- Microsoft
Anti-Malware Interfaccia di scansione (AMSI) – La funzione di rilevamento AMSI è una delle più critiche da attivare. Assicurarsi di deselezionare la modalità di osservazione. Questa impostazione si trova nel Prevenzione delle minacce ENS, nella scansione all'accesso policy e nelle opzioni ENS Protezione adattiva dalle minacce (in Real Protect). Per ulteriori informazioni su AMSI, consultare la sezione "come l'integrazione AMSI con Prevenzione delle minacce migliora la sicurezza" nel Endpoint Security 10.7 Guida del prodotto. - Auto-protezione – Verificare che l'autoprotezione sia attivata all'interno di ENS e McAfee Agent.
- Protezione password – Verificare che un password sia impostato per l'accesso alla GUI e la rimozione del prodotto.
- McAfee Global Threat Intelligence (GTI) – Impostare GTI su "alta" durante un incidente. Quindi, continuare a mantenere GTI in "medio" dopo un incidente e una volta raggiunto uno stato stabile. Questa impostazione si trova nelle seguenti policy:
- Prevenzione delle minacce on-Access Scan e scansione su richiesta
- Opzioni Protezione adattiva dalle minacce ENS (in Real Protect)
- Protezione dell'accesso – Creare regole per tutti gli indicatori di compromesso (indicatori) trovati nell'ambiente. Ad esempio, un'estensione file che ransomware crea. È inoltre possibile utilizzare altri strumenti se presenti, ad esempio le reputazioni di McAfee Threat Intelligence Exchange (TIE).
- snapshot ePO – Assicurarsi di prendere un snapshot ePO regolare, il passphrase è noto e il backup SQL si sta verificando. Questi backup consentono di eseguire il ripristino dopo una perdita di ePO. Assicurarsi che il keystore sia sottoposto a backup se è necessario eseguire un ripristino manuale. In ambienti virtuali, è consigliabile eseguire periodicamente un ripristino del database da un backup e dalla reinstallazione del server ePO. Questo ripristino garantisce che l'intero processo funzioni.
- Copertura del sistema – Esaminare i sistemi per la copertura e gli aggiornamenti dei prodotti. Questa recensione è particolarmente importante per
AMCore regole di contenuto e Real Protect. Un buon punto di partenza consiste nell'utilizzare le dashboard predefinite "McAfee", etichettate a partire da "Endpoint Security:" - Rilevamento di Rogue Sensor – I sistemi non gestiti sono dannosi in un ambiente quando cercano di conseguire il contenimento e l'eradicazione di una minaccia. Questi sistemi possono attaccare e reinfettare i sistemi precedentemente ripristinati. È importante trovare e porre rimedio a tali sistemi sulla rete. McAfee Rogue Sensor Detection può aiutare con questo processo. Prendere in considerazione l'implementazione sulle reti strategiche.
- Falsi positivi – Poiché tutti gli ambienti differiscono, ad esempio, con applicazioni interne o soluzioni diverse all'interno di una rete, si verificano falsi positivi. Un falso positivo è semplicemente un rilevamento che viene quindi determinato come non dannoso o legittimo. È nella nostra esperienza che con queste raccomandazioni, in generale il numero di falsi positivi vissuti è minimo. Tuttavia, è consigliabile (come per qualsiasi altra implementazione all'interno di un ambiente) monitorare e sintonizzarsi in base alle esigenze.
Procedure consigliate per l'ottimizzazione e l'utilizzo di Endpoint Security per prevenire e rispondere agli incidenti di minaccia
Articoli tecnici ID:
KB94048
Ultima modifica: 23/09/2021
Ultima modifica: 23/09/2021
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Best Practices
Configuration
Endpoint Security Adaptive Threat Protection
Endpoint Security Firewall 10.7.x
Endpoint Security Firewall 10.6.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Endpoint Security Web Control 10.7.x
Endpoint Security Web Control 10.6.x
Threat Prevention and Removal
Configuration
Endpoint Security Adaptive Threat Protection
Endpoint Security Firewall 10.7.x
Endpoint Security Firewall 10.6.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Endpoint Security Web Control 10.7.x
Endpoint Security Web Control 10.6.x
Threat Prevention and Removal
Lingue:
Questo articolo è disponibile nelle seguenti lingue:
English United StatesSpanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified