- Microsoft
Anti-Malware Interfaz de análisis (AMSI) – La función de detección de AMSI es uno de los más importantes para activar. Asegúrese de que ha anulado la selección del modo de evaluación. Esta opción se encuentra en las opciones ENS Prevención de amenazas, análisis en tiempo real y ENS Protección adaptable frente a amenazas (en Real Protect). Para obtener más información sobre AMSI, consulte la sección "cómo la integración de AMSI con Prevención de amenazas mejora la seguridad" en la Endpoint Security 10.7 Guía del producto. - Autoprotección : Compruebe que la autoprotección está activada en ENS y McAfee Agent.
- Protección con contraseña : Verifique que se haya configurado una contraseña para el acceso a la interfaz gráfica de usuario y la eliminación de productos.
- McAfee Global Threat Intelligence (GTI) – Establecer GTI en "alto" durante un incidente. A continuación, siga manteniendo GTI en "Medium" tras un incidente y una vez que se alcance un estado estable. Esta configuración se encuentra en las siguientes directivas:
- ENS Prevención de amenazas análisis en tiempo real y análisis bajo demanda
- Opciones de Protección adaptable frente a amenazas de ENS (en Real Protect)
- Protección de acceso : Cree reglas para cualquier indicador de compromiso (indicadores IOC admitidos) encontrado en el entorno. Por ejemplo, una extensión de archivo que crea ransomware. También se pueden utilizar otras herramientas si existen, como las reputaciones de McAfee Threat Intelligence Exchange (corbata).
- instantánea de ePO – Asegúrese de que toma una instantánea de ePO normal, se conoce la frase de contraseña y se está produciendo la copia de seguridad de SQL. Estas copias de seguridad le ayudan a recuperarse tras una pérdida de ePO. Asegúrese de que se haga una copia de seguridad del almacén de claves si necesita realizar una recuperación manual. En entornos virtuales, una práctica recomendada es realizar una restauración periódica de la base de datos a partir de una copia de seguridad y una reinstalación del servidor de ePO. Esta restauración garantiza la funcionamiento de todo el proceso.
- Cobertura del sistema : Revise los sistemas en busca de actualizaciones y cobertura de productos. Esta revisión es especialmente importante para
AMCore reglas de contenido y Real Protect. Un buen punto de partida es utilizar la "McAfee paneles" predeterminadas que empiezan por "Endpoint Security:" - Detección de Sensor Rogue – Los sistemas no gestionados son perjudicados en un entorno al intentar lograr la contención y la erradicación de una amenaza. Estos sistemas pueden atacar y reinfectar los sistemas restaurados anteriormente. Es importante buscar y solucionar estos sistemas en la red. McAfee la detección de Sensor no fiables puede ayudarle con este proceso. Considere la posibilidad de implementarlo en redes de claves.
- Falsos positivos : Como todos los entornos difieren, por ejemplo, con aplicaciones internas o distintas soluciones dentro de una red, se producen falsos positivos. Un falso positivo es simplemente una detección que, a continuación, se determina como no malicioso o legítimo. En nuestra experiencia con estas recomendaciones, en general, el número de falsos positivos con problemas es mínimo. No obstante, se recomienda (como con cualquier otra implementación de un entorno) para monitor y ajustar según sea necesario.
Prácticas recomendadas para la optimización y el uso de Endpoint Security para evitar incidentes de amenaza y responder a ellos
Artículos técnicos ID:
KB94048
Última modificación: 27/09/2021
Última modificación: 27/09/2021
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Best Practices
Configuration
Endpoint Security Adaptive Threat Protection
Endpoint Security Firewall 10.7.x
Endpoint Security Firewall 10.6.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Endpoint Security Web Control 10.7.x
Endpoint Security Web Control 10.6.x
Threat Prevention and Removal
Configuration
Endpoint Security Adaptive Threat Protection
Endpoint Security Firewall 10.7.x
Endpoint Security Firewall 10.6.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Endpoint Security Web Control 10.7.x
Endpoint Security Web Control 10.6.x
Threat Prevention and Removal
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas:
English United StatesSpanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified