Règles Confinement d’application dynamique et meilleures pratiques
Articles techniques ID:
KB87843
Date de la dernière modification : 2022-09-12 16:54:59 Etc/GMT
Date de la dernière modification : 2022-09-12 16:54:59 Etc/GMT
Environnement
Protection adaptive contre les menaces McAfee Endpoint Security (ENS) (ATP) 10.x
Synthèse
Les règles Confinement d’application dynamique (DAC) de la McAfee Default stratégie sont définies sur signaler uniquement pour réduire le nombre de faux positifs. Protection adaptive contre les menaces fournit deux autres stratégies d’application dynamique prédéfinies : McAfee Default équilibrées et de McAfee Default sécurité. Ces stratégies définissent les règles recommandées pour bloquer, en fonction du profil de sécurité :
DAC peut exclure des processus du confinement en fonction du nom, du hachage MD5, des données de signature et du chemin d’accès. Si votre organisation signe des outils déployés en interne, ajoutez ces signatures aux exclusions, afin de réduire le nombre de faux positifs.
En mode d’observation, le rapport DAC signale "contient des événements" mais pas "bloquerait les événements". (Une application doit être contenue avant que ENS détermine si elle doit être bloquée ou non.) "Contiendrait" événements n’indiquent pas un blocage potentiel. Pour régler correctement DAC, lorsque vous désactivez le mode d’observation, modifiez les règles de confinement pour générer un rapport, mais pas bloquer. Ensuite, définissez les règles à bloquer selon les besoins afin qu’elles correspondent à la configuration par défaut.
Les règles DAC disposent d’un contrôle d’inondation, qui limite le nombre d’événements générés à une fois par heure, par règle et par processus. Ce contrôle d'inondation DAC localise les processus au moyen de leur PID (Process ID – ID processus). Lorsqu'un processus redémarre, le système d'exploitation lui affecte un nouveau PID, ce qui réinitialise le contrôle d'inondation, alors que le nom du processus est resté inchangé. Par exemple, si le processus A enfreint la règle A du DAC 100 fois par heure, vous recevez un seul événement par heure. Si le processus A redémarre au cours de cette heure, le contrôle d’inondation se réinitialise pour le processus A et vous recevez un autre événement en cas de violation de la règle de DAC A. Si le processus B viole la même règle de DAC, vous recevez un deuxième événement (avec les détails du processus B).
Meilleures pratiques : Exécutez l’outil McAfee GetClean sur les images de base de déploiement de vos systèmes de production. Cet outil permet de s’assurer que les fichiers non infectés sont envoyés à Global Threat Intelligence (GTI) pour être catégorisés. L’outil permet également de s’assurer que GTI ne fournit pas de valeur de réputation incorrecte pour vos fichiers. Pour plus d’informations, reportez-vous au Guide produit GetClean, disponible sur le site de téléchargement de produits.
- McAfee Default L’équilibre fournit un niveau de protection de base tout en réduisant les faux positifs pour de nombreux programmes d’installation et applications non signés courants.
- McAfee Default La sécurité fournit une protection agressive, mais peut provoquer des faux positifs plus fréquemment sur les programmes d’installation et les applications non signés.
DAC peut exclure des processus du confinement en fonction du nom, du hachage MD5, des données de signature et du chemin d’accès. Si votre organisation signe des outils déployés en interne, ajoutez ces signatures aux exclusions, afin de réduire le nombre de faux positifs.
En mode d’observation, le rapport DAC signale "contient des événements" mais pas "bloquerait les événements". (Une application doit être contenue avant que ENS détermine si elle doit être bloquée ou non.) "Contiendrait" événements n’indiquent pas un blocage potentiel. Pour régler correctement DAC, lorsque vous désactivez le mode d’observation, modifiez les règles de confinement pour générer un rapport, mais pas bloquer. Ensuite, définissez les règles à bloquer selon les besoins afin qu’elles correspondent à la configuration par défaut.
Règle de confinement définie par McAfee | Description du problème | McAfee Default Équilibre recommandé défini sur bloquer | McAfee Default Sécurité recommandée définie sur bloquer |
Accès aux hachages LM de mot de passe non sécurisé |
Protège le fichier SAM dans Meilleures pratiques : Définissez cette règle sur signaler uniquement (par défaut) pour surveiller les programmes potentiellement malveillants ou les tentatives d’accès non autorisé. |
||
Accès à des emplacements de cookie utilisateur | Protège le dossier Meilleure pratique : définissez cette règle sur Rapport uniquement (valeur par défaut) pour surveiller l'accès aux cookies Internet Explorer par des programmes confinés. |
||
Allocation de mémoire à un autre processus | Empêche les processus confinés de modifier la mémoire dans d'autres processus du système. | ✔ | ✔ |
Création d'un thread dans un autre processus | Empêche les processus confinés de créer ou de modifier une thread dans d’autres processus du système. |
✔ | ✔ |
Création de fichiers sur n'importe quel emplacement réseau | Empêche les processus confinés de créer des fichiers sur des emplacements réseau. Les logiciels malveillants peuvent utiliser ces emplacements pour répartir les fichiers infectés. Meilleure pratique : au cours d'une attaque, définissez cette règle sur Blocage et rapport, afin de faciliter l'arrêt ou le ralentissement de l'infection. |
||
Création de fichiers sur CD, disquettes et lecteurs amovibles | Empêche les processus confinés de créer des fichiers sur des équipements amovibles. Les logiciels malveillants peuvent utiliser ces équipements pour se propager.
Meilleures pratiques : Au cours d’une attaque, cette règle est définie sur bloquer et rapport pour vous aider à arrêter ou à ralentir le infection. |
||
Création de fichiers à l’aide de la |
Empêche les processus confinés de créer un fichier avec le Si les fichiers de commandes sont utilisés à des fins d’administration, l’affectation de la valeur bloquer à cette règle peut générer des faux positifs et affecter les activités de l’entreprise. Meilleures pratiques : Si les fichiers de commandes ne sont pas utilisés pour administrer le système, définissez cette règle sur bloquer et rapport. Ce paramètre empêche les logiciels malveillants de créer des scripts que les moteurs de script exécutent ultérieurement. |
✔ | |
Création de fichiers à l’aide de la |
Empêche les processus confinés de créer un fichier avec le Les blocs "faux suivants" qui peuvent se produire avec cette règle peuvent inclure |
✔ | |
Création de fichiers à l’aide de la |
Empêche les processus confinés de créer des fichiers avec les Meilleures pratiques : Au cours d’une attaque, cette règle est définie sur bloquer et rapport pour vous aider à arrêter ou à ralentir le infection. |
||
Création de fichiers à l’aide de la |
Empêche les processus confinés de planifier des tâches sur le système. Les logiciels malveillants exploitent activement les tâches planifiées pour éviter les analyseurs comportementals. | ✔ | ✔ |
Création de fichiers à l’aide de la |
Empêche les processus confinés de créer des fichiers avec le Si Meilleures pratiques : Si |
||
Création de nouveaux |
Empêche les processus confinés de créer Meilleure pratique : au cours d'une attaque, définissez cette règle sur Blocage et rapport, afin de faciliter l'arrêt ou le ralentissement de l'infection. |
||
Suppression des fichiers fréquemment ciblés par les logiciels malveillants de la classe ransomware | Empêche les processus confinés de supprimer les fichiers que ransomware logiciels malveillants de classe ciblent en général. Un ransomware tente parfois de lire un fichier en mémoire, d'écrire le contenu de ce fichier dans un nouveau fichier, de chiffrer celui-ci, puis de supprimer le fichier original. Les logiciels malveillants de classe ransomware ne tentent généralement pas de modifier directement les fichiers qu’il cible pour le chiffrement. Au lieu de cela, il utilise un processus déjà présent sur le système, tel que |
✔ | ✔ |
Désactivation d'exécutables critiques du système d'exploitation | Empêche les processus confinés de désactiver |
✔ | ✔ |
Exécution de tous les processus enfant | Empêche les processus confinés d'exécuter tout processus enfant sur le système.
Meilleures pratiques : Exécutez GetClean avant de définir cette règle sur bloquer. |
✔ | |
Modification d'entrées AppInit DLL du Registre | Empêche les processus confinés d’ajouter des entrées à l' Les processus en mode utilisateur sur le système peuvent charger n’importe quelle entrée dans l' |
✔ | ✔ |
Modification de shims de compatibilité de l'application | Empêche les processus confinés de créer des shims de compatibilité d'application. Un logiciel malveillant peut utiliser cette technique pour obtenir les mêmes droits du processus cible et injecter code Shell. | ✔ | ✔ |
Modification d'emplacements de Registre et de fichiers Windows critiques | Empêche les processus confinés de modifier les emplacements de Registre et les fichiers critiques, tels que le fichier hosts, Meilleures pratiques : Au cours d’une attaque, cette règle est définie sur bloquer et rapport pour vous aider à arrêter ou à ralentir le infection. |
||
Modification des paramètres d'arrière-plan du bureau | Empêche les processus confinés de modifier les paramètres de fond d'écran ou d'arrière-plan du bureau. Un logiciel malveillant peut utiliser cette technique pour tromper l’utilisateur, masquer des fichiers ou faire croire à l’utilisateur qu’il clique sur un autre élément.
Meilleures pratiques : Au cours d’une attaque, cette règle est définie sur bloquer et rapport pour vous aider à arrêter ou à ralentir le infection. |
||
Modification d'associations d'extension de fichiers | Empêche les processus confinés de détourner les associations de extension de fichiers. Un logiciel malveillant peut utiliser cette technique pour amener l’utilisateur à exécuter des types de fichiers inconnus ou à utiliser des programmes inconnus pour exécuter des fichiers. | ✔ | |
Modification des fichiers à l’aide de la |
Empêche les processus confinés de modifier les fichiers à l’aide de la Meilleures pratiques : Au cours d’une attaque, cette règle est définie sur bloquer et rapport pour vous aider à arrêter ou à ralentir le infection. |
||
Modification des fichiers à l’aide de la |
Empêche les processus confinés de modifier les fichiers à l’aide de la Meilleures pratiques : Au cours d’une attaque, cette règle est définie sur bloquer et rapport pour vous aider à arrêter ou à ralentir le infection. |
||
Modification d'entrées Image File Execution Options du Registre | Empêche les processus confinés de modifier les entrées Image File Execution Options du Registre. Un logiciel malveillant peut utiliser cette technique pour détourner l’exécution de processus et empêcher l’exécution de processus. | ✔ | ✔ |
Modification des fichiers exécutables portables | Empêche les processus confinés de modifier tout fichier exécutable portable sur le système. Les fichiers exécutables portables sont des fichiers que Windows peut exécuter en |
✔ | |
Modification des paramètres de l'économiseur d'écran | Empêche les processus confinés de modifier les paramètres de l'économiseur d'écran. Un logiciel malveillant peut utiliser cette technique pour supprimer des charges actives malveillantes sur le système. | ✔ | ✔ |
Modification d'emplacements de démarrage du Registre | Empêche les processus confinés de créer ou de modifier les emplacements de démarrage du Registre Windows. Les logiciels malveillants masquent fréquemment les charges utiles ou les proxys aux charges actives dans les emplacements de démarrage du Registre Windows. | ✔ | ✔ |
Modification du débogueur automatique | Empêche les processus confinés de modifier ou d’ajouter le débogueur automatique, que les logiciels malveillants peuvent utiliser pour détourner l’exécution de processus et voler des informations confidentielles. | ||
Modification du bit d'attribut masqué | Empêche les processus confinés de modifier le bit masqué dans des fichiers du système. | ✔ | ✔ |
Modification du bit d'attribut en lecture seule | Empêche les processus confinés de modifier le bit de lecture seule dans des fichiers du système. | ✔ | ✔ |
Modification de l'emplacement des services dans le Registre | Empêche les processus confinés de modifier le comportement des services dans le système. | ✔ | |
Modification de la stratégie de pare-feu Windows | Empêche les processus confinés de modifier les stratégies de pare-feu stockées dans le Registre. Un logiciel malveillant peut utiliser le pare-feu Windows pour ouvrir les brèches de sécurité sur le système. Meilleure pratique : au cours d'une attaque, définissez cette règle sur Blocage et rapport, afin de faciliter l'arrêt ou le ralentissement de l'infection. |
||
Modification du dossier Tâches Windows | Empêche les