- Microsoft
Anti-Malware Interface d’analyse (AMSI) : La fonction de détection AMSI est l’une des plus importantes à activer. Assurez-vous de désélectionner le mode d’observation. Ce paramètre se trouve dans la stratégie d’analyse à l’accès ENS Prévention contre les menaces, l’analyse à l’accès et les options ENS Protection adaptive contre les menaces (sous Real Protect). Pour plus d’informations sur AMSI, reportez-vous à la section « Comment AMSI l’intégration avec Prévention contre les menaces améliore la sécurité » dans le Endpoint Security 10.7 Guide produit. - Protection automatique : Vérifiez que l’auto-protection est activée dans ENS et McAfee Agent.
- Protection par mot de passe : Permet de vérifier qu’un mot de passe est défini pour l’accès à l’interface utilisateur graphique et la suppression du produit.
- McAfee Global Threat Intelligence (GTI) : Permet de définir GTI sur "High" lors d’un incident. Ensuite, continuez de maintenir GTI à « moyen » après un incident et une fois qu’un état stable est atteint. Ce paramètre se trouve dans les stratégies suivantes :
- ENS Prévention contre les menaces analyse à l’accès et analyse à la demande
- Options de Protection adaptive contre les menaces ENS (sous Real Protect)
- Protection de l’accès : Permet de créer des règles pour tous les indicateurs de compromission (IOC) détectés dans l’environnement. Par exemple, un fichier extension que ransomware crée. D’autres outils peuvent également être utilisés, le cas échéant, par exemple les réputations de McAfee Threat Intelligence Exchange (TIE).
- capture instantanée ePO : Assurez-vous que vous prenez un instantané ePO régulier, que la phrase secrète est connue et que la sauvegarde SQL est en cours. Ces sauvegardes vous aident à récupérer après une perte d’ePO. Assurez-vous que la Banque de clés est sauvegardée si vous devez effectuer une récupération manuelle. Dans les environnements virtuels, il est conseillé de procéder périodiquement à une restauration de la base de données à partir d’une sauvegarde et d’une réinstallation du serveur ePO. Cette restauration permet de s’assurer que l’ensemble du processus fonctionne.
- Couverture du système : Permet de consulter les systèmes pour la couverture et les mises à jour des produits. Cette révision est particulièrement importante pour
AMCore règles de contenu et de Real Protect. Un bon point de départ est d’utiliser la valeur par défaut « McAfee tableaux de bord » commençant par « Endpoint Security : ». - Détection des Sensor non fiables : Les systèmes non managés sont nuisibles dans un environnement lors de la tentative de confinement et d’éradication d’une menace. Ces systèmes peuvent attaquer et réinfecter les systèmes précédemment restaurés. Il est important de rechercher et de corriger ces systèmes sur le réseau. McAfee Rogue Sensor détection peut vous aider dans ce processus. Pensez à l’implémenter sur les réseaux de clés.
- Faux positifs : Etant donné que tous les environnements diffèrent, par exemple, avec des applications internes ou des solutions variées au sein d’un réseau, des faux positifs se produisent. Un faux positif est simplement une détection qui est alors déterminée comme non malveillante ou légitime. Dans notre expérience, avec ces recommandations, il est généralement indiqué que le nombre de faux positifs rencontrés est minime. Mais il est conseillé (comme pour toute autre implémentation dans un environnement) de surveiller et de régler selon les besoins.
Meilleures pratiques pour le réglage et l’utilisation de Endpoint Security pour prévenir les incidents de menace et y répondre
Articles techniques ID:
KB94048
Date de la dernière modification : 23/09/2021
Date de la dernière modification : 23/09/2021
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Best Practices
Configuration
Endpoint Security Adaptive Threat Protection
Endpoint Security Firewall 10.7.x
Endpoint Security Firewall 10.6.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Endpoint Security Web Control 10.7.x
Endpoint Security Web Control 10.6.x
Threat Prevention and Removal
Configuration
Endpoint Security Adaptive Threat Protection
Endpoint Security Firewall 10.7.x
Endpoint Security Firewall 10.6.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Endpoint Security Web Control 10.7.x
Endpoint Security Web Control 10.6.x
Threat Prevention and Removal
Langues :
Cet article est disponible dans les langues suivantes :
English United StatesSpanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified