Identificeren welke regel overeenkomt met een Threat Intelligence Exchange-gebeurtenis of -waarschuwing
Technische artikelen ID:
KB82925
Laatst gewijzigd: 2023-02-27 21:58:43 Etc/GMT
Laatst gewijzigd: 2023-02-27 21:58:43 Etc/GMT
Omgeving
McAfee Threat Intelligence Exchange-module (TIEm) voor VirusScan Enterprise 1.x
McAfee Threat Intelligence Exchange (TIE) Server 1.x
McAfee VirusScan Enterprise (VSE) 8.x
McAfee Threat Intelligence Exchange (TIE) Server 1.x
McAfee VirusScan Enterprise (VSE) 8.x
Samenvatting
In dit artikel wordt beschreven hoe u de regel-ID en -naam voor een bepaalde TIEm voor VSE-gebeurtenis kunt identificeren.
Oplossing
Identificeren welke TIE-regel een gebeurtenis in de TIEm voor VSE heeft geactiveerd:
Werkstation
Volg deze stappen als u alleen toegang hebt tot het werkstation waarop de gebeurtenis is gegenereerd:
Werkstation
Volg deze stappen als u alleen toegang hebt tot het werkstation waarop de gebeurtenis is gegenereerd:
- Open het bestand TIEMDetections.log met Notepad.exe.
OPMERKING: het logboekbestand staat op de volgende locatie: %PROGRAMDATA%\McAfee\TIEM\
- Zoek de relevante vermelding voor de detectie in het logboekbestand.
- Zoek de RuleID in de waarde voor convictingRuleID: in dezelfde record.
Voorbeeld:
09/12/14 17:55:26 [I] [0xb34] "!TIEM_DETECTION":["file":"C:\USERS\USER\DESKTOP\SAMPLES\TestDetection1.EXE","user":"user1","reaction":
"repair","sha1":"ab3b93171b7c36db16bdd76e194701815ae23b92","md5":"0a43766a03339ea79393d4afe9d745e1","certSha1":"","size":"1024501",
"reputation":"1","convictingRule":"65540","convictingRuleID":"4","convictingRuleVersion":"1","detectionName":"TIEM/Suspicious.rule4",
"contentVersion":"1.0.0.268","clientVersion":"1.0.0.972","reputationSource":"tie","evaluationMode":"true","cached":"false","osVersion":"6.1.7600",
"osArchitecture":"64","agentGuid":"{868b368a-3841-11e4-307b-000c290c89e4}","timestamp":"1410540926","prompted":"false"]
OPMERKING: de RuleID die de detectie voor TestDetection1.EXE heeft geactiveerd was RuleID=4. Dit komt overeen met een detectie met behulp van GTI File Reputation, zoals beschreven in de volgende tabel.
"repair","sha1":"ab3b93171b7c36db16bdd76e194701815ae23b92","md5":"0a43766a03339ea79393d4afe9d745e1","certSha1":"","size":"1024501",
"reputation":"1","convictingRule":"65540","convictingRuleID":"4","convictingRuleVersion":"1","detectionName":"TIEM/Suspicious.rule4",
"contentVersion":"1.0.0.268","clientVersion":"1.0.0.972","reputationSource":"tie","evaluationMode":"true","cached":"false","osVersion":"6.1.7600",
"osArchitecture":"64","agentGuid":"{868b368a-3841-11e4-307b-000c290c89e4}","timestamp":"1410540926","prompted":"false"]
OPMERKING: de RuleID die de detectie voor TestDetection1.EXE heeft geactiveerd was RuleID=4. Dit komt overeen met een detectie met behulp van GTI File Reputation, zoals beschreven in de volgende tabel.
ePolicy Orchestrator (ePO)
Volg deze stappen als u alleen toegang hebt tot de ePO-console:
- Meld u aan bij de ePO-console.
- Selecteer het benodigde rapport onder Dashboards of klik op Menu en Rapporteren.
- Selecteer TIE-module voor VSE-gebeurtenissen en bekijk de details van het betreffende rapport.
OPMERKING: doe het volgende als de RuleID niet wordt weergegeven in het rapport:- Klik op Acties en Kolommen kiezen en selecteer Regel-ID onder Threat Intelligence Exchange voor VSE-gebeurtenissen.
- Klik op Opslaan.
- Open het rapport opnieuw.
RuleID’s en overeenkomende regelnaam en beschrijvingen:
De volgende tabel is uitsluitend ter referentie. De informatie in de tabel kan verouderd zijn, aangezien McAfee regelupdates uitgeeft. Raadpleeg de ePO-console voor de meest recente informatie:
OPMERKING: er zijn in totaal 51 regels. Elke regel heeft een vooraf gedefinieerde status en doelreputatie die afhankelijk zijn van welke van de volgende configuraties is toegepast:
De volgende tabel is uitsluitend ter referentie. De informatie in de tabel kan verouderd zijn, aangezien McAfee regelupdates uitgeeft. Raadpleeg de ePO-console voor de meest recente informatie:
- Meld u aan bij de ePO-console.
- Klik op Menu, Configuratie en Serverinstellingen.
- Selecteer Threat Intelligence Exchange-module voor VSE onder Instellingscategorieën.
RuleID | Regel-ID | Regelversie | Regelreputatie | Naam | Beschrijving | Lange beschrijving | ||||
0 | 0 | 0 | -1 | Niet van toepassing | Geen regel met deze reputatie. | Geen regel met deze reputatie. | ||||
1 | 196609 | 3 | -1 | Vertrouwde of schadelijke bestanden identificeren met certificaatreputatie | Op basis van de GTI- of Enterprise-reputatie van het handtekeningcertificaat wordt bepaald of een bestand vertrouwd of schadelijk is. | Met deze regel wordt op basis van de GTI- of Enterprise-reputatie van het handtekeningcertificaat bepaald of een bestand vertrouwd of schadelijk is. De certificaatreputatie moet Is schadelijk, Is vertrouwd, Hoogstwaarschijnlijk schadelijk of Hoogstwaarschijnlijk vertrouwd zijn. | ||||
2 | 65538 | 1 | -1 | Vertrouwde of schadelijke bestanden identificeren met Enterprise-bestandsreputatie | Op basis van de Enterprise-reputatie van het bestand wordt bepaald of een bestand vertrouwd of schadelijk is. | Met deze regel wordt op basis van de Enterprise-reputatie van het bestand bepaald of een bestand vertrouwd of schadelijk is. De reputatie moet minimaal Is schadelijk, Is vertrouwd, Hoogstwaarschijnlijk schadelijk of Hoogstwaarschijnlijk vertrouwd zijn. | ||||
4 | 131076 | 2 | -1 | Vertrouwde of schadelijke bestanden identificeren met GTI-bestandsreputatie | Op basis van de GTI-reputatie van het bestand wordt bepaald of een bestand vertrouwd of schadelijk is. | Met deze regel wordt op basis van de GTI-reputatie van het bestand bepaald of een bestand vertrouwd of schadelijk is. De reputatie moet minimaal Is schadelijk, Is vertrouwd, Hoogstwaarschijnlijk schadelijk of Hoogstwaarschijnlijk vertrouwd zijn. | ||||
10 | 65546 | 1 | 100 | Identificeren of een bestand het belangrijkste onderdeel is van een vertrouwd installatieprogramma met behulp van de reputatie van het bestand | Op basis van de bestandsnaam en de GTI- of Enterprise-reputatie wordt bepaald of een bestand een vertrouwd installatieprogramma is. | Met deze regel wordt op basis van de GTI- of Enterprise-reputatie van het bestand bepaald of een bestand een vertrouwd installatieprogramma is. Ook wordt gekeken naar de naam van het bestand en bedrijf om te bepalen of het een onderdeel van een update- of installatieprogramma is dat kan worden vertrouwd. | ||||
11 | 131083 | 2 | 100 | Identificeren of het bestand het belangrijkste onderdeel is van een vertrouwd installatieprogramma met behulp van de certificaatreputatie van het bestand | Op basis van de bestandsnaam en de GTI- of Enterprise-certificaatreputatie die voor ondertekening van het bestand wordt gebruikt, wordt bepaald of een bestand een vertrouwd installatieprogramma is. | Met deze regel wordt op basis van de GTI- of Enterprise-reputatie van het certificaat dat voor ondertekening van het bestand wordt gebruikt bepaald of een bestand een vertrouwd installatieprogramma is. Ook wordt gekeken naar de bestandskenmerken, zoals de naam van het bestand en bedrijf, om te bepalen of het een update- of installatieprogramma is dat kan worden vertrouwd. | ||||
12 | 131084 | 2 | 100 | Identificeren of een bestand het belangrijkste onderdeel is van een vertrouwd installatieprogramma op basis van een specifiek bestand dat met een hash wordt geïdentificeerd | Op basis van de bestandshash en de GTI- of Enterprise-reputatie wordt bepaald of een bestand een vertrouwd installatieprogramma is. | Met deze regel wordt op basis van de hash en GTI- of Enterprise-reputatie van een bestand bepaald of het een onderdeel van een update- of installatieprogramma is dat kan worden vertrouwd. | ||||
20 | 65556 | 1 | -1 | Vertrouwde bestanden identificeren met McAfee-bevoegdheden | Vertrouwde bestanden worden geïdentificeerd aan de hand van certificaten of hashes die in de AV DAT-bestanden worden gedistribueerd. | Met deze regel worden vertrouwde bestanden geïdentificeerd aan de hand van certificaten of hashes die in de AV DAT-bestanden worden gedistribueerd en die verhoogde bevoegdheden kunnen hebben voor McAfee-processen en -stuurprogramma's. | ||||
35 | 131107 | 2 | 1 | Installatieverificatie | Een testvoorbeeld wordt geïdentificeerd dat voor installatieverificatie kan worden gebruikt. | Met deze regel wordt een testvoorbeeld geïdentificeerd dat voor installatieverificatie kan worden gebruikt. | ||||
50 | 65586 | 1 | 85 | Vertrouwde bestanden van een vertrouwde maker identificeren | Vertrouwde bestanden die met een volledig vertrouwd updateprogramma zijn gemaakt worden geïdentificeerd. | Met deze regel worden vertrouwde bestanden geïdentificeerd die met een volledig vertrouwd updateprogramma zijn gemaakt en niet zijn gewijzigd. | ||||
55 | 65591 | 1 | 99 | Certificaten identificeren waarvan de reputatie moet worden gecorrigeerd | Certificaten van Tier1-leveranciers waarvan het reputatieniveau moet worden gecorrigeerd worden geïdentificeerd. | Met deze regel worden certificaten van Tier1-leveranciers geïdentificeerd waarvan het reputatieniveau moet worden gecorrigeerd. | ||||
57 | 65593 | 1 | -1 | Bestanden die Mogelijk vertrouwd of Mogelijk schadelijk zijn identificeren met GTI-bestandsreputatie | Op basis van de GTI-bestandsreputatie wordt bepaald welke bestanden Mogelijk vertrouwd of Mogelijk schadelijk zijn. | Met deze regel worden bestanden geïdentificeerd waarvan de GTI-bestandsreputatie minder overtuigend is, zoals Mogelijk vertrouwd of Mogelijk schadelijk. | ||||
96 | 65632 | 1 | 0 | Intelligente prompts | Prompts om de bibliotheek te laden voor andere vertrouwde toepassingen dan internetbrowsers worden onderdrukt. | Met deze regel worden prompts om de bibliotheek te laden voor andere vertrouwde toepassingen dan internetbrowsers onderdrukt. | ||||
97 | 131169 | 2 | 70 | Bestanden offline vertrouwen op basis van het beveiligingsniveau van standaardsystemen | Bepaald wordt dat bestanden zonder verdachte kenmerken worden vertrouwd wanneer het systeem offline is (niet verbonden met de TIE-server en GTI). | Met deze regel worden bestanden zonder verdachte kenmerken vertrouwd wanneer het systeem niet met de TIE-server en GTI is verbonden. Dit is de laatste regel die moet worden uitgevoerd. | ||||
98 | 131170 | 2 | 70 | Bestanden offline vertrouwen op basis van het beveiligingsniveau van systemen met veel wijzigingen | Bepaald wordt dat bestanden zonder verdachte kenmerken worden vertrouwd wanneer het systeem offline is (niet verbonden met de TIE-server en GTI). | Met deze regel worden bestanden zonder verdachte kenmerken vertrouwd wanneer het systeem niet met de TIE-server en GTI is verbonden. Dit is de laatste regel die moet worden uitgevoerd. | ||||
99 | 131171 | 2 | 50 | Bestanden offline vertrouwen op basis van het beveiligingsniveau van systemen met weinig wijzigingen | Bepaald wordt dat bestanden zonder verdachte kenmerken onbekend zijn wanneer het systeem offline is (niet verbonden met de TIE-server en GTI). | Met deze regel wordt bepaald dat bestanden zonder verdachte kenmerken onbekend zijn wanneer het systeem niet met de TIE-server en GTI is verbonden. Dit is de laatste regel die moet worden uitgevoerd. | ||||
126 | 131198 | 2 | 85 | Vertrouwde, ondertekende toepassingen identificeren | Bestanden die zijn ondertekend en zich in paden bevinden die vaak worden gebruikt voor het installeren van programma's worden geïdentificeerd. Ze kunnen ook een vermelding in het menu Start hebben. | Met deze regel worden bestanden geïdentificeerd die zijn ondertekend en een geldig, niet-zelfondertekend certificaat hebben. De bestandslocatie wordt overwogen evenals omgevingsattributen, zoals een vermelding in het menu Start. | ||||
127 | 65663 | 1 | 85 | Vertrouwde bronnenbibliotheken van Help identificeren | Ondertekende bronnenbibliotheken die door vertrouwde software worden gebruikt worden geïdentificeerd. | Met deze regel worden bronnenbibliotheken geïdentificeerd die door vertrouwde software worden gebruikt. De bestanden zijn ondertekend en hebben geen slechte certificaatreputatie. Ze hebben kenmerken die erop wijzen dat de bestanden bronbibliotheken zijn, bijvoorbeeld geen import- of exportbestanden en een klein aantal PE-secties (Portable Executable). | ||||
128 | 65664 | 1 | 85 | Vertrouwde bronnenbibliotheken van Help identificeren | Ondertekende bronnenbibliotheken die door vertrouwde software worden gebruikt worden geïdentificeerd. Deze bibliotheken worden in het algemeen gebruikt als onderdeel van Help-documentatie. | Met deze regel worden ondertekende bronnenbibliotheken geïdentificeerd die door vertrouwde software worden gebruikt. De bibliotheken worden in het algemeen gebruikt als onderdeel van de Help-documentatie van toepassingen. Ze zijn ondertekend en hebben geen slechte certificaatreputatie. Ze hebben kenmerken die erop wijzen dat de bestanden bronbibliotheken zijn, bijvoorbeeld geen import- of exportbestanden en een klein aantal PE-secties (Portable Executable). Ze staan ook in installatiemappen van toepassingen. | ||||
129 | 65665 | 1 | 85 | Vertrouwde, ondertekende hulpprogramma's identificeren | Hulpprogramma's die zijn ondertekend en waarvan het certificaat wordt vertrouwd worden geïdentificeerd. Deze bestanden worden niet gestart bij het opstarten en hebben kenmerken die erop wijzen dat ze hulpprogramma's zijn. | Met deze regel worden hulpprogramma's geïdentificeerd die zijn ondertekend en waarvan het certificaat wordt vertrouwd. De bestanden worden niet gestart bij het opstarten. Ze staan in een map die indicatief is voor een hulpprogramma of geïnstalleerd programma (bijvoorbeeld: %programfiles%\subfolder) en import-API’s . Daarnaast hebben ze andere kenmerken die overeenkomen met vertrouwde hulpprogramma's. | ||||
130 | 65666 | 1 | 85 | Vertrouwde, ondertekende stuurprogramma's identificeren | Ondertekende en in het lokale systeem geïnstalleerde apparaatstuurprogramma's worden geïdentificeerd. | Met deze regel worden ondertekende en in het lokale systeem geïnstalleerde apparaatstuurprogramma's geïdentificeerd. Ze gebruiken het systeemeigen subsysteem en staan in de map %windir%\system32\drivers of in het stuurprogramma-archief. | ||||
131 | 65667 | 1 | 85 | Vertrouwde, ondertekende DRM-bibliotheken (Digital Rights Management) identificeren | Vertrouwde, ondertekende DRM-bibliotheken die door Windows worden gebruikt worden geïdentificeerd. | Met deze regel worden vertrouwde DRM-bibliotheken geïdentificeerd die zijn ondertekend en waarvan het certificaat wordt vertrouwd. Deze bestanden staan in de Windows DRM- en DRM-cachemap. | ||||
132 | 65668 | 1 | 85 | Vertrouwde, ondertekende bestanden identificeren | Bestanden die zijn ondertekend en worden vertrouwd en waarvan de certificaatreputatie wordt vertrouwd worden geïdentificeerd. | Met deze regel worden bestanden geïdentificeerd die zijn ondertekend en worden vertrouwd en waarvan ook het certificaat wordt vertrouwd. | ||||
133 | 65669 | 1 | 70 | Vertrouwde bestanden op de schijf identificeren | Bestanden die vóór installatie van de TIE-module op de schijf staan en niet verdacht zijn worden geïdentificeerd. | Met deze regel worden bestanden geïdentificeerd die vóór installatie van de TIE-module op de schijf staan en niet verdacht zijn. Uit de logboekopname van NTFS-bestanden blijkt dat ze niet onrechtmatig zijn gewijzigd. | ||||
134 | 131206 | 2 | 85 | Vertrouwde bestanden op de schijf identificeren die vóór installatie van de TIE-module in de onderneming voorkwamen. | Bestanden die vóór installatie van de TIE-module op de schijf staan, niet verdacht zijn en in de onderneming zijn gebruikt worden geïdentificeerd. | Met deze regel worden bestanden geïdentificeerd die vóór installatie van de TIE-module op de schijf staan en niet verdacht zijn. Uit de logboekopname van NTFS-bestanden blijkt dat ze niet onrechtmatig zijn gewijzigd. De bestanden moeten ook in de onderneming zijn gebruikt. | ||||
138 | 131210 | 2 | 70 | Vertrouwde, niet-ondertekende Microsoft DOTNet-assembly's identificeren | Microsoft DOTNet-assembly's die niet zijn ondertekend en een vertrouwd certificaat hebben worden gedetecteerd. Deze bestanden komen mogelijk niet voor op veel computers in de onderneming. | Met deze regel worden door Microsoft geleverde bestanden gedetecteerd die een CLR-code (DOTNet) hebben, in de algemene cachemap van assembly's zijn geïnstalleerd en geen schadelijke attributen bevatten. De bestanden staan al dan niet op meerdere computers in de onderneming en kunnen gecompileerde Just-In-Time-assembly's omvatten. | ||||
139 | 196747 | 3 | 70 | Vertrouwde DOTNet-assembly's identificeren | DOTNet-assembly's die in de algemene cache van assembly's zijn geïnstalleerd en op meerdere computers staan worden gedetecteerd. | Met deze regel worden bestanden gedetecteerd die een CLR-code (DOTNet) hebben en in de algemene cachemap van assembly's zijn geïnstalleerd. De bestanden staan op meerdere computers in de onderneming, waaruit blijkt dat ze geen gecompileerde Just-In-Time-assembly's zijn. | ||||
140 | 131212 | 2 | 85 | Vertrouwde, gangbare bestanden identificeren | Bestanden die reeds lange tijd in de onderneming voorkomen en op meerdere computers gangbaar zijn worden gedetecteerd. | Met deze regel worden bestanden gedetecteerd die worden vertrouwd, omdat ze wijdverbreid en bekend zijn. De bestanden staan op meerdere computers in de onderneming en zijn langer dan 3 maanden bekend. | ||||
151 | 65687 | 1 | 70 | Webinstallatieprogramma identificeren | Webinstallatieprogramma's die zijn ondertekend en waarvan het certificaat wordt vertrouwd worden geïdentificeerd. Ook worden het bedrijf, het product en de versie geïdentificeerd. | Met deze regel worden webinstallatieprogramma's geïdentificeerd die zijn ondertekend en waarvan het certificaat wordt vertrouwd. Ook worden het bedrijf, het product en de versie van het webinstallatieprogramma geïdentificeerd. | ||||
152 | 65688 | 1 | 70 | Met Windows Installer uitgepakte veilige bestanden identificeren | Met Windows Installer uitgepakte veilige bestanden worden geïdentificeerd op basis van actorproces, certificaat en cloudreputatie. | Met deze regel worden met Windows Installer uitgepakte veilige bestanden geïdentificeerd op basis van actorproces, certificaat en cloudreputatie. Als het door het installatieprogramma uitgepakte bestand verdacht is, levert de regel geen goede reputatie op. | ||||
153 | 65689 | 1 | 70 | Bestanden identificeren die door ATD niet als verdacht worden gerapporteerd. | Bestanden die door Advanced Threat Defense niet als verdacht worden gerapporteerd worden geïdentificeerd. | Met deze regel worden bestanden geïdentificeerd die door Advanced Threat Defense zijn beoordeeld en niet als verdacht zijn gerapporteerd. | ||||
205 | 65741 | 1 | 30 | Verdachte bestanden identificeren die een vreemde aanmaakdatum hebben en waarschijnlijk niet zijn ingepakt | Verdachte bestanden die waarschijnlijk niet zijn ingepakt, een vreemde aanmaakdatum hebben en op locaties zoals de map Temp of Downloads staan worden geïdentificeerd. | Met deze regel worden verdachte bestanden geïdentificeerd die op locaties zoals de map Temp of Downloads staan. Deze bestanden zijn waarschijnlijk niet ingepakt en de datumeigenschappen zijn aantoonbaar onrechtmatig gewijzigd. | ||||
206 | 65742 | 1 | 30 | Verdachte bestanden identificeren die een vreemde aanmaakdatum hebben en waarschijnlijk zijn ingepakt | Verdachte bestanden die zich waar dan ook op het systeem bevinden worden geïdentificeerd. De bestanden zijn waarschijnlijk ingepakt en de datum is aantoonbaar onrechtmatig gewijzigd. | Met deze regel worden verdachte bestanden geïdentificeerd die zich waar dan ook op het systeem bevinden. Deze bestanden zijn geïdentificeerd als ingepakt en de datumeigenschappen zijn aantoonbaar onrechtmatig gewijzigd. | ||||
207 | 131279 | 2 | 15 | Verdachte bestanden identificeren die vanuit de prullenbak worden uitgevoerd | Verdachte bestanden die vanuit de prullenbak worden uitgevoerd worden geïdentificeerd. | Met deze regel worden verdachte bestanden geïdentificeerd die zich in de prullenbak bevinden en van daaruit worden uitgevoerd. | ||||
208 | 65744 | 1 | 15 | Verdachte bestanden identificeren die vanuit de map Roaming worden uitgevoerd | Verdachte bestanden die vanuit de map Roaming worden uitgevoerd of geladen worden geïdentificeerd. | Met deze regel worden verdachte bestanden geïdentificeerd die verkeerd vanuit de map Roaming worden uitgevoerd (%userprofile%\appdata\roaming). | ||||
209 | 131281 | 2 | 15 | Verdachte bestanden identificeren die verborgen zijn voor de gebruiker | Verdachte bestanden die verborgen voor de gebruiker worden uitgevoerd of geladen worden geïdentificeerd. | Met deze regel worden verdachte bestanden geïdentificeerd die verborgen voor de gebruiker met behulp van een mechanisme zoals een bestandsattribuut worden uitgevoerd of geladen. Deze bestanden lijken belangrijke besturingssysteembestanden te zijn, maar zijn het niet. | ||||
211 | 65747 | 1 | 15 | Verdachte bestanden identificeren die met een niet-vertrouwd proces zijn gemaakt | Verdachte bestanden die met een proces met een verdachte of bekende schadelijke reputatie zijn gemaakt worden geïdentificeerd. | Met deze regel wordt een bestand geïdentificeerd dat verdacht is, omdat het proces waarmee het is gemaakt op de aanmaakdatum de reputatie Mogelijk schadelijk tot Is schadelijk had. Ook is het bestand sinds de aanmaakdatum niet gewijzigd. | ||||
213 | 65749 | 1 | 30 | Een bestand als verdacht identificeren op basis van hoe het is ingepakt | Een ingepakt of versleuteld bestand wordt als verdacht geïdentificeerd en het inpakprogramma wordt niet door legitieme software gebruikt. | Met deze regel wordt een bestand als verdacht geïdentificeerd wanneer wordt vastgesteld dat het ingepakt of versleuteld is en het bestand eigenschappen heeft die niet vaak voorkomen bij legitieme software. | ||||
214 | 65750 | 1 | 30 | Een verdachte keylogger identificeren | Een bestand wordt als verdacht geïdentificeerd wanneer het eigenschappen heeft die niet door legitieme software worden gebruikt en als het een keylogger lijkt te zijn. | Met deze regel wordt een bestand als verdacht geïdentificeerd wanneer het eigenschappen heeft die niet door legitieme software worden gebruikt. Het bestand heeft verdachte kenmerken. Zo worden bijvoorbeeld API’s geïmporteerd voor het registreren van toetsaanslagen en ontbreekt de versie-informatie. | ||||
217 | 65753 | 1 | 15 | Een verdachte wachtwoordsteler identificeren | Bestanden die verkeerd in het zwervende profiel van de gebruiker zijn geïnstalleerd en verdachte kenmerken hebben worden geïdentificeerd. | Met deze regel worden bestanden geïdentificeerd die verkeerd in het zwervende profiel van de gebruiker zijn geïnstalleerd en verdachte kenmerken hebben. Het bestand importeert API’s voor het registreren van toetsaanslagen, het maken van schermopnamen of het controleren op een actieve foutopsporing. | ||||
218 | 65754 | 1 | 30 | Een verdacht bestand identificeren waarvan de leeftijd is verborgen | Bestanden waarvan de aangegeven leeftijd is gewijzigd worden geïdentificeerd. Deze bestanden hebben verdachte kenmerken en zien er niet uit als geïnstalleerde programma's. | Met deze regel worden bestanden geïdentificeerd waarvan de aangegeven leeftijd is gewijzigd. De bestanden hebben verdachte kenmerken. Ze zijn bijvoorbeeld ingepakt, de versie-informatie ontbreekt, ze zijn getagd als systeembestand of importeren verdachte API’s. Ze hebben geen pad dat gebruikelijk is voor geïnstalleerde programma's. | ||||
219 | 131291 | 2 | 15 | Een verdacht bestand identificeren dat op een veilige locatie is verborgen | Bestanden op veilige locaties, zoals mappen die voor systeemstuurprogramma's zijn gereserveerd, worden geïdentificeerd. Deze bestanden zijn niet in overeenstemming met andere bestanden op die locatie en hebben verdachte kenmerken. | Met deze regel worden bestanden geïdentificeerd die op veilige locaties staan, zoals in mappen die voor systeemstuurprogramma's zijn gereserveerd. De bestanden maken geen gebruik van het systeemeigen subsysteem en hebben verdachte kenmerken. De versie-informatie ontbreekt bijvoorbeeld of is onjuist of het bestandstype komt niet overeen met de extensie. | ||||
220 | 65756 | 1 | 30 | Nieuwe verdachte bestanden identificeren | Bestanden die nieuw zijn voor het systeem en verdachte kenmerken hebben, zoals gewijzigde sectienamen of gewijzigde code op het invoerpunt van het binaire bestand, worden geïdentificeerd. | Met deze regel worden bestanden geïdentificeerd die in de afgelopen 30 dagen zijn gemaakt en die verdachte kenmerken hebben. Deze omvatten gewijzigde sectienamen of gewijzigde code op het invoerpunt van het binaire bestand. | ||||
221 | 262365 | 4 | 30 | Nieuwe verdachte bestanden in een klein aantal systemen identificeren | Bestanden die van een extern gerichte toepassing (een netwerktoepassing waarmee bestanden worden gedownload) afkomstig zijn worden gedetecteerd. Dit zijn bestanden die pas in de omgeving zijn ontdekt en kenmerken en importfuncties hebben die erop wijzen dat ze verdacht zijn. | Met deze regel worden bestanden gedetecteerd die van een extern gerichte toepassing (een netwerktoepassing waarmee bestanden worden gedownload) afkomstig zijn. De bestanden bevinden zich korter dan 10 dagen in de omgeving en komen op minder dan 1% van de computers voor. De bestanden zijn niet ondertekend met een gangbaar of vertrouwd certificaat en ze hebben enkele verdachte kenmerken. Ze zijn bijvoorbeeld ingepakt, hebben geen bronnen en de versie-informatie ontbreekt. Daarnaast hebben de importfuncties die erop wijzen dat ze verdacht zijn, zoals het gebruik van systeemeigen API’s, het maken van externe threads, het controleren op foutopsporing of het installeren van gelaagde serviceproviders. | ||||
222 | 65758 | 1 | 15 | Een verdachte keylogger identificeren die als een geïnstalleerd programma is verborgen | Bestanden die keylogger-API’s importeren en op locaties van een geïnstalleerd programma zijn verborgen worden gedetecteerd. Ze hebben verdachte kenmerken. Ze hebben bijvoorbeeld een klein aantal importbestanden, zijn nieuw in het systeem en lijken niet op een legitieme toepassing. | Met deze regel worden bestanden gedetecteerd die keylogger-API’s importeren en in mappen of submappen van programmabestanden zijn verborgen. De bestanden zijn niet als een service of in Programma’s en onderdelen geregistreerd. Ze hebben registersleutels die tijdens het opstarten worden gestart en verdachte kenmerken, zoals een klein aantal importbestanden of PE-secties (Portable Executable). | ||||
233 | 65769 | 1 | 30 | Verdachte bestanden van internet identificeren | Bestanden die van een niet-vertrouwde URL afkomstig zijn worden geïdentificeerd. Ze zijn schadelijk en hebben verdachte kenmerken. Ze zijn bijvoorbeeld ingepakt of zijn tamelijk nieuw. | Met deze regel worden bestanden geïdentificeerd die van een niet-vertrouwde URL afkomstig zijn. Ze zijn schadelijk en hebben verdachte kenmerken. Ze zijn bijvoorbeeld ingepakt, zijn niet ouder dan 15 dagen en komen op minder dan 10 systemen of 1% van de computers voor. | ||||
234 | 65770 | 1 | 15 | Bestanden identificeren die door ATD als verdacht worden gerapporteerd. | Bestanden die door Advanced Threat Defense als verdacht worden gerapporteerd worden geïdentificeerd. | Met deze regel worden bestanden geïdentificeerd die door Advanced Threat Defense als verdacht worden gerapporteerd. | ||||
237 | 131309 | 2 | 15 | Verdachte bestanden zoeken die met een ingetrokken certificaat zijn ondertekend | Bestanden die een ingetrokken certificaat hebben worden gedetecteerd. Dit zijn pas ontdekte bestanden die in een klein aantal systemen voorkomen. | Met deze regel worden bestanden gedetecteerd die een certificaat hebben dat is ingetrokken. De bestanden bevinden zich korter dan 5 dagen in de omgeving en komen op minder dan 1% van de computers voor. | ||||
240 | 65776 | 1 | 30 | Verdachte bestanden identificeren die kenmerken hebben die voornamelijk voorkomen in ransomware | Verdachte bestanden identificeren die kenmerken hebben die voornamelijk voorkomen in ransomware en die op een locatie staan die niet vaak wordt gebruikt | Verdachte bestanden identificeren die kenmerken hebben die voornamelijk voorkomen in ransomware en die op een locatie staan die niet vaak wordt gebruikt | ||||
241 | 131313 | 2 | 30 | Nieuwe verdachte bestanden in een klein aantal systemen (v2) identificeren | Nieuwe bestanden worden gedetecteerd die in een klein deel van alle systemen voorkomen en die verschillende kenmerken en systeemlocaties hebben, wat op verdacht gedrag wijst. | Bestanden die van een extern gerichte toepassing (een netwerktoepassing waarmee bestanden worden gedownload) afkomstig zijn worden gedetecteerd. Dit zijn bestanden die pas in de omgeving zijn ontdekt en kenmerken en importfuncties hebben die erop wijzen dat ze verdacht zijn. | ||||
246 | 65782 | 1 | 30 | Nieuwe verdachte bestanden in een klein aantal systemen (v3) identificeren | Nieuwe bestanden worden gedetecteerd die in een klein deel van alle systemen voorkomen en die verschillende kenmerken en systeemlocaties hebben, wat op verdacht gedrag wijst. | Bestanden die van een extern gerichte toepassing (een netwerktoepassing waarmee bestanden worden gedownload) afkomstig zijn worden gedetecteerd. Dit zijn bestanden die pas in de omgeving zijn ontdekt en kenmerken en importfuncties hebben die erop wijzen dat ze verdacht zijn. |
OPMERKING: er zijn in totaal 51 regels. Elke regel heeft een vooraf gedefinieerde status en doelreputatie die afhankelijk zijn van welke van de volgende configuraties is toegepast:
- Systemen met veel wijzigingen
- Standaardsystemen
- Systemen met weinig wijzigingen
RuleID | Verplicht | Staat/provincie |
1 | TRUE | ingeschakeld |
2 | TRUE | ingeschakeld |
4 | TRUE | ingeschakeld |
10 | TRUE | ingeschakeld |
11 | TRUE | ingeschakeld |
12 | TRUE | ingeschakeld |
20 | TRUE | ingeschakeld |
35 | TRUE | ingeschakeld |
50 | TRUE | ingeschakeld |
55 | TRUE | ingeschakeld |
57 | FALSE | geëvalueerd |
96 | TRUE | ingeschakeld |
97 | FALSE | ingeschakeld |
98 | FALSE | ingeschakeld |
99 | FALSE | ingeschakeld |
126 | TRUE | ingeschakeld |
127 | TRUE | ingeschakeld |
128 | TRUE | ingeschakeld |
129 | TRUE | ingeschakeld |
130 | TRUE | ingeschakeld |
131 | TRUE | ingeschakeld |
132 | TRUE | ingeschakeld |
133 | TRUE | ingeschakeld |
134 | TRUE | ingeschakeld |
138 | FALSE | ingeschakeld |
139 | TRUE | ingeschakeld |
140 | TRUE | ingeschakeld |
151 | TRUE | ingeschakeld |
152 | FALSE | geëvalueerd |
153 | FALSE | geëvalueerd |
205 | FALSE | geëvalueerd |
206 | FALSE | geëvalueerd |
207 | FALSE | ingeschakeld |
208 | FALSE | ingeschakeld |
209 | FALSE | ingeschakeld |
211 | FALSE | geëvalueerd |
213 | FALSE | geëvalueerd |
214 | FALSE | ingeschakeld |
217 | FALSE | ingeschakeld |
218 | FALSE | geëvalueerd |
219 | FALSE | ingeschakeld |
220 | FALSE | geëvalueerd |
221 | FALSE | geëvalueerd |
222 | FALSE | ingeschakeld |
233 | FALSE | geëvalueerd |
234 | FALSE | ingeschakeld |
237 | FALSE | geëvalueerd |
240 | FALSE | geëvalueerd |
241 | FALSE | geëvalueerd |
246 | FALSE | geëvalueerd |
RuleID | Verplicht | Staat/provincie |
1 | TRUE | ingeschakeld |
2 | TRUE | ingeschakeld |
4 | TRUE | ingeschakeld |
10 | TRUE | ingeschakeld |
11 | TRUE | ingeschakeld |
12 | TRUE | ingeschakeld |
20 | TRUE | ingeschakeld |
35 | TRUE | ingeschakeld |
50 | TRUE | ingeschakeld |
55 | TRUE | ingeschakeld |
57 | FALSE | geëvalueerd |
96 | TRUE | ingeschakeld |
97 | FALSE | ingeschakeld |
98 | FALSE | ingeschakeld |
99 | FALSE | ingeschakeld |
126 | TRUE | ingeschakeld |
127 | TRUE | ingeschakeld |
128 | TRUE | ingeschakeld |
129 | TRUE | ingeschakeld |
130 | TRUE | ingeschakeld |
131 | TRUE | ingeschakeld |
132 | TRUE | ingeschakeld |
133 | TRUE | ingeschakeld |
134 | TRUE | ingeschakeld |
138 | FALSE | ingeschakeld |
139 | TRUE | ingeschakeld |
140 | TRUE | ingeschakeld |
151 | TRUE | ingeschakeld |
152 | FALSE | geëvalueerd |
153 | FALSE | geëvalueerd |
205 | FALSE | geëvalueerd |
206 | FALSE | geëvalueerd |
207 | FALSE | ingeschakeld |
208 | FALSE | ingeschakeld |
209 | FALSE | ingeschakeld |
211 | FALSE | geëvalueerd |
213 | FALSE | geëvalueerd |
214 | FALSE | ingeschakeld |
217 | FALSE | ingeschakeld |
218 | FALSE | geëvalueerd |
219 | FALSE | ingeschakeld |
220 | FALSE | geëvalueerd |
221 | FALSE | geëvalueerd |
222 | FALSE | ingeschakeld |
233 | FALSE | geëvalueerd |
234 | FALSE | ingeschakeld |
237 | FALSE | geëvalueerd |
240 | FALSE | geëvalueerd |
241 | FALSE | geëvalueerd |
246 | FALSE | geëvalueerd |
RuleID | Verplicht | Staat/provincie |
1 | TRUE | ingeschakeld |
2 | TRUE | ingeschakeld |
4 | TRUE | ingeschakeld |
10 | TRUE | ingeschakeld |
11 | TRUE | ingeschakeld |
12 | TRUE | ingeschakeld |
20 | TRUE | ingeschakeld |
35 | TRUE | ingeschakeld |
50 | TRUE | ingeschakeld |
55 | TRUE | ingeschakeld |
57 | FALSE | geëvalueerd |
96 | TRUE | ingeschakeld |
97 | FALSE | ingeschakeld |
98 | FALSE | ingeschakeld |
99 | FALSE | ingeschakeld |
126 | TRUE | ingeschakeld |
127 | TRUE | ingeschakeld |
128 | TRUE | ingeschakeld |
129 | TRUE | ingeschakeld |
130 | TRUE | ingeschakeld |
131 | TRUE | ingeschakeld |
132 | TRUE | ingeschakeld |
133 | TRUE | ingeschakeld |
134 | TRUE | ingeschakeld |
138 | FALSE | ingeschakeld |
139 | TRUE | ingeschakeld |
140 | TRUE | ingeschakeld |
151 | TRUE | ingeschakeld |
152 | FALSE | geëvalueerd |
153 | FALSE | geëvalueerd |
205 | FALSE | geëvalueerd |
206 | FALSE | geëvalueerd |
207 | FALSE | ingeschakeld |
208 | FALSE | ingeschakeld |
209 | FALSE | ingeschakeld |
211 | FALSE | geëvalueerd |
213 | FALSE | geëvalueerd |
214 | FALSE | ingeschakeld |
217 | FALSE | geëvalueerd |
218 | FALSE | geëvalueerd |
219 | FALSE | ingeschakeld |
220 | FALSE | geëvalueerd |
221 | FALSE | geëvalueerd |
222 | FALSE | ingeschakeld |
233 | FALSE | geëvalueerd |
234 | FALSE | ingeschakeld |
237 | FALSE | geëvalueerd |
240 | FALSE | geëvalueerd |
241 | FALSE | geëvalueerd |
246 | FALSE | geëvalueerd |
ontkenning
De inhoud van dit artikel is oorspronkelijk in het Engels uitgebracht. Als er verschillen zijn tussen de Engelse inhoud en de vertaling, is de Engelse inhoud altijd het meest accuraat. Een deel van deze inhoud is het resultaat van het gebruik van de machinevertaling van Microsoft.
Betrokken producten
Talen:
Dit artikel is beschikbaar in de volgende talen: