra identifica os arquivos suspeitos localizados em qualquer parte do sistema. Esses arquivos são identificados como compactados e há evidências de que as propriedades de data tenham sido adulteradas. |
207 |
196815 |
3 |
15 |
Identificar arquivos suspeitos em execução a partir da lixeira |
Identifica os arquivos suspeitos que são executados a partir da lixeira. |
Essa regra identifica os arquivos suspeitos que residem no e são executados a partir da lixeira. |
208 |
65744 |
1 |
15 |
Identificar arquivos suspeitos em execução na pasta roaming |
Identifica os arquivos suspeitos que são executados ou carregados na pasta roaming do usuário. |
Essa regra identifica os arquivos suspeitos que são executados ou carregados na pasta roaming do usuário (%userprofile%\AppData\Roaming) de forma incorreta. |
209 |
196817 |
3 |
15 |
Identificar arquivos suspeitos que estão ocultos do usuário |
Identifica os arquivos suspeitos que são executados ou carregados quando ocultos são incluídos no usuário. |
Essa regra identifica os arquivos suspeitos que são executados ou carregados e são ocultados do uso de um mecanismo, como um atributo arquivo. Esses arquivos parecem ser arquivos críticos do sistema operacional, mas não são. |
211 |
65747 |
1 |
15 |
Identificar arquivos suspeitos criados por um processo não confiável |
Identifica os arquivos suspeitos criados com um processo que tenha uma reputação suspeita ou conhecida. |
Essa regra identifica um arquivo que é suspeito porque o processo que o criou tem uma reputação pode ser malicioso para malicioso conhecido no momento da criação. A arquivo também não foi modificada desde sua criação. |
213 |
65749 |
1 |
30 |
Identificar um arquivo como suspeito com base no modo em que é compactado |
Identifica um arquivo compactado ou criptografado como suspeito e o compactador não usado por um software legítimo. |
Essa regra identifica um arquivo como suspeito quando ele é determinado como compactado ou criptografado, e há recursos no arquivo que não são normalmente encontrados em softwares legítimos. |
214 |
65750 |
1 |
30 |
Identificar uma keylogger suspeita |
Identifica uma arquivo como suspeita quando ela tem recursos que não são usados por software legítimo e se parece com um keylogger. |
Essa regra identifica uma arquivo como suspeita quando ela tem recursos que não são usados por software legítimo. O arquivo tem características suspeitas, como a importação de APIs que são usadas para monitor pressionamentos de teclas e informações de versão ausentes. |
217 |
131289 |
2 |
15 |
Identificar um furto de senha suspeito |
Identifica os arquivos que foram instalados incorretamente no perfil de roaming do usuário e têm características suspeitas. |
Essa regra identifica uma arquivo que foi instalada incorretamente no perfil de roaming do usuário e tem características suspeitas. O arquivo importa APIs que são usadas para monitoramento de pressionamentos de teclas, captura de capturas de tela ou verificação de depuradores ativos. |
218 |
65754 |
1 |
30 |
Identificar uma arquivo suspeita que oculta sua idade |
Identifica os arquivos que modificam a idade apresentada do arquivo. Os arquivos contêm características suspeitas e não parecem ser programas instalados. |
Essa regra identifica os arquivos que modificam a idade apresentada do arquivo. Os arquivos contêm características suspeitas, como pacotes, informações de versão ausentes, marcadas como um sistema arquivo ou importação de APIs suspeitas. Eles não estão presentes em um caminho geralmente usado para programas instalados. |
219 |
327899 |
5 |
15 |
Identificar uma arquivo suspeita que seja ocultada em um local seguro |
Identifica arquivos em locais seguros, como pastas reservadas para drivers de sistema. Esses arquivos não são consistentes com outros arquivos desse local e têm características suspeitas. |
Essa regra identifica os arquivos que estão em locais seguros, como as pastas reservadas para os drivers do sistema. Os arquivos não usam o subsistema nativo e têm características suspeitas, como informações de versão ausentes ou incorretas, ou um tipo de arquivo que não corresponde à extensão. |
220 |
65756 |
1 |
30 |
Identificar novos arquivos suspeitos |
Identifica os arquivos que são novos no sistema e contêm características suspeitas, como nomes de seção modificados ou código modificado, no ponto de entrada do binário. |
Essa regra identifica os arquivos que têm uma data de criação nos últimos 30 dias e contêm características suspeitas. Eles incluem nomes de seção modificados ou códigos modificados no ponto de entrada do binário. |
222 |
131294 |
2 |
15 |
Identificar um keylogger suspeito que você esteja ocultando como um programa instalado |
Detecta arquivos que importam APIs de registro de arquivos e ocultam os locais usados por um programa instalado. Eles têm características suspeitas, como um pequeno número de importações e que são novas no sistema, embora não se pareçam com um aplicativo legítimo. |
Essa regra detecta arquivos que importam APIs de registro de regras e que são ocultadas no programa arquivo pastas ou subpastas. Os arquivos não estão registrados como um serviço ou em Adicionar/remover programas. Eles têm chaves de registro que são iniciadas na inicialização e características suspeitas, como um pequeno número de importações ou seções de executáveis portáteis (PE). |
234 |
65770 |
1 |
15 |
Identificar arquivos que o ATD reporta como suspeitos |
Identifica os arquivos que Advanced Threat Defense relatam como suspeitos. |
Essa regra identifica os arquivos que Advanced Threat Defense relatam como suspeitos. |
235 |
65771 |
1 |
30 |
Identificar arquivos suspeitos da Internet que podem ser maliciosos com base na reputação do GTI |
Identifica os arquivos provenientes da Internet que podem ser maliciosos com base na reputação do GTI. |
Essa regra identifica os arquivos provenientes de um URL não confiável. Eles são maliciosos e têm características suspeitas, como compactação, têm menos de 15 dias de idade e aparecem em menos de 10 sistemas ou 1% da empresa. |
237 |
196845 |
3 |
15 |
