Prácticas recomendadas para la optimización y el uso de Endpoint Security para evitar incidentes de amenaza y responder a ellos

Artículos técnicos ID: KB94048
Última modificación: 27/09/2021

Entorno

McAfee Endpoint Security (ENS) 10.x
McAfee ePolicy Orchestrator (ePO) 5.x

Resumen

Este artículo contiene recomendaciones para ajustar y utilizar ENS y ePO en los siguientes casos:

Como medida proactiva para evitar incidentes de amenazas
Para facilitar la contención, la erradicación y la recuperación durante un caso de respuesta a incidentes de amenaza

Estas recomendaciones se han desarrollado en función de la información procedente de varios equipos McAfee. Estos equipos incluyen McAfee Advanced Cyber Threat Servicios (McAfee actos), McAfee equipo de investigación avanzada de amenazas, McAfee grupo de programas avanzado y McAfee Labs. Estas recomendaciones se basan en las experiencias de respuesta a muchos tipos de incidentes. Estas recomendaciones son una guía general para la educación y la comodidad de los clientes de McAfee. Depende del cliente determinar qué configuración es adecuada para su situación y entorno.

El archivo Policies. zip en la sección datos adjuntos de este artículo se incluyen directivas de ejemplo basadas en las recomendaciones de este artículo. Revise estas directivas antes de aplicarlas a su entorno.

Para obtener instrucciones detalladas para configurar estas funciones y opciones de configuración, consulte la Endpoint Security 10.7 Guía del producto.

Este artículo se actualiza según sea necesario para obtener la precisión, la relevancia y la oportunidad de la información descrita.

Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.

Contenido
Haga clic para expandir la sección que desee ver:

Configuración general

Microsoft Anti-Malware Interfaz de análisis (AMSI) – La función de detección de AMSI es uno de los más importantes para activar. Asegúrese de que ha anulado la selección del modo de evaluación. Esta opción se encuentra en las opciones ENS Prevención de amenazas, análisis en tiempo real y ENS Protección adaptable frente a amenazas (en Real Protect). Para obtener más información sobre AMSI, consulte la sección "cómo la integración de AMSI con Prevención de amenazas mejora la seguridad" en la Endpoint Security 10.7 Guía del producto.
Autoprotección : Compruebe que la autoprotección está activada en ENS y McAfee Agent.
Protección con contraseña : Verifique que se haya configurado una contraseña para el acceso a la interfaz gráfica de usuario y la eliminación de productos.
McAfee Global Threat Intelligence (GTI) – Establecer GTI en "alto" durante un incidente. A continuación, siga manteniendo GTI en "Medium" tras un incidente y una vez que se alcance un estado estable. Esta configuración se encuentra en las siguientes directivas:
- ENS Prevención de amenazas análisis en tiempo real y análisis bajo demanda
- Opciones de Protección adaptable frente a amenazas de ENS (en Real Protect)
Protección de acceso : Cree reglas para cualquier indicador de compromiso (indicadores IOC admitidos) encontrado en el entorno. Por ejemplo, una extensión de archivo que crea ransomware. También se pueden utilizar otras herramientas si existen, como las reputaciones de McAfee Threat Intelligence Exchange (corbata).
instantánea de ePO – Asegúrese de que toma una instantánea de ePO normal, se conoce la frase de contraseña y se está produciendo la copia de seguridad de SQL. Estas copias de seguridad le ayudan a recuperarse tras una pérdida de ePO. Asegúrese de que se haga una copia de seguridad del almacén de claves si necesita realizar una recuperación manual. En entornos virtuales, una práctica recomendada es realizar una restauración periódica de la base de datos a partir de una copia de seguridad y una reinstalación del servidor de ePO. Esta restauración garantiza la funcionamiento de todo el proceso.
Cobertura del sistema : Revise los sistemas en busca de actualizaciones y cobertura de productos. Esta revisión es especialmente importante para AMCore reglas de contenido y Real Protect. Un buen punto de partida es utilizar la "McAfee paneles" predeterminadas que empiezan por "Endpoint Security:"
Detección de Sensor Rogue – Los sistemas no gestionados son perjudicados en un entorno al intentar lograr la contención y la erradicación de una amenaza. Estos sistemas pueden atacar y reinfectar los sistemas restaurados anteriormente. Es importante buscar y solucionar estos sistemas en la red. McAfee la detección de Sensor no fiables puede ayudarle con este proceso. Considere la posibilidad de implementarlo en redes de claves.
Falsos positivos : Como todos los entornos difieren, por ejemplo, con aplicaciones internas o distintas soluciones dentro de una red, se producen falsos positivos. Un falso positivo es simplemente una detección que, a continuación, se determina como no malicioso o legítimo. En nuestra experiencia con estas recomendaciones, en general, el número de falsos positivos con problemas es mínimo. No obstante, se recomienda (como con cualquier otra implementación de un entorno) para monitor y ajustar según sea necesario.

Prevención de exploits

Reglas de PowerShell en prevención de exploit : Considere la posibilidad de activar las siguientes reglas. Las reglas más importantes para activar son 6070 y 6087:
- 6108- Powershell - Suspicious download string script execution
- 6109- Powershell - Suspicious wmi script execution
- 6070- Hidden Powershell Detected
- 6081- Powershell Command Restriction - NoProfile
- 6082- Powershell Command Restriction - ExecutionPolicy
- 6083- Powershell Command Restriction - NonInteractive
- 6084- Powershell Command Restriction - NoLogo
- 6085- Powershell Command Restriction - File
- 6086- Powershell Command Restriction - Command
- 6087- Powershell Command Restriction - EncodedCommand
- 6096- Powershell Command Restriction - InvokeExpression
Reglas sin archivos en prevención de exploit – Active todas estas reglas sin archivos:
- 6113- Fileless Threat: Reflective Self Injection
- 6114- Fileless Threat: Reflective EXE Self Injection
- 6115- Fileless Threat: Reflective DLL Remote Injection
- 6118- Fileless Threat: Malicious Code Execution using DotNetToJScript Technique
- 6120- Fileless Threat: Process Hollowing
- 6121- Fileless Threat: Shellcode Self Injection
- 6122- Fileless Threat: Reflective Loading of mimikatz using DotNetToJScript Technique
- 6124- Fileless Threat: Spoof Parent Process
- 8003- Fileless Threat: Suspicious Powershell Behavior Detected
- 8004- Fileless Threat: Malicious Powershell Behavior Detected
Mimikatz reglas en prevención de exploit – La regla más importante para activar es la 6078. No obstante, las demás reglas que se enumeran a continuación son beneficiosas también:
- 6078- Mimikatz usage
- 6116- Mimikatz LSASS Suspicious Memory Read
- 6117- Mimikatz LSASS Suspicious Memory DMP Read
- 6122- Fileless Threat : Reflective Loading of mimikatz using DotNetToJScript Technique
Mimikatz regla en protección de acceso – Seleccione bloquear e informar para Executing Mimikatz malware

Recorrido

Durante un brote, se recomienda realizar todos los análisis bajo demanda (análisis completo) todos los días. Con las versiones recientes de ENS, los análisis no tienen un gran impacto en el rendimiento. Los análisis se pueden planificar para que se ejecuten a una hora en la que el sistema esté menos activo, por ejemplo, 2 a.m. Implemente análisis basados en directivas siempre que sea posible, lo que permite la recepción de telemetría sin necesidad de eventos. La telemetría está disponible en las propiedades de ENS Prevención de amenazas.

Durante las condiciones de funcionamiento normalizadas, una buena cadencia sería realizar análisis completos semanales y análisis rápidos diarios. Consulte también: KB74059-procedimientos recomendados para análisis bajo demanda.

Cree un análisis rápido y planifique que se ejecute cada 4 horas. Asegúrese de que la Analizar subcarpetas la casilla de verificación está desactivada. Como mínimo, analice lo siguiente:

Memoria para rootkits
Procesos en ejecución
Registro
Archivos registrados
%SYSTEMDRIVE%\Documents and Settings
%SYSTEMDRIVE%\Users
%SYSTEMDRIVE%\Temp\
%PROGRAMDATA%
\Users\%\AppData\Local\Temp
\Startup\
c:\Windows\
c:\Windows\SysWOW64\
c:\Windows\System32\
c:\Windows\Temp
%SYSTEM ROOT%
%SYSTEM ROOT%\Installer
%SYSTEM ROOT%\System32
%SYSTEM ROOT%\System32\Tasks
%SYSTEM ROOT%\WinApp
%SYSTEM ROOT%\SysWOW64
%SYSTEM ROOT%\Tasks
%TEMP%
%APPDATA%\Roaming\Microsoft\
%APPDATA%\Local\
%APPDATA%\Local\Temp

Además, configure las siguientes opciones de análisis:

Active el análisis basado en la nube de Real Protect. La configuración Activar análisis basado en la nube se encuentra en la sección de la Directiva Protección adaptable frente a amenazas de ENS Real Protect análisis.
Establezca la Limpiar cuando el umbral de reputación alcance nivel para Conocido malicioso. Esta configuración se encuentra en la sección Directiva Protección adaptable frente a amenazas de ENS, implementación de acciones.
Facilitar Procesos de análisis iniciados desde unidades de red. Esta configuración se encuentra en la sección Directiva Protección adaptable frente a amenazas de ENS, Protección adaptable frente a amenazas.
Establecer la hash para los archivos detectados por Real Protect Conocido malicioso reputación en McAfee Threat Intelligence Exchange (empate).
Facilitar Detección de datos adjuntos de correo electrónico sospechosos. Esta opción se encuentra en la Directiva análisis en tiempo real de ENS Prevención de amenazas.
Facilitar Analizar al copiar carpetas de red y unidades extraíbles. Esta opción se encuentra en la Directiva análisis en tiempo real de ENS Prevención de amenazas.
Active el análisis de las unidades de red en busca de procesos estándar y de alto riesgo. Vaya a la Prevención de amenazas ENS, la Directiva análisis en tiempo real, la sección configuración de procesos. En las fichas estándar y riesgo alto, seleccione En unidades de red Rúbrica Qué analizar.

Protección adaptable frente a amenazas (ATP)

Activar la Seguridad configuración en la Directiva opciones de ATP.

SEÑALAR Puede encontrar las reglas de ATP individuales en configuración del servidor Protección adaptable frente a amenazas. Para obtener información sobre las reglas de ATP, consulte: KB82925-identificar qué regla corresponde a un evento Protección adaptable frente a amenazas y Threat Intelligence Exchange. Algunas reglas de ATP están desactivadas de forma predeterminada, que puede cambiar al estado de observación.
Aplique la Directiva "seguridad predeterminada de McAfee" para ATP Contención dinámica de aplicaciones.

Archivo adjunto

Policies.zip
118K • < 1 minute @ broadband

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Productos implicados

Best Practices
Configuration
Endpoint Security Adaptive Threat Protection
Endpoint Security Firewall 10.7.x
Endpoint Security Firewall 10.6.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Endpoint Security Web Control 10.7.x
Endpoint Security Web Control 10.6.x
Threat Prevention and Removal

Idiomas:

Este artículo se encuentra disponible en los siguientes idiomas:

English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified

Knowledge Center

Prácticas recomendadas para la optimización y el uso de Endpoint Security para evitar incidentes de amenaza y responder a ellos

Entorno

Resumen

Archivo adjunto

Descargo de responsabilidad

Productos implicados

Idiomas:

Title

Title

Knowledge Center

Prácticas recomendadas para la optimización y el uso de Endpoint Security para evitar incidentes de amenaza y responder a ellos

Entorno

Resumen

Archivo adjunto

Descargo de responsabilidad

Productos implicados

Idiomas:

Elija su región

Title

Title