Práticas recomendadas para ajuste e uso de Endpoint Security para prevenir e responder a incidentes de ameaça

Artigos técnicos ID: KB94048
Última modificação: 23/09/2021

Ambiente

McAfee Endpoint Security (ENS) 10.x
McAfee ePolicy Orchestrator (ePO) 5.x

Resumo

Este artigo contém recomendações para o ajuste e o uso do ENS e do ePO nas seguintes situações:

Como uma medida proativa para evitar incidentes de ameaça
Para facilitar o confinamento, a erradicação e a recuperação durante um caso de resposta a incidentes de ameaça

Essas recomendações foram desenvolvidas com base na entrada de muitas equipes de McAfee. Essas equipes incluem o McAfee Advanced Cyber Threat Serviços (McAfee atua), McAfee equipe de pesquisa avançada de ameaças McAfee grupos de programas avançados e McAfee Labs. Essas recomendações baseiam-se em experiências em responder a muitos tipos de incidentes. Estas recomendações são um guia geral para a educação e conveniência de McAfee clientes. O cliente deve determinar quais configurações são apropriadas para sua situação e seu ambiente.

A arquivo Policies. zip na seção anexo deste artigo contém as políticas de exemplo baseadas nas recomendações deste artigo. Revise essas políticas antes de aplicá-las em seu ambiente.

Para obter instruções detalhadas sobre como definir essas configurações e recursos, consulte o Endpoint Security 10.7 Guia de produto.

Este artigo é atualizado conforme o necessário para obter a precisão, a relevância e a linha de assunto das informações descritas.

Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.

Sumário
Clique para expandir a seção que você deseja exibir:

Configurações gerais

Microsoft Anti-Malware Interface de varredura (AMSI) – A função de detecção do AMSI é uma das mais importantes a serem ativadas. Verifique se você desmarque o modo de observação. Essa configuração é encontrada na Prevenção contra ameaças do ENS, na política de varredura ao acessar e nas opções de Proteção adaptável contra ameaças do ENS (em Real Protect). Para obter mais informações sobre o AMSI, consulte a seção "como a integração do AMSI com o Prevenção contra ameaças melhora a segurança" no Endpoint Security 10.7 Guia de produto.
Proteção automática – Verifique se a autoproteção está ativada em ENS e McAfee Agent.
Proteção por senha – Verifique se uma senha está definida para acesso à GUI e remoção de produto.
McAfee Global Threat Intelligence (GTI) – Defina GTI como "alto" durante um incidente. Em seguida, continue mantendo o GTI em "médio" depois de um incidente e, depois que um estado estável for atingido. Essa configuração é encontrada nas seguintes políticas:
- ENS Prevenção contra ameaças varredura ao acessar e varredura por solicitação
- ENS Proteção adaptável contra ameaças opções (em Real Protect)
Proteção de acesso – Crie regras para quaisquer indicadores de comprometimento (IOC compatível) encontrados no ambiente. Por exemplo, uma extensão arquivo que o ransomware cria. Outras ferramentas também podem ser usadas se estiverem presentes, como reputações de McAfee Threat Intelligence Exchange (TIE).
instantâneo do ePO – Verifique se você assume um instantâneo normal do ePO, a senha é conhecida e o backup do SQL está ocorrendo. Esses backups ajudam você a recuperar-se após uma perda do ePO. Verifique se o armazenamento de chaves é submetido ao backup se for necessário executar uma recuperação manual. Em ambientes virtuais, uma prática recomendada é executar periodicamente uma restauração do banco de dados a partir de um backup e de uma reinstalação do servidor ePO. Essa restauração garante que todo esse processo funcionará.
Cobertura do sistema – Revise os sistemas para obter cobertura e atualizações de produtos. Essa revisão é especialmente importante para AMCore conteúdo e regras de Real Protect. Um bom ponto de partida é usar os "dashboards McAfee" padrão, começando por "Endpoint Security:"
Detecção de Sensor não autorizado – Sistemas não gerenciados são prejudiciais em um ambiente ao tentar atingir a confinamento e a erradicação de uma ameaça. Esses sistemas podem atacar e reinfectar sistemas restaurados anteriormente. É importante localizar e corrigir esses sistemas na rede. McAfee detecção de Sensor Rogue pode ajudar com esse processo. Considere implementá-lo em redes-chave.
Falsos positivos – Como todos os ambientes diferem, por exemplo, com aplicativos internos ou soluções variadas em uma rede, ocorrem falsos positivos. Um falso positivo é simplesmente uma detecção que, em seguida, é determinada como não-maliciosa ou legítima. Trata-se de nossa experiência com essas recomendações, em geral, falar sobre o número de falsos positivos que o experimentou é mínimo. No entanto, é recomendável (como em qualquer outra implementação dentro de um ambiente) para monitor e ajustar conforme o necessário.

Prevenção de exploração

Regras do PowerShell na prevenção de exploração – Considere a ativação das regras a seguir. As regras mais importantes a serem ativadas são 6070 e 6087:
- 6108- Powershell - Suspicious download string script execution
- 6109- Powershell - Suspicious wmi script execution
- 6070- Hidden Powershell Detected
- 6081- Powershell Command Restriction - NoProfile
- 6082- Powershell Command Restriction - ExecutionPolicy
- 6083- Powershell Command Restriction - NonInteractive
- 6084- Powershell Command Restriction - NoLogo
- 6085- Powershell Command Restriction - File
- 6086- Powershell Command Restriction - Command
- 6087- Powershell Command Restriction - EncodedCommand
- 6096- Powershell Command Restriction - InvokeExpression
Regras sem arquivo na prevenção de exploração – Ativar todas estas regras sem arquivo:
- 6113- Fileless Threat: Reflective Self Injection
- 6114- Fileless Threat: Reflective EXE Self Injection
- 6115- Fileless Threat: Reflective DLL Remote Injection
- 6118- Fileless Threat: Malicious Code Execution using DotNetToJScript Technique
- 6120- Fileless Threat: Process Hollowing
- 6121- Fileless Threat: Shellcode Self Injection
- 6122- Fileless Threat: Reflective Loading of mimikatz using DotNetToJScript Technique
- 6124- Fileless Threat: Spoof Parent Process
- 8003- Fileless Threat: Suspicious Powershell Behavior Detected
- 8004- Fileless Threat: Malicious Powershell Behavior Detected
Mimikatz regras na prevenção de exploração – A regra mais importante a ser ativada é 6078. No entanto, as outras regras listadas abaixo também são benéficas:
- 6078- Mimikatz usage
- 6116- Mimikatz LSASS Suspicious Memory Read
- 6117- Mimikatz LSASS Suspicious Memory DMP Read
- 6122- Fileless Threat : Reflective Loading of mimikatz using DotNetToJScript Technique
Mimikatz regra na proteção de acesso – Selecione Bloquear e relatar para Executing Mimikatz malware

Varredura

Durante uma epidemia, é recomendável executar varreduras por solicitação completas (varredura completa) diariamente. Com versões recentes do ENS, as varreduras não têm muito impacto sobre o desempenho. As varreduras podem ser programadas para execução ao mesmo tempo em que o sistema está menos ativo, como as duas a.m.. Implemente varreduras com base em política quando possível, o que permite que a telemetria seja recebida sem a necessidade de eventos. A telemetria está disponível nas propriedades de ENS Prevenção contra ameaças.

Durante as condições de operação normalizadas, uma boa cadência seria executar varreduras completas semanais e varreduras rápidas diárias. Consulte também: KB74059-práticas recomendadas para varreduras por solicitação.

Crie uma varredura rápida e programe-a para ser executada a cada 4 horas. Verifique se o Varrer subpastas a caixa de seleção está desmarcada. No mínimo, faça uma varredura no seguinte:

Memória para rootkits
Processos em execução
Registry
Arquivos registrados
%SYSTEMDRIVE%\Documents and Settings
%SYSTEMDRIVE%\Users
%SYSTEMDRIVE%\Temp\
%PROGRAMDATA%
\Users\%\AppData\Local\Temp
\Startup\
c:\Windows\
c:\Windows\SysWOW64\
c:\Windows\System32\
c:\Windows\Temp
%SYSTEM ROOT%
%SYSTEM ROOT%\Installer
%SYSTEM ROOT%\System32
%SYSTEM ROOT%\System32\Tasks
%SYSTEM ROOT%\WinApp
%SYSTEM ROOT%\SysWOW64
%SYSTEM ROOT%\Tasks
%TEMP%
%APPDATA%\Roaming\Microsoft\
%APPDATA%\Local\
%APPDATA%\Local\Temp

Além disso, configure as seguintes opções de varredura:

Ativar Real Protect varredura baseada em nuvem. A configuração Varredura baseada na nuvem Ativar é encontrado na seção ENS Proteção adaptável contra ameaças, Real Protect varredura.
Definir o Limpar quando o limite de reputação atingir nível para Malicioso conhecido. Essa configuração é encontrada na seção ENS Proteção adaptável contra ameaças política de imposição de ação.
Ativar Processos de varredura iniciados a partir de unidades de rede. Essa configuração é encontrada na seção de Proteção adaptável contra ameaças ENS Proteção adaptável contra ameaças.
Defina a hash para os arquivos detectados pelo Real Protect para Malicioso conhecido reputação no McAfee Threat Intelligence Exchange (TIE).
Ativar Detectar anexos de e-mail suspeitos. Essa configuração é encontrada na política de varredura ao acessar do ENS Prevenção contra ameaças.
Ativar Varrer ao copiar pastas de rede e unidades removíveis. Essa configuração é encontrada na política de varredura ao acessar do ENS Prevenção contra ameaças.
Ativar a varredura de unidades de rede para processos padrão e de alto risco. Vá para a seção de Prevenção contra ameaças do ENS, política de varredura ao acessar, configurações do processo. Nas guias padrão e alto risco, selecione Em unidades de rede inferior O que varrer.

Proteção adaptável contra ameaças (ATP)

Ativar o Direito configuração na política de opções do ATP.

INDICADO Você pode encontrar as regras de ATP individuais em configurações do servidor Proteção adaptável contra ameaças. Para obter informações sobre as regras de ATP, consulte: KB82925-identificar qual regra corresponde a um Proteção adaptável contra ameaças e um evento de Threat Intelligence Exchange. Algumas regras de ATP são desativadas por padrão, que podem ser alteradas para o estado de observação.
Aplique a política "segurança padrão do McAfee" para ATP Confinamento dinâmico de aplicativos.

Anexo

Policies.zip
118K • < 1 minute @ broadband

Aviso de isenção de responsabilidade

O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.

Produtos afetados

Best Practices
Configuration
Endpoint Security Adaptive Threat Protection
Endpoint Security Firewall 10.7.x
Endpoint Security Firewall 10.6.x
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Endpoint Security Web Control 10.7.x
Endpoint Security Web Control 10.6.x
Threat Prevention and Removal

Idiomas:

Este artigo está disponível nos seguintes idiomas:

English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified

Knowledge Center

Práticas recomendadas para ajuste e uso de Endpoint Security para prevenir e responder a incidentes de ameaça

Ambiente

Resumo

Anexo

Aviso de isenção de responsabilidade

Produtos afetados

Idiomas:

Title

Title

Knowledge Center

Práticas recomendadas para ajuste e uso de Endpoint Security para prevenir e responder a incidentes de ameaça

Ambiente

Resumo

Anexo

Aviso de isenção de responsabilidade

Produtos afetados

Idiomas:

Escolha a sua região

Title

Title