Meilleures pratiques pour le réglage et l’utilisation de Endpoint Security pour prévenir les incidents de menace et y répondre

Articles techniques ID: KB94048
Date de la dernière modification : 23/09/2021

Environnement

McAfee Endpoint Security (ENS) 10.x
McAfee ePolicy Orchestrator (ePO) 5.x

Synthèse

Cet article contient des recommandations relatives au réglage et à l’utilisation de ENS et d’ePO dans les scénarios suivants :

En tant que mesure proactive pour prévenir les incidents de menace
Pour faciliter le confinement, l’éradication et la récupération au cours d’un incident de réponse aux incidents de menace

Ces recommandations ont été développées en fonction de la saisie de nombreuses équipes McAfee. Ces équipes incluent McAfee Advanced Cyber Threat Services (McAfee actes), McAfee Advanced Threat Research Team, McAfee groupe de programmes avancés et McAfee Labs. Ces recommandations sont basées sur des expériences dans la réponse à de nombreux types d’incidents. Ces recommandations sont un guide général pour la formation et la commodité des clients McAfee. Il revient au client de déterminer la configuration appropriée à leur situation et à leur environnement.

Le fichier Policies. zip la section pièces jointes de cet article contient des exemples de stratégie basés sur les recommandations de cet article. Passez en revue ces stratégies avant de les appliquer à votre environnement.

Pour obtenir des instructions détaillées sur la configuration de ces paramètres et fonctionnalités, reportez-vous à la section Endpoint Security 10.7 Guide produit.

Cet article est mis à jour selon les besoins pour la précision, la pertinence et la ponctualité des informations décrites.

Pour recevoir une notification par e-mail lorsque cet article est mis à jour, cliquez sur S'inscrire sur la droite de la page. Vous devez être connecté pour vous inscrire.

Contenu
Cliquez pour développer la section que vous souhaitez afficher :

Paramètres généraux

Microsoft Anti-Malware Interface d’analyse (AMSI) : La fonction de détection AMSI est l’une des plus importantes à activer. Assurez-vous de désélectionner le mode d’observation. Ce paramètre se trouve dans la stratégie d’analyse à l’accès ENS Prévention contre les menaces, l’analyse à l’accès et les options ENS Protection adaptive contre les menaces (sous Real Protect). Pour plus d’informations sur AMSI, reportez-vous à la section « Comment AMSI l’intégration avec Prévention contre les menaces améliore la sécurité » dans le Endpoint Security 10.7 Guide produit.
Protection automatique : Vérifiez que l’auto-protection est activée dans ENS et McAfee Agent.
Protection par mot de passe : Permet de vérifier qu’un mot de passe est défini pour l’accès à l’interface utilisateur graphique et la suppression du produit.
McAfee Global Threat Intelligence (GTI) : Permet de définir GTI sur "High" lors d’un incident. Ensuite, continuez de maintenir GTI à « moyen » après un incident et une fois qu’un état stable est atteint. Ce paramètre se trouve dans les stratégies suivantes :
- ENS Prévention contre les menaces analyse à l’accès et analyse à la demande
- Options de Protection adaptive contre les menaces ENS (sous Real Protect)
Protection de l’accès : Permet de créer des règles pour tous les indicateurs de compromission (IOC) détectés dans l’environnement. Par exemple, un fichier extension que ransomware crée. D’autres outils peuvent également être utilisés, le cas échéant, par exemple les réputations de McAfee Threat Intelligence Exchange (TIE).
capture instantanée ePO : Assurez-vous que vous prenez un instantané ePO régulier, que la phrase secrète est connue et que la sauvegarde SQL est en cours. Ces sauvegardes vous aident à récupérer après une perte d’ePO. Assurez-vous que la Banque de clés est sauvegardée si vous devez effectuer une récupération manuelle. Dans les environnements virtuels, il est conseillé de procéder périodiquement à une restauration de la base de données à partir d’une sauvegarde et d’une réinstallation du serveur ePO. Cette restauration permet de s’assurer que l’ensemble du processus fonctionne.
Couverture du système : Permet de consulter les systèmes pour la couverture et les mises à jour des produits. Cette révision est particulièrement importante pour AMCore règles de contenu et de Real Protect. Un bon point de départ est d’utiliser la valeur par défaut « McAfee tableaux de bord » commençant par « Endpoint Security : ».
Détection des Sensor non fiables : Les systèmes non managés sont nuisibles dans un environnement lors de la tentative de confinement et d’éradication d’une menace. Ces systèmes peuvent attaquer et réinfecter les systèmes précédemment restaurés. Il est important de rechercher et de corriger ces systèmes sur le réseau. McAfee Rogue Sensor détection peut vous aider dans ce processus. Pensez à l’implémenter sur les réseaux de clés.
Faux positifs : Etant donné que tous les environnements diffèrent, par exemple, avec des applications internes ou des solutions variées au sein d’un réseau, des faux positifs se produisent. Un faux positif est simplement une détection qui est alors déterminée comme non malveillante ou légitime. Dans notre expérience, avec ces recommandations, il est généralement indiqué que le nombre de faux positifs rencontrés est minime. Mais il est conseillé (comme pour toute autre implémentation dans un environnement) de surveiller et de régler selon les besoins.

Prévention contre les exploits

Règles PowerShell dans la prévention contre les exploits : Envisagez d’activer les règles suivantes. Les règles les plus importantes à activer sont 6070 et 6087 :
- 6108- Powershell - Suspicious download string script execution
- 6109- Powershell - Suspicious wmi script execution
- 6070- Hidden Powershell Detected
- 6081- Powershell Command Restriction - NoProfile
- 6082- Powershell Command Restriction - ExecutionPolicy
- 6083- Powershell Command Restriction - NonInteractive
- 6084- Powershell Command Restriction - NoLogo
- 6085- Powershell Command Restriction - File
- 6086- Powershell Command Restriction - Command
- 6087- Powershell Command Restriction - EncodedCommand
- 6096- Powershell Command Restriction - InvokeExpression
Règles sans fichier dans la prévention contre les exploits : Permet d’activer toutes ces règles sans fichier :
- 6113- Fileless Threat: Reflective Self Injection
- 6114- Fileless Threat: Reflective EXE Self Injection
- 6115- Fileless Threat: Reflective DLL Remote Injection
- 6118- Fileless Threat: Malicious Code Execution using DotNetToJScript Technique
- 6120- Fileless Threat: Process Hollowing
- 6121- Fileless Threat: Shellcode Self Injection
- 6122- Fileless Threat: Reflective Loading of mimikatz using DotNetToJScript Technique
- 6124- Fileless Threat: Spoof Parent Process
- 8003- Fileless Threat: Suspicious Powershell Behavior Detected
- 8004- Fileless Threat: Malicious Powershell Behavior Detected
Mimikatz règles de prévention contre les exploits : La règle la plus importante à activer est 6078. Toutefois, les autres règles répertoriées ci-dessous sont également utiles :
- 6078- Mimikatz usage
- 6116- Mimikatz LSASS Suspicious Memory Read
- 6117- Mimikatz LSASS Suspicious Memory DMP Read
- 6122- Fileless Threat : Reflective Loading of mimikatz using DotNetToJScript Technique
Mimikatz règle dans protection de l’accès : Sélectionnez bloquer et rapport pour Executing Mimikatz malware

Cour

Lors d’une attaque, il est recommandé d’effectuer des analyses à la demande complètes (analyse complète) quotidiennement. Avec les versions ENS récentes, les analyses n’ont pas beaucoup d’impact sur les performances. Les analyses peuvent être planifiées pour s’exécuter au moment où le système est le moins actif, par exemple 2 heures du matin. Mettez en œuvre des analyses basées sur une stratégie lorsque cela est possible, ce qui permet de recevoir des données de télémétrie sans nécessiter d’événements. La télémétrie est disponible dans les propriétés de ENS Prévention contre les menaces.

Dans les conditions de fonctionnement normalisées, une bonne cadence serait d’exécuter des analyses complètes hebdomadaires et des analyses rapides quotidiennes. Voir également : KB74059-meilleures pratiques pour les analyses à la demande.

Créez une analyse rapide et planifiez-la pour qu’elle s’exécute toutes les 4 heures. Vérifiez que le Analyser les sous-dossiers la case est désélectionnée. Au minimum, analysez les éléments suivants :

Mémoire des rootkits
Processus en cours d’exécution
Registre
Fichiers enregistrés
%SYSTEMDRIVE%\Documents and Settings
%SYSTEMDRIVE%\Users
%SYSTEMDRIVE%\Temp\
%PROGRAMDATA%
\Users\%\AppData\Local\Temp
\Startup\
c:\Windows\
c:\Windows\SysWOW64\
c:\Windows\System32\
c:\Windows\Temp
%SYSTEM ROOT%
%SYSTEM ROOT%\Installer
%SYSTEM ROOT%\System32
%SYSTEM ROOT%\System32\Tasks
%SYSTEM ROOT%\WinApp
%SYSTEM ROOT%\SysWOW64
%SYSTEM ROOT%\Tasks
%TEMP%
%APPDATA%\Roaming\Microsoft\
%APPDATA%\Local\
%APPDATA%\Local\Temp

En outre, configurez les options d’analyse suivantes :

Activez Real Protect analyse basée sur le cloud. Le paramètre Activer l’analyse basée sur les cloud se trouve dans la stratégie ENS Protection adaptive contre les menaces, Real Protect section analyse.
Définir la Nettoyer lorsque le seuil de réputation atteint niveau à Malveillant connu. Ce paramètre se trouve dans la section Stratégie de Protection adaptive contre les menaces de ENS, section mise en œuvre des actions.
Activer Processus d’analyse démarrés à partir de lecteurs réseau. Ce paramètre se trouve dans la stratégie ENS Protection adaptive contre les menaces, Protection adaptive contre les menaces section.
Définir le hachage des fichiers détectés par Real Protect sur Malveillant connu réputation dans McAfee Threat Intelligence Exchange (TIE).
Activer Détecter les pièces jointes suspectes. Ce paramètre se trouve dans la stratégie d’analyse à l’accès ENS Prévention contre les menaces, à l’accès.
Activer Analyser lors de la copie de dossiers réseau et de lecteurs amovibles. Ce paramètre se trouve dans la stratégie d’analyse à l’accès ENS Prévention contre les menaces, à l’accès.
Activez l’analyse des lecteurs réseau pour les processus à risque standard et à haut risque. Accédez à la Prévention contre les menaces ENS, stratégie d’analyse à l’accès, section paramètres de processus. Dans les onglets standard et risque élevé, sélectionnez Sur les lecteurs réseau prévu Eléments à analyser.

Protection adaptive contre les menaces (ATP)

Activer la Sécurité définition dans la stratégie options de ATP.

Veuillez Vous pouvez rechercher les règles de ATP individuelles dans paramètres serveur, Protection adaptive contre les menaces. Pour plus d’informations sur les règles ATP, consultez les sections suivantes : KB82925-identifier la règle qui correspond à un événement Protection adaptive contre les menaces et Threat Intelligence Exchange. Certaines règles ATP sont désactivées par défaut, ce qui vous permet de passer à l’état d’observation.
Appliquez la stratégie "McAfee la sécurité par défaut" pour ATP Confinement d’application dynamique.

Pièce jointe

Policies.zip
118K • < 1 minute @ broadband

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Produits affectés

Best Practices
Configuration
Endpoint Security Adaptive Threat Protection
Endpoint Security Firewall 10.7.x
Endpoint Security Firewall 10.6.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Endpoint Security Web Control 10.7.x
Endpoint Security Web Control 10.6.x
Threat Prevention and Removal

Langues :

Cet article est disponible dans les langues suivantes :

English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified

Knowledge Center

Meilleures pratiques pour le réglage et l’utilisation de Endpoint Security pour prévenir les incidents de menace et y répondre

Environnement

Synthèse

Pièce jointe

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Title

Title

Knowledge Center

Meilleures pratiques pour le réglage et l’utilisation de Endpoint Security pour prévenir les incidents de menace et y répondre

Environnement

Synthèse

Pièce jointe

Clause d'exclusion de responsabilité

Produits affectés

Langues :

Choisissez votre région

Title

Title