Procedure consigliate per l'ottimizzazione e l'utilizzo di Endpoint Security per prevenire e rispondere agli incidenti di minaccia

Articoli tecnici ID: KB94048
Ultima modifica: 23/09/2021

Ambiente

McAfee Endpoint Security (ENS) 10.x
McAfee ePolicy Orchestrator (ePO) 5.x

Riepilogo

Questo articolo contiene suggerimenti per l'ottimizzazione e l'utilizzo di ENS e ePO nei seguenti scenari:

Come misura proattiva per prevenire gli incidenti di minaccia
Per facilitare il contenimento, l'eradicazione e il recupero durante un caso di risposta agli incidenti di minaccia

Queste raccomandazioni sono state sviluppate in base all'input di molti McAfee team. Questi team includono McAfee Advanced Cyber Threat Services (McAfee Act), McAfee Advanced Threat Research Team, McAfee Advanced programs Group e McAfee Labs. Queste raccomandazioni si basano su esperienze di risposta a molti tipi di incidenti. Queste raccomandazioni sono una guida generale per l'educazione e la convenienza dei McAfee clienti. Spetta al cliente determinare quale configurazione è appropriata per la loro situazione e l'ambiente.

Il file Policy. zip nella sezione allegati di questo articolo sono contenute le policy di esempio in base ai suggerimenti riportati in questo articolo. Rivedere queste policy prima di applicarle nell'ambiente di lavoro.

Per istruzioni dettagliate per la configurazione di queste impostazioni e funzionalità, consultare la sezione Endpoint Security 10.7 Guida del prodotto.

Questo articolo viene aggiornato in base alle esigenze dell'accuratezza, della pertinenza e della tempestività delle informazioni descritte.

Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.

Contenuto
Fare clic per espandere la sezione che si desidera visualizzare:

Impostazioni generali

Microsoft Anti-Malware Interfaccia di scansione (AMSI) – La funzione di rilevamento AMSI è una delle più critiche da attivare. Assicurarsi di deselezionare la modalità di osservazione. Questa impostazione si trova nel Prevenzione delle minacce ENS, nella scansione all'accesso policy e nelle opzioni ENS Protezione adattiva dalle minacce (in Real Protect). Per ulteriori informazioni su AMSI, consultare la sezione "come l'integrazione AMSI con Prevenzione delle minacce migliora la sicurezza" nel Endpoint Security 10.7 Guida del prodotto.
Auto-protezione – Verificare che l'autoprotezione sia attivata all'interno di ENS e McAfee Agent.
Protezione password – Verificare che un password sia impostato per l'accesso alla GUI e la rimozione del prodotto.
McAfee Global Threat Intelligence (GTI) – Impostare GTI su "alta" durante un incidente. Quindi, continuare a mantenere GTI in "medio" dopo un incidente e una volta raggiunto uno stato stabile. Questa impostazione si trova nelle seguenti policy:
- Prevenzione delle minacce on-Access Scan e scansione su richiesta
- Opzioni Protezione adattiva dalle minacce ENS (in Real Protect)
Protezione dell'accesso – Creare regole per tutti gli indicatori di compromesso (indicatori) trovati nell'ambiente. Ad esempio, un'estensione file che ransomware crea. È inoltre possibile utilizzare altri strumenti se presenti, ad esempio le reputazioni di McAfee Threat Intelligence Exchange (TIE).
snapshot ePO – Assicurarsi di prendere un snapshot ePO regolare, il passphrase è noto e il backup SQL si sta verificando. Questi backup consentono di eseguire il ripristino dopo una perdita di ePO. Assicurarsi che il keystore sia sottoposto a backup se è necessario eseguire un ripristino manuale. In ambienti virtuali, è consigliabile eseguire periodicamente un ripristino del database da un backup e dalla reinstallazione del server ePO. Questo ripristino garantisce che l'intero processo funzioni.
Copertura del sistema – Esaminare i sistemi per la copertura e gli aggiornamenti dei prodotti. Questa recensione è particolarmente importante per AMCore regole di contenuto e Real Protect. Un buon punto di partenza consiste nell'utilizzare le dashboard predefinite "McAfee", etichettate a partire da "Endpoint Security:"
Rilevamento di Rogue Sensor – I sistemi non gestiti sono dannosi in un ambiente quando cercano di conseguire il contenimento e l'eradicazione di una minaccia. Questi sistemi possono attaccare e reinfettare i sistemi precedentemente ripristinati. È importante trovare e porre rimedio a tali sistemi sulla rete. McAfee Rogue Sensor Detection può aiutare con questo processo. Prendere in considerazione l'implementazione sulle reti strategiche.
Falsi positivi – Poiché tutti gli ambienti differiscono, ad esempio, con applicazioni interne o soluzioni diverse all'interno di una rete, si verificano falsi positivi. Un falso positivo è semplicemente un rilevamento che viene quindi determinato come non dannoso o legittimo. È nella nostra esperienza che con queste raccomandazioni, in generale il numero di falsi positivi vissuti è minimo. Tuttavia, è consigliabile (come per qualsiasi altra implementazione all'interno di un ambiente) monitorare e sintonizzarsi in base alle esigenze.

Prevenzione exploit

Regole di PowerShell nella prevenzione exploit – Prendere in considerazione l'attivazione delle regole seguenti. Le regole più importanti da attivare sono 6070 e 6087:
- 6108- Powershell - Suspicious download string script execution
- 6109- Powershell - Suspicious wmi script execution
- 6070- Hidden Powershell Detected
- 6081- Powershell Command Restriction - NoProfile
- 6082- Powershell Command Restriction - ExecutionPolicy
- 6083- Powershell Command Restriction - NonInteractive
- 6084- Powershell Command Restriction - NoLogo
- 6085- Powershell Command Restriction - File
- 6086- Powershell Command Restriction - Command
- 6087- Powershell Command Restriction - EncodedCommand
- 6096- Powershell Command Restriction - InvokeExpression
Regole senza file nella prevenzione exploit – Attiva tutte queste regole senza file:
- 6113- Fileless Threat: Reflective Self Injection
- 6114- Fileless Threat: Reflective EXE Self Injection
- 6115- Fileless Threat: Reflective DLL Remote Injection
- 6118- Fileless Threat: Malicious Code Execution using DotNetToJScript Technique
- 6120- Fileless Threat: Process Hollowing
- 6121- Fileless Threat: Shellcode Self Injection
- 6122- Fileless Threat: Reflective Loading of mimikatz using DotNetToJScript Technique
- 6124- Fileless Threat: Spoof Parent Process
- 8003- Fileless Threat: Suspicious Powershell Behavior Detected
- 8004- Fileless Threat: Malicious Powershell Behavior Detected
Mimikatz regole di prevenzione exploit – La regola più importante da attivare è 6078. Ma, anche le altre regole elencate di seguito sono utili:
- 6078- Mimikatz usage
- 6116- Mimikatz LSASS Suspicious Memory Read
- 6117- Mimikatz LSASS Suspicious Memory DMP Read
- 6122- Fileless Threat : Reflective Loading of mimikatz using DotNetToJScript Technique
Mimikatz regola in protezione dell'accesso – Selezionare blocca e segnala per Executing Mimikatz malware

Scansione

Durante un'epidemia, si consiglia di eseguire giornalmente tutte le scansioni su richiesta (scansione completa). Con le versioni ENS recenti, le scansioni non hanno molto impatto sulle prestazioni. Le scansioni possono essere pianificate per l'esecuzione alla volta in cui il sistema è meno attivo, ad esempio 2 a.m. Implementare scansioni basate su policy, laddove possibile, che consentono la ricezione di telemetria senza necessità di eventi. La telemetria è disponibile nelle proprietà di ENS Prevenzione delle minacce.

Durante le condizioni operative normalizzate, una buona cadenza consisterebbe nell'eseguire scansioni complete settimanali e scansioni rapide quotidiane. Vedi anche: KB74059-procedure consigliate per le scansioni su richiesta.

Creare una scansione rapida e pianificarne l'esecuzione ogni 4 ore. Assicurarsi che il Sottocartelle di scansione la casella di controllo è deselezionata. Eseguire almeno la scansione di quanto segue:

Memoria per i rootkit
Processi in esecuzione
Registro
File registrati
%SYSTEMDRIVE%\Documents and Settings
%SYSTEMDRIVE%\Users
%SYSTEMDRIVE%\Temp\
%PROGRAMDATA%
\Users\%\AppData\Local\Temp
\Startup\
c:\Windows\
c:\Windows\SysWOW64\
c:\Windows\System32\
c:\Windows\Temp
%SYSTEM ROOT%
%SYSTEM ROOT%\Installer
%SYSTEM ROOT%\System32
%SYSTEM ROOT%\System32\Tasks
%SYSTEM ROOT%\WinApp
%SYSTEM ROOT%\SysWOW64
%SYSTEM ROOT%\Tasks
%TEMP%
%APPDATA%\Roaming\Microsoft\
%APPDATA%\Local\
%APPDATA%\Local\Temp

Inoltre, è possibile configurare le seguenti opzioni di scansione:

Attivare la scansione basata su Real Protect cloud. L'impostazione Attiva scansione basata su cloud si trova nella sezione Protezione adattiva dalle minacce policy, Real Protect di scansione.
Imposta il Pulisci quando la soglia di reputazione raggiunge livello a Dannoso noto. Questa impostazione si trova nella sezione ENS Protezione adattiva dalle minacce policy, Action Enforcement.
Attivare Processi di scansione avviati dalle unità di rete. Questa impostazione si trova nella sezione Protezione adattiva dalle minacce policy di ENS Protezione adattiva dalle minacce.
Impostare il hash per i file rilevati da Real Protect su Dannoso noto reputazione in McAfee Threat Intelligence Exchange (TIE).
Attivare Rileva allegati email sospetti. Questa impostazione si trova nella policy della scansione all'accesso Prevenzione delle minacce ENS.
Attivare Esegui scansione durante la copia delle cartelle di rete e delle unità rimovibili. Questa impostazione si trova nella policy della scansione all'accesso Prevenzione delle minacce ENS.
Consente di attivare la scansione delle unità di rete per i processi standard e ad alto rischio. Accedere al Prevenzione delle minacce ENS, scansione all'accesso policy, sezione Impostazioni processo. Nelle schede standard e ad alto rischio, selezionare Sulle unità di rete in Elementi da sottoporre a scansione.

Protezione adattiva dalle minacce (ATP)

Attiva il Sicurezza impostazione nelle opzioni di ATP policy.

Nota È possibile trovare le singole regole di ATP in impostazioni del server, Protezione adattiva dalle minacce. Per informazioni sulle regole di ATP, consultare la sezione: KB82925: identifica la regola corrispondente a un evento Protezione adattiva dalle minacce e Threat Intelligence Exchange. Per impostazione predefinita, alcune regole di ATP sono disattivate, che è possibile modificare con lo stato di osservazione.
Applicare il policy "McAfee default Security" per ATP Contenimento dinamico delle applicazioni.

Allegato

Policies.zip
118K • < 1 minute @ broadband

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Prodotti interessati

Best Practices
Configuration
Endpoint Security Adaptive Threat Protection
Endpoint Security Firewall 10.7.x
Endpoint Security Firewall 10.6.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Endpoint Security Web Control 10.7.x
Endpoint Security Web Control 10.6.x
Threat Prevention and Removal

Lingue:

Questo articolo è disponibile nelle seguenti lingue:

English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified

Knowledge Center

Procedure consigliate per l'ottimizzazione e l'utilizzo di Endpoint Security per prevenire e rispondere agli incidenti di minaccia

Ambiente

Riepilogo

Allegato

Dichiarazione di non responsabilità

Prodotti interessati

Lingue:

Title

Title

Knowledge Center

Procedure consigliate per l'ottimizzazione e l'utilizzo di Endpoint Security per prevenire e rispondere agli incidenti di minaccia

Ambiente

Riepilogo

Allegato

Dichiarazione di non responsabilità

Prodotti interessati

Lingue:

Scegli la regione

Title

Title