Localizar arquivos suspeitos assinados com um certificado revogado |
Detecta os arquivos que têm um certificado revogado incorporado. Eles são arquivos recém-descobertos e são exibidos em um pequeno número de sistemas. |
Essa regra detecta arquivos com um certificado incorporado que foi revogado. Os arquivos estão no ambiente por menos de cinco dias e são exibidos em menos de 1% das máquinas. |
238 |
655598 |
10 |
-1 |
Identifique o abuso de um processo comum gerado de locais não padrão no modo de observação. |
O-T1036: os arquivos podem se disfarçar de arquivos legítimos, ocultando-os em locais fora do padrão. Essa regra é detectada em relação à execução suspeita de processos comuns, caso sejam gerados de locais não padrão no modo de observação. |
Tática: Defense evasão-técnica: T1036. Identifica a execução suspeita de processos comuns, caso seja gerado de locais não padrão. A regra usa uma abordagem mais agressiva para a ID de regra 267 e é, por padrão, observada somente. Ele precisará ser definido manualmente como ativado em qualquer atribuição de grupo de regras em que você deseje usá-lo |
239 |
1179887 |
18 |
-1 |
Identificar execução de parâmetro de comando suspeito |
O-T1059: identifica a execução suspeita de um aplicativo por meio de parâmetros de linha de comando. |
Tática: execução-técnica: T1059. Esta regra se destina a invocações suspeitas de comandos e interpretadores de script |
240 |
65776 |
1 |
30 |
Identificar arquivos suspeitos com características que foram predominantemente vistas em ransomware |
Identificar arquivos suspeitos com características que tenham sido predominantemente vistas em ransomware e que estejam em locais usados de não-comum |
Identificar arquivos suspeitos com características que tenham sido predominantemente vistas em ransomware e que estejam em locais usados de não-comum |
243 |
1573107 |
24 |
-1 |
Identificar e bloquear execuções de processos suspeitos |
O-T1059: bloqueia o uso suspeito de comandos e interpretadores de script. Simlar para ID de regra 239, mas deve ser ativado manualmente |
Tática: execução-técnica: T1059. Essa regra usa uma abordagem mais agressiva do que o padrão na ID de regra 239, portanto, por padrão, ela é observada em todas as atribuições de grupos de regras. Ele deverá ser ativado manualmente se você desejar usá-lo |
250 |
131322 |
2 |
-1 |
Eleva a confiança de um arquivo que foi varrido várias vezes sem detecção |
Eleva a confiança de um arquivo com base na idade local do disco quando o arquivo foi varrido várias vezes |
Eleva a confiança de um arquivo com base na idade local do disco quando o arquivo foi varrido várias vezes e não tem características suspeitas |
251 |
65787 |
1 |
15 |
Identificar arquivos que o MWG reporta como suspeitos |
Identifica os arquivos que McAfee Web Gateway relatórios como maliciosos conhecidos ou provavelmente maliciosos e problemas com a reputação mais provável de ser malicioso. |
Essa regra identifica os arquivos que McAfee Web Gateway relatórios como maliciosos conhecidos ou provavelmente maliciosos e problemas com a reputação mais provável de ser malicioso. Essa regra não emitirá uma reputação de arquivos que McAfee Web Gateway determinar que possam ser maliciosos. |
252 |
131324 |
2 |
15 |
Identificar arquivos que o CTD reporta como suspeitos |
Identifica os arquivos que Cloud Threat Detection relatam como alta ou muito alta e problemas com a reputação maliciosa mais provável. |
Essa regra identifica os arquivos que Cloud Threat Detection relatórios com pontuação alta ou alta confiabilidade e problemas com a reputação mais provável de ser malicioso. Essa regra não emitirá uma reputação de arquivos que o CTD determina com pontuação média de confiança. |
253 |
65789 |
1 |
-1 |
Identificar arquivos mal-intencionados ou seguros com base em pontuações de provedor de reputação de terceiros |
Detectar ou confiar em arquivos que pretendem pontuações de provedor de reputação de terceiros |
Detectar ou confiar em arquivos que pretendem pontuações de provedor de reputação de terceiros conectados ao do DXL |
255 |
590079 |
9 |
-1 |
Detectar parâmetros de linha de comando potencialmente ofuscados |
O-T1027: disparar nos argumentos da linha de comando que são altamente ofuscados |
Tática: Defense evasão-técnica: T1027. Essa regra foi criada para analisar os parâmetros de linha de comando passados aos programas para alertar sobre cadeias de caracteres potencialmente ofuscadas que podem indicar um comportamento malicioso |
256 |
262400 |
4 |
-1 |
Detecte o uso do PowerShell de longa encodedcommand |
O-T1059: interpretador de comandos e scripts. Alertas sobre o uso de-encodedcommand [Base64] no PowerShell. |
Tática: execução-técnica: T1059. Tenta procurar o uso suspeito da opção-encodedcommand no PowerShell. O malware pode usar essa técnica para escapar das detecções estáticas dos parâmetros de linha de comando. Quando esse alerta é disparado, você deve inspecionar o comando Base64 decodificado para garantir que o comportamento seja esperado |
257 |
327937 |
5 |
15 |
Detectar uso potencialmente malicioso do WMI |
O-T1047: procura uso comum do WMI para executar o código, mover-se mais tarde ou persistir |
Tática: execução, movimento lateral-técnica: T1047. O WMI fornece uma maneira de descoberta, execução de código, movimentação posterior ou até mesmo em um ambiente |
258 |
983298 |
15 |
15 |
Detectar os arquivos mais prováveis mascarados, o que pode resultar em inicializações de processo suspeitas |
O-T1036: detecta arquivos disfarçando-se de binários legítimos para enganar as detecções |
Tática: Defense evasão-técnica: T1036. Essa regra é semelhante ao padrão em ID de regra de arquivo mascarado 259, mas inclui um conjunto diferente de arquivos que podem disparar falsos positivos |
259 |
524547 |
8 |
15 |
Detectar arquivos mascarados ou inicializações de processo |
O-T1036: alertas ativados se uma arquivo de sistema comum for renomeada ou descartada em um local não-padrão |
Tática: Defense evasão-técnica: T1036. Essa regra procura cenários em que os arquivos tenham sido renomeados, como interpretadores de script |
260 |
327940 |
5 |
15 |
Detectar técnicas de desvio do AMSI |
O-T1562: detectar as técnicas que são usadas para ignorar a interface de varredura Antimalware (AMSI) |
Tática: Defense evasão-técnica: T1562. Esta regra foi criada para evitar diferentes técnicas usadas para ignorar a interface de varredura Antimalware (AMSI) |
262 |
262406 |
4 |
-1 |
Identificar execução de parâmetro de comando suspeito para atribuições de grupo de regras de segurança |
O-T1059 identifica a execução suspeita de um aplicativo por meio de parâmetros de linha de comando para atribuições de grupos de regras de segurança |
Tática: execução-técnica: T1059. Essa regra identifica a execução suspeita de um aplicativo por meio de parâmetros de execução para as atribuições de grupos de regras de segurança. Ele precisará ser ativado manualmente para produtividade e atribuições de grupos de regras equilibradas |
263 |
852231 |
13 |
-1 |
Detectar processos que acessam URLs suspeitos |
O-T1204. Detectar processos que acessam URLs suspeitos que são usados para download conteúdo malicioso |
Tática: execução-técnica: T1204. Essa regra foi criada para detectar processos que contêm URLs suspeitos nos parâmetros de comando usados para download carga maliciosa |
264 |
393480 |
6 |
15 |
Inspecionar o EncodedCommand PowerShell |
O-T1059, T1140: decodificação Base64-encodedcommand o uso no PowerShell para inspecionar comandos suspeitos |
Táticas: execução, Defense evasão-técnicas: T1059, T1140. Esta regra decodifica comandos codificados em base64 para verificar possíveis bases downloads ou outros usos maliciosos do PowerShell |
265 |
393481 |
6 |
15 |
Procurar arquivos executáveis com extensões não padrão |
O-T1564: identificar arquivos que são executáveis (PE), mas que não são encerrados em uma extensão padrão |
Tática: Defense evasão-técnicas: o-T1564. Esta regra procura remover todos os arquivos identificados como um arquivo PE, mas contém uma extensão não padrão, conforme identificado ao executar o comando cmd/c Assoc |
266 |
524554 |
8 |
30 |
Identificar processo de destino iniciando extensões não padrão ou iniciadas por ator não padrão |
O-T1036, T1059: tenta evitar processos que tentam iniciar extensões fora do padrão ou que são iniciadas por um ator fora do padrão |
Táticas: execução, Defense evasão-técnicas: T1036, T1059. Detecta que o processo de destino inicia extensões não padrão, como CScript, inicia uma arquivo de txt |
267 |
196875 |
3 |
-1 |
Proteja-se contra abuso de processos comuns gerados de locais não padrão em atribuições de grupos de regras de segurança |
O-T1036: os arquivos podem se disfarçar de arquivos legítimos, ocultando-os em locais fora do padrão. Essa regra protege contra a execução suspeita de processos comuns, caso seja gerado de locais não padrão em atribuições de grupos de regras de segurança |
Tática: Defense evasão-técnica: T1036. Proteja-se contra a execução suspeita de processos comuns, caso tenha sido gerada a partir de locais não padrão na atribuição de grupo de regras de segurança. Ele precisará ser alterado de observação para ativado em atribuições de grupos de regras equilibrado e produtividade |
268 |
262412 |
4 |
-1 |
Proteja-se contra abuso de processos comuns gerados de locais não-padrão |
O-T1036: os arquivos podem se disfarçar de arquivos legítimos, ocultando-os em locais fora do padrão. Essa regra protege contra a execução suspeita de processos comuns, caso seja gerado em locais não-padrão. |
Tática: Defense evasão-técnica: T1036. Proteja-se contra a execução suspeita de processos comuns, se forem gerados de locais não-padrão. |
269 |
196877 |
3 |
15 |
Detectar uso potencialmente malicioso do serviço WMI para obter persistência |
O-T1047: procura uso comum do serviço WMI para executar o código e persistir |
Tática: execução, movimento lateral-técnica: T1047. O WMI fornece uma maneira de descoberta, execução de código, movimentação posterior ou até mesmo em um ambiente |
270 |
196878 |
3 |
-1 |
Identificar e bloquear parâmetros de comando suspeitos que são manipulados para ignorar a detecção |
O-T1059: bloqueia o uso suspeito de comandos e interpretadores de script. Ele bloqueia padrões que são manipulados a fim de ignorar as detecções |
Tática: execução-técnica: T1059. Essa regra se destina a invocações suspeitas de comandos e script interpretadores onde os comandos são manipulados para ignorar a detecção. Ele deverá ser ativado manualmente se você desejar usá-lo |
300 |
590124 |
9 |
-1 |
Impedir que aplicativos do Office iniciem processos filho que podem executar comandos script |
O-T1566: impedir que aplicativos do Office iniciem processos filhos que podem executar scripts como o PowerShell e o cscript |
Tática: acesso inicial, execução, Defense evasão-técnicas: T1566, T1059. Tentativas de evitar que aplicativos do Office se tornem inadequados para entregar cargas maliciosas |
301 |
459053 |
7 |
-1 |
Bloqueia o cmd. exe de ser gerado pelos aplicativos do Office |
O-T1566: impede que qualquer aplicativo do Office inicie o cmd. exe |
Tática: acesso inicial, execução, Defense evasão-técnicas: T1566, T1059. Não é comum que o cmd. exe seja iniciado através de documentos do Office e pode ser um sinal de comportamento malicioso. É recomendável que você ative essa regra se os seus fluxos de trabalho permitirem |
303 |
262447 |
4 |
-1 |
Identificar cargas altamente suspeitas que visam aplicativos relacionados ao navegador |
Identificar cargas altamente suspeitas que visam aplicativos relacionados ao navegador, como Firefox, Chrome, borda e outros |
Identifique as cargas altamente suspeitas, incluindo os binários desconhecidos que visam aplicativos de navegador como Firefox, Chrome, Edge e outros. |
304 |
459056 |
7 |
-1 |
Impedir que os navegadores iniciem ferramentas de uso dual, como editores script e cmd |
Impedir que os navegadores iniciem ferramentas de uso dual, como editores script e cmd |
Impedir que os navegadores iniciem ferramentas de uso dual, como editores script e cmd |
306 |
262450 |
4 |
-1 |
Identificar cargas altamente suspeitas visando serviços ou aplicativos relacionados à rede |
Identifique as cargas altamente suspeitas que visam serviços ou aplicativos relacionados à rede e não permitirão a inicialização de ferramentas que indiquem um comportamento suspeito |
Identifique as cargas altamente suspeitas que visam serviços ou aplicativos relacionados à rede e não permitirão a inicialização de ferramentas que indiquem um comportamento suspeito |
307 |
590131 |
9 |
-1 |
Impedir que o WMIPrvSE. exe e o netsh. exe iniciem interpretadores de script ou outras ferramentas de uso duplo |
Impedir que o WMIPrvSE. exe e o netsh. exe iniciem interpretadores de script ou outras ferramentas de uso duplo |
Os interpretadores de script, como o PowerShell quando chamados por WMI, podem fazer com que o processo WMIPrvSE. exe gerasse a detecção de processos com mais dificuldade. Alguns processos legítimos podem usá-lo, mas é recomendável que você ative esta regra, se possível, para testar se há falsos positivos |
309 |
459061 |
7 |
-1 |
Bloqueia processos que tentam iniciar a partir de aplicativos do Office. Regra ativada somente em políticas de alta segurança |
O-T1566: impedir que aplicativos do Office iniciem processos suspeitos. A regra é ativada por padrão somente na atribuição grupo de regras de segurança |
Tática: acesso inicial, execução, Defense evasão-técnicas: T1566, T1059. Tentativas de evitar que aplicativos do Office se tornem inadequados para entregar cargas maliciosas quando ele é ativado para sistemas com políticas de alta segurança |
310 |
131382 |
2 |
-1 |
Impedir que aplicativos de e-mail iniciem processos filho que podem executar comandos script |
O-T1204. Impedir que programas de e-mail iniciem processos que podem executar comandos script |
Tática: execução-técnica: T1204. Tentativas de impedir que os aplicativos de e-mail sejam usados para gerar mais processos de geração que podem executar scripts |
311 |
131383 |
2 |
-1 |
Impeça que aplicativos de e-mail iniciem processos filhos que podem executar script comandos somente nas atribuições de grupos de regras de segurança |
O-T1204. Impedir que programas de e-mail iniciem processos que podem executar comandos script somente em atribuições de grupos de regras de segurança |
Tática: execução-técnica: T1204. Tentativas de impedir que os aplicativos de e-mail sejam usados para gerar mais processos de geração que podem executar scripts |
312 |
131384 |
2 |
-1 |
Impedir que aplicativos de e-mail, como o Outlook, geram editores de script e ferramentas de uso duplo |
O-T1204. Impedir que aplicativos de e-mail, como o Outlook, geram editores de script e ferramentas de uso duplo |
Tática: execução-técnica: T1204. Essa regra ajuda a impedir que aplicativos como o Outlook contenham ferramentas potencialmente abusables. Alguns ambientes podem fazer isso de forma legítima, portanto, é recomendável que você baseie seu ambiente antes de ativar |
313 |
262457 |
4 |
-1 |
Impedir que vários editores de texto, como o bloco de notas e o WordPad, possam gerar processos que podem executar comandos script em todas as atribuições de grupos de regras |
O-T1204: impedir que editores de texto disparassem novos processos que podem ser usados mais para executar comandos de script |
Tática: execução-técnica: T1204. Impedir que editores de texto sejam usados para gerar processos como cmd ou PowerShell |
314 |
262458 |
4 |
-1 |
Impedir que vários editores de texto, como o bloco de notas e o WordPad, possam gerar processos que podem executar comandos script na atribuição de grupo de regras de segurança |
O-T1204: impedir que editores de texto disparassem novos processos que podem ser usados mais para executar comandos de script na atribuição de grupo de regras de segurança |
Tática: execução-técnica: T1204. Evite o uso de editores de texto para gerar script interpretadores. Essa regra só é ativada por padrão na atribuição de grupo de regras de segurança. Ele deverá ser ativado manualmente se você estiver usando atribuições de grupo de regras equilibrado ou produtividade |
315 |
262459 |
4 |
-1 |
Bloqueia agressivamente processos com reputações desconhecidas de serem geradas por editores de texto |
O-T1204: bloqueia agressivamente processos com reputações desconhecidas de serem geradas por editores de texto |
Tática: execução-técnica: T1204. Semelhante à ID de regra 313, mas é uma abordagem mais agressiva. Ela é definida para observar somente por padrão e precisará ser ativada na atribuição grupo de regras |
316 |
262460 |
4 |
-1 |
Impedir que os leitores de PDF iniciem processos que podem executar scripts em todas as atribuições de grupos de regras |
O-T1204: impedir que os leitores de PDF iniciem processos que podem executar scripts |
Tática: execução-técnica: T1204. Impedir que os leitores de PDF iniciem processos que podem executar scripts |
317 |
262461 |
4 |
-1 |
Impedir que os leitores de PDF iniciem processos que podem executar scripts somente nas atribuições de grupos de regras de segurança |
O-T1204: impedir que os leitores de PDF iniciem processos que podem executar scripts somente nas atribuições de grupos de regras de segurança |
Tática: execução-técnica: T1204. Impedir que os leitores de PDF iniciem processos que podem executar scripts somente nas atribuições de grupos de regras de segurança |
318 |
262462 |
4 |
-1 |
Impedir que os leitores de PDF iniciem cmd. exe |
O-T1204: impedir que os leitores de PDF iniciem cmd. exe |
Tática: execução-técnica: T1204. Impedir que os leitores de PDF iniciem cmd. exe |
319 |
196927 |
3 |
-1 |
Impedir que o cmd. exe inicie outros interpretadores de script, como o cscript ou o PowerShell em todas as atribuições de grupo de regras |
O-T1059: tenta impedir que o cmd. exe inicie outras instâncias que possam indicar uma carga maliciosa |
Tática: execução-técnica: T1059. Impeça que ferramentas de uso duplo sejam iniciadas pelo cmd. exe que são normalmente usadas em ataques |
320 |
131392 |
2 |
-1 |
Impedir que o cmd. exe inicie outros interpretadores de script, como o cscript ou o PowerShell por padrão, somente nas atribuições de grupos de regras de segurança |
O-T1059: identificar cargas suspeitas chamando o Shell de comando nas atribuições do grupo de regras de segurança |
Tática: execução-técnica: T1059. Identifique as cargas suspeitas que chamam o Shell de comando. Essa regra é ativada por padrão apenas na atribuição grupo de regras de segurança. Ele deverá ser ativado manualmente se você estiver usando qualquer outra atribuição de grupo de regras |
321 |
393537 |
6 |
-1 |
Impedir que o cmd. exe inicie interpretadores de script |
O-T1059: tenta evitar cadeias de processos suspeitas, mantendo o cmd de gerar ainda mais script interpretando processos |
Tática: execução-técnica: T1059. Tentativas de evitar cadeias de processos suspeitas, mantendo o cmd de gerar ainda mais script interpretando processos |
322 |
328002 |
5 |
-1 |
Impedir que o mshta seja iniciado por qualquer processo para todas as atribuições de grupo de regras |
O-T1218: impedir que o mshta seja usado como binário assinado para proxy a execução de código por meio de |
Tática: acesso inicial, Defense evasão, Execution-técnica: T1218, T1204. o mshta. exe é uma ferramenta comum usada para entregar uma carga. Essa regra impede que ela seja usada |
323 |
262467 |
4 |
-1 |
Impedir que o mshta seja iniciado como um processo filho |
O-T1218: impedir que o mshta seja iniciado por qualquer processo apenas para atribuições de grupo de regras de segurança |
Tática: acesso inicial, Defense evasão, Execution-técnica: T1218, T1204. Impeça que o mshta. exe seja iniciado por qualquer processo. Somente ativado por padrão na atribuição de grupo de regras de segurança. Precisará ser ativada se você estiver usando atribuições de grupo de regras equilibrado ou produtividade |
324 |
524612 |
8 |
-1 |
Impedir que o mshta inicie o processo suspeito |
O-T1218: impedir que o mshta inicie o aplicativo suspeito |
Tática: acesso inicial, Defense evasão, Execution-técnica: T1218, T1204. Essa regra usa uma abordagem mais agressiva para evitar o código executado via mshta. exe e, como tal, é observar, por padrão, em todas as três atribuições de grupo de regras. É possível que ele possa gerar falsos positivos e será necessário habilitá-lo manualmente |
325 |
196933 |
3 |
-1 |
Identificar cargas suspeitas que invoquem o processo de rundll32 |
O-T1218: identificar cargas suspeitas de proxy de execução de código por meio do processo de rundll32 |
Tática: Defense evasão, Execution-técnica: T1218. Identificar cargas suspeitas de proxy de execução de código por meio do processo de rundll32 |
326 |
328006 |
5 |
-1 |
Identificar cargas suspeitas que invoquem o rundll32 em sistemas de alta alteração |
O-T1218: identificar cargas suspeitas de proxy de execução de código por meio do processo de rundll32 |
Tática: Defense evasão, Execution-técnica: T1218. Identifique as cargas suspeitas que chamam o rundll32. Essa regra só é ativada por padrão na atribuição de grupo de regras de segurança e é definida para observar em atribuições de grupos equilibrado e produtividade |
327 |
328007 |
5 |
-1 |
Identificar a maioria dos prováveis cargas suspeitas que invocam o processo rundll32 |
O-T1218: identificar as mais prováveis cargas suspeitas que invocam o processo rundll32 |
Tática: Defense evasão, Execution-técnica: T1218. Essa regra é, por padrão, observada apenas em todas as três atribuições de grupo de regras. Trata-se de uma abordagem mais agressiva para bloquear o código executado com o rundll32 e pode gerar falsos positivos. Ele deverá ser ativado manualmente em todas as atribuições de grupo de regras |
329 |
328009 |
5 |
-1 |
Identificar e bloquear o uso suspeito de tarefas programadas em sistemas de alta alteração |
O-T1053: procura por qualquer chamada potencialmente maliciosa de tarefas programadas e as bloqueia antes de serem adicionadas em sistemas de alta alteração |
Táticas: execução, persistência, escalonamento de privilégios-técnica: T1053. Procura por qualquer chamada potencialmente maliciosa de tarefas programadas e as bloqueia antes de serem adicionadas em sistemas de alta alteração. Isso tentará cortar o mecanismo de persistência do malware |
330 |
262474 |
4 |
-1 |
Identificar e bloquear provavelmente suspeita de invocação de processo do sistema SvcHost e, portanto, impedi-lo de abuso |
O-T1055: procura qualquer invocação potencialmente maliciosa de processo do sistema SvcHost e o bloqueia de injeções de processo indesejados |
Tática: Defense evasão-técnica: T1055. Procura por qualquer invocação potencialmente maliciosa do processo do sistema SvcHost e o bloqueia de injeçãos de processo indesejadas dos processos de ator desconhecidos |
331 |
131403 |
2 |
-1 |
Identificar e bloquear provavelmente suspeita de invocação de processo do sistema SvcHost para atribuições de grupo de regras de segurança |
O-T1055. Procura por qualquer invocação potencialmente maliciosa do processo do sistema SvcHost e o bloqueia de injeçãos de processo indesejadas para postura de segurança |
Tática: Defense evasão-técnica: T1055. Procura por qualquer invocação potencialmente maliciosa do processo do sistema SvcHost e o bloqueia de injeção de processo indesejadas de um processo de ator desconhecido para a postura de segurança |
332 |
328012 |
5 |
-1 |
Impedir que o Certutil. exe faça download ou decodifique arquivos com extensões suspeitas |
O-T1140: bloqueia o Certutil de fazer download de arquivos remotos ou decodificar arquivos disfarçados como algo mais |
Táticas: Defense evasão-técnicas: T1140, T1218. O CertUtil é um binário que pode ser retirado por atacantes para buscar ou decodificar cargas. Essa regra impede que o Certutil. exe busque cargas ou decodifique arquivos em etapas. O Certutil também pertence a um grupo de ferramentas de uso duplo na T1218 técnica do o |
333 |
721229 |
11 |
-1 |
Identificar provavelmente cadeias de processos suspeitas |
O-T1574: identificar cadeias de processos interessantes e bloqueá-las se o comportamento for suspeito |
Táticas: persistência, escalonamento de privilégios, Defense evasão-técnica: T1574. Identificar cadeias de processos interessantes e bloqueá-las se o comportamento não for desejável ou suspeito |
334 |
196942 |
3 |
-1 |
Identificar modificações no registro em locais suspeitos |
O-T1547: o malware pode, às vezes, manter a persistência adicionando ou modificando chaves de registro para instruir um serviço ou binário a ser iniciado |
Tática: Persistence-técnica: T1547. Identifica e bloqueia modificações de registro em locais suspeitos |
335 |
328015 |
5 |
-1 |
Impedir o uso de utilitários comuns do Windows de iniciar processos em uma tentativa de ignorar o UAC |
O-T1548: tentativa de evitar técnicas comuns de elevação, como desvios de UAC |
Táticas: escalonamento de privilégios, Defense evasão-técnica: T1548. Essa regra tenta atenuar algumas técnicas comuns de desvio do UAC no Windows |
336 |
131408 |
2 |
-1 |
Detectar cargas suspeitas que visam serviços ou aplicativos relacionados à rede |
Detectar cargas suspeitas que visam serviços ou aplicativos relacionados à rede em atribuições de grupos de regras de segurança |
Detecte cargas suspeitas que visam serviços ou aplicativos relacionados à rede por meio de várias ferramentas de uso dual ou interpretadores de script |
337 |
131409 |
2 |
-1 |
Impedir que os navegadores iniciem script interpretadores ou ferramentas de uso Dual nas atribuições do grupo de regras de segurança |
Detectar padrões em que os navegadores que tentam iniciar editores de script ou ferramentas de uso duplo em condições de segurança |
Detectar padrões em que os navegadores que tentam iniciar editores de script ou ferramentas de uso duplo e que funcionam como padrão nas atribuições de grupo de regras de segurança |
338 |
196946 |
3 |
15 |
Detecta e bloqueia tentativas de cancelamento de processos que foram disparados por um ator desconhecido |
O-T1055. Detecta e bloqueia qualquer tentativa de cancelamento de processo identificada usando o estado de thread inicial |
Táticas: defesa evasão, escalonamento de privilégios-técnica: T1055. Detecta e bloqueia qualquer tentativa de cancelamento de processo identificada usando o estado inicial de thread e outros proprietários de informações de processos relevantes |
339 |
131411 |
2 |
-1 |
Impedir que os utilitários do .NET registrem assemblies em execução |
O-T1218: impedir o RegSvcs. exe e o regasm. exe de registrar e executar assemblies do .NET |
Tática: Defense evasão-técnica: T1218. Impedir o RegSvcs. exe e o regasm. exe de registrar e executar assemblies do .NET que podem ser usados para proxy a execução de código |
340 |
131412 |
2 |
-1 |
Identifique e bloqueie invocações suspeitas por SearchProtocolHost e, portanto, impedindo que elas sejam abusos |
O-T1055: procura por qualquer invocação potencialmente maliciosa de processos por SearchProtocolHost e o impede de injeçãos de processo indesejadas |
Tática: Defense evasão-técnica: T1055. Procura por qualquer invocação potencialmente maliciosa de processos pelo processo do sistema SearchProtocolHost e o impede de injeçãos de processo indesejadas |
341 |
196949 |
3 |
-1 |
Identificar e bloquear padrões que estão sendo usados em ataques de ransomware em atribuições de grupos de regras de segurança. |
Procura por qualquer invocação potencialmente maliciosa de padrões que são comuns em ataques de ransomware. Ela tem uma abordagem mais agressiva do que a regra 342 e funciona em atribuições de grupos de regras de segurança. |
Procura por qualquer invocação potencialmente maliciosa de padrões que são comuns em ataques de ransomware e bloqueia a execução. Ela tem uma abordagem mais agressiva do que a regra 342 e funciona em atribuições de grupos de regras de segurança. |
342 |
131414 |
2 |
-1 |
Identificar e bloquear padrões que estão sendo usados em ataques de ransomware |
Procura por qualquer invocação potencialmente maliciosa de padrões que são comuns em ataques de ransomware |
Procura por qualquer invocação potencialmente maliciosa de padrões que são comuns em ataques de ransomware e bloqueia a execução |
343 |
131415 |
2 |
-1 |
Impedir que os binários do Windows abusable iniciem cmd. exe como parte de uma desvio de UAC |
O-T1548: tentativa de evitar técnicas comuns de elevação, como desvios de UAC |
Táticas: escalonamento de privilégios, Defense evasão-técnica: T1548. Essa regra tenta atenuar algumas técnicas comuns de desvio do UAC no Windows |
344 |
131416 |
2 |
-1 |
Identificar cadeias de processos suspeitos para atribuições de grupos de regras de segurança |
O-T1574: identificar cadeias de processos interessantes e bloqueá-las se o comportamento for suspeito. A regra se aplica somente a atribuições de grupos de regras de segurança |
Táticas: persistência, escalonamento de privilégios, Defense evasão-técnica: T1574. Identifique cadeias de processos interessantes e bloqueie-as se o comportamento não for desejável ou suspeito. As regras se aplicam somente às atribuições do grupo de regras de segurança |
345 |
65881 |
1 |
-1 |
Identificar cadeias de execução de processo suspeitas. Isso é determinado pela ocorrência incomum do processo em uma cadeia de processos específica |
O-T1574: identificar cadeias de processos interessantes e bloqueá-las se o comportamento for suspeito |
Táticas: persistência, escalonamento de privilégios, Defense evasão-técnica: T1574. Identificar cadeias de processos interessantes e bloqueá-las se o comportamento não for desejável ou suspeito |
346 |
131418 |
2 |
-1 |
Impedir que o Certutil. exe faça download ou decodifique qualquer arquivo |
O-T1140: bloqueia o Certutil de fazer download de arquivos remotos ou de decodificar arquivos. Essa regra difere do ID de regra 332, pois ela fornece mais cobertura geral de parâmetros de abusable de certutil |
Táticas: Defense evasão-técnicas: T1140, T1218. O CertUtil é um binário que pode ser retirado por atacantes para buscar ou decodificar cargas. Essa regra impede que o Certutil. exe busque cargas ou decodifique arquivos em etapas. O Certutil também pertence a um grupo de ferramentas de uso duplo na T1218 técnica do o |
347 |
196955 |
3 |
-1 |
Impedir que processos de ator tentem repetidamente executar comandos sucessivos |
O-T1059: comando e scripts. Impedir que processos desconhecidos iniciem repetidas vezes comandos para interromper serviços ou executar outros itens com script em uma linha |
Isso é comum com o reconhecimento de conjuntos de ferramentas e scripts para um processo executar várias vezes cmd, PowerShell, WMIC, net, etc para executar uma rápida reconhecimento de um sistema ou para interromper processos e serviços críticos |
349 |
65885 |
1 |
15 |
Detectar uso potencialmente malicioso do BITSAdmin |
O-T1197: procura o uso suspeito da ferramenta BITSAdmin para download um arquivo em um local fora do padrão ou em sites maliciosos |
Tática: evasão de defesa, persistência-técnica: T1197. Procura o uso suspeito da ferramenta BITSAdmin para download um arquivo em um local não padrão ou em sites maliciosos |
350 |
65886 |
1 |
15 |
Detectar uso suspeito de ferramentas de transferência de dados |
O-T1537, T1567: procura o uso suspeito de ferramentas que podem ser usadas para transferir dados para uma rede externa |
Tática: Exfiltration, técnica: T-1537, T-1567. Essa regra se destina a detectar dados exfiltration, detectando o uso suspeito de ferramentas de transferência de dados comuns. O tráfego de rede relacionado à ferramenta deve ser revisado caso a regra seja disparada |
500 |
197108 |
3 |
15 |
Bloquear o movimento lateral de outras máquinas com Windows na rede |
O-T1570: transferência de ferramenta lateral. Bloqueia o uso de ferramentas que permitem a movimentação lateral de arquivos para este cliente. |
Tática: movimento lateral-técnica: T1570. Essa regra bloqueia o movimento lateral de clientes Windows. Talvez seja necessário revisar uma origem de dados de rede que monitora o tráfego para garantir que essa atividade seja esperada. Essa regra deve ser ativada apenas para sistemas que estão em ambientes altamente restritivos, já que podem gerar muitos falsos positivos |
501 |
131573 |
2 |
15 |
Bloquear o movimento lateral de outras máquinas Linux na rede |
O-T1570. Bloqueia todo o movimento lateral para este cliente a partir de outras máquinas Linux na rede |
Tática: movimento lateral-técnica: T1570. Essa regra bloqueia o movimento lateral de clientes Linux. Ele só deve ser ativado para sistemas que estejam em ambientes altamente restritivos, já que podem gerar muitos falsos positivos |
502 |
131574 |
2 |
15 |
Detectar nova criação de serviço |
O-T1543: impedir que novos serviços sejam criados via SC. exe ou PowerShell. exe |
Tática: persistência, escalonamento de privilégios-técnica: T1543. A criação de novos serviços, embora comuns, pode ser um indicador potencial de comportamento malicioso. Os novos serviços devem ser monitorados e sua execução subjacente é investigada para garantir que o comportamento seja esperado. Os serviços também podem ser nomeados para se disfarçar de serviços legítimos, portanto, apenas o nome não é suficiente para informar aos serviços legítimos e maliciosos. |
503 |
131575 |
2 |
15 |
Detectar binários assinados com certificados suspeitos |
O-T1553: impedir a execução de binários assinados com um certificado suspeito |
Tática: Defense evasão-técnica: T1553-subvertendo confiança de código de controles. Essa regra bloqueia a execução de binários assinados com certificados não confiáveis. Ele só deve ser ativado para sistemas que estejam em ambientes altamente restritivos, já que podem gerar muitos falsos positivos |
504 |
131576 |
2 |
15 |
Impedir o uso do Sdbinst. exe para instalar correções de aplicativos |
O-T1546: impedir o uso de Sdbinst. exe para instalar correções de aplicativos. Isso pode ser usado para corrigir os binários existentes para ajudar a estabelecer a persistência ou o privilégio de escalonamento |
Tática: escalonamento de privilégios, persistência-técnica: T1546. O Application shimming é uma forma de execução disparada de eventos e deve ser monitorada cuidadosamente para uso no seu ambiente. O uso do Sdbinst. exe para instalar uma correção de aplicativo pode ser uma indicação de possível comportamento malicioso |
505 |
131577 |
2 |
15 |
Detectar parâmetros de linha de comando cmd. exe ofuscados |
O-T1027: detecta tentativas de ofuscação dos parâmetros de linha de comando cmd. exe. Ferramentas de destino, como Invoke-DOSfuscation |
Tática: Defense evasão-técnica: T1027. Os atacantes podem tentar burlar as detecções de linha de comando ocultando suas cargas. Os parâmetros de linha de comando ofuscados podem ser um indicador de atividades mal-intencionadas e devem ser investigados para verificar se o uso é esperado |
506 |
197114 |
3 |
30 |
Detectar comandos para descoberta de usuário |
O-T1033: detectar comandos que permitem o proprietário do sistema/descoberta de usuário |
Tática: descoberta-técnica: T1033. Ao obter um destaque, um invasor pode tentar usar ferramentas de administração de sistemas comuns para saber mais sobre o sistema ao qual eles obtiveram acesso. Essa regra pode gerar falsos positivos devido à sua cobertura genérica, portanto, deve ser ativada com cuidado |
507 |
197115 |
3 |
30 |
Detectar comandos usados para descobrir mais informações sobre um sistema |
O-T1082: detectar comandos geralmente usados para executar reconhecimento adicionais em um sistema |
Tática: descoberta-técnica: T1082. Ao obter um destaque, um atacante pode tentar usar ferramentas de administração de sistemas comuns para descobrir mais detalhes, como hotfixes instalados e versões de sistema operacional, para compreender melhor a caixa à qual eles obtiveram acesso inicial. Deve-se tomar cuidado ao ativar essa regra, pois ela pode gerar falsos positivos devido à forma como os comandos genéricos são |
508 |
197116 |
3 |
30 |
Detectar comandos usados para descobrir informações de permissão relacionadas a usuários e grupos |
O-T1069: descoberta de grupos de permissões. |
Tática: descoberta-técnica: T1069. Durante a fase de descoberta de um ataque, um adversário pode usar ferramentas comuns para enumerar quais usuários e grupos têm permissões para diferentes ativos do ambiente. Esses comandos podem gerar falsos positivos devido à forma como são genéricos, mas podem servir como um possível indicador de comprometimento durante a fase de descoberta de um ataque |
509 |
197117 |
3 |
30 |
Detectar comandos usados para descobrir configurações relacionadas à rede |
O-T1016, T1049: detectar comandos usados para descobrir informações relacionadas às informações de configuração e conexão de rede |
Tática: descoberta-técnica: T1016, T1049. Durante a fase de descoberta de um ataque, um adversário pode usar ferramentas comuns para enumerar a configuração de rede e as conexões de rede. Esses comandos podem gerar falsos positivos devido à forma como são genéricos, mas podem servir como um possível indicador de comprometimento durante a fase de descoberta de um ataque |
510 |
131582 |
2 |
15 |
Detectar tentativas de criptografia de dados em atividades suspeitas |
O-T1022-T1560: detectar tentativas de compactação e criptografia antes de exfiltration tentativas por atores suspeitos |
Tática: coleção-técnica: T1560: a criptografia de detecção por softwares de terceiros ou métodos personalizados antes do exfiltration. A regra é destinada a ambientes altamente restritivos e pode estar propenso a falsos positivos |
511 |
131583 |
2 |
30 |
Detectar tentativas de despejar informações confidenciais por meio do registro ou LSASS |
O-T1003: detectar comandos que podem ser usados para despejar informações confidenciais do sistema operacional relacionadas a credenciais |
Tática: acesso à credencial-técnica: T1003. Os invasores geralmente aproveitam as ferramentas personalizadas ou nativas para exportar dados confidenciais, como o despejo de memória de LSASs. exe, uma exportação da seção de registro SAM ou fazer uma cópia de sombra de Ntds. dit para facilitar o despejo de hashes/credenciais. Alguns softwares podem fazer isso de forma legítima, portanto, falsos positivos podem ser gerados usando essa regra |
512 |
197120 |
3 |
30 |
Detectar comandos que permitem a execução indireta fora do cmd e do PowerShell |
O-T1202: detectar comandos que podem executar comandos diferentes do cmd ou PowerShell. A execução de comandos indiretos pode ser uma maneira de os adversários escaparem por algumas detecções |
Tática: Defense evasão-técnica: T1202. Uma maneira de evitar defesas pode ser usar a execução de comando indireto que pode permitir que os atacantes permaneçam sob o radar e ignorem as detecções que possam estar procurando pela execução direta por meio de cmd. exe ou PowerShell. exe. Alguns scripts podem usar legitimamente esses comandos, de forma que falsos positivos possam ser gerados ao ativar essa regra |
513 |
197121 |
3 |
15 |
Detectar comandos usados para copiar arquivos de um sistema remoto |
O-T1105, T1570: detectar comandos usados para transferir ferramentas ou outros arquivos do ambiente externo para o sistema comprometido |
Tática: comando e Control-técnica: T1105, T1570. Bloqueie as operações de cópia remota ou as operações da ferramenta lateral do ambiente externo. Essa regra pode gerar falsos positivos, portanto, destinada a ambientes altamente restritivos |
514 |
197122 |
3 |
15 |
Detectar cargas de DLL que possam ser seqüestradas |
O-T1574: detectar tentativas de fluxo de execução de seqüestro impedindo que DLLs suspeitas sejam carregadas |
Tática: persistência, escalonamento de privilégios, Defense evasão-técnica: T1574. O seqüestro de fluxo de controle pode ser feito de várias maneiras, abusarndo a ordem em que os binários legítimos tentam carregar dependências. Isso pode permitir que os atacantes usem binários confiáveis para carregar uma DLL não confiável tirando vantagem quando o binário não é explícito do caminho absoluto onde as dependências são esperadas |
515 |
197123 |
3 |
-1 |
Proteja-se contra aplicativos do Office que iniciam processos desconhecidos em locais não-padrão. |
Essa regra protege contra o uso suspeito de aplicativos do Office. Ele procura processos suspeitos iniciados pelos aplicativos do Office em locais não padrão. |
Os aplicativos do Office geralmente são usados para entregar malware, esta regra procura por iniciar processos suspeitos a partir de aplicativos do Office. Essa regra pode gerar falsos positivos para que seja ativada com cuidado. |
516 |
131588 |
2 |
15 |
Identificar e bloquear processos executados com linhas de comando não padrão |
Tentativa de bloquear processos que estão em execução com linhas de comando normalmente não vistas pelo processo. |
Tática: defesa evasão. Esta regra destina-se a processos comuns do Windows que estão em execução com linhas de comando que não são padrão. Ele deverá ser ativado manualmente se você desejar usá-lo |
517 |
131589 |
2 |
15 |
Impedir que o processo de ator com reputações desconhecidas inicie processos em pastas do sistema em comum |
Essa regra procura os atores com uma reputação de processo desconhecida e impede que ele inicie processos filho com linhas de comando em branco de diretórios de sistemas comuns |
Essa regra visa os processos com uma reputação de processo desconhecida (ou inferior) de iniciar binários a partir de pastas de sistema comuns. Ele também procura por linhas de comando em branco, uma vez que é comum em alguns Cobalt Strike-gerar |
518 |
66054 |
1 |
15 |
Impedir que processos de ator desconhecidos iniciem processos de destino em pastas do sistema em comum |
Esta regra é semelhante a 517, mas procura por qualquer ator desconhecido iniciando um destino com parâmetros de linha de comando suspeitos |
Esta regra é semelhante a 517, mas procura por qualquer ator desconhecido iniciando um destino com parâmetros de linha de comando suspeitos |
519 |
66055 |
1 |
15 |
Detectar o uso de privilégios de elevação de comando do getsystem |
O-T1134: acesse a manipulação de token para o escalonamento de privilégios. Esta regra procura a técnica de representação de pipes nomeados usada para obter privilégios de sistema |
Os adversários podem usar pipes nomeados para se conectar e duplicar o identificador a fim de obter privilégios de sistema. Se essa regra for disparada, a origem e o destino deverão ser inspecionados cuidadosamente para procurar qualquer abuso de sistema em potencial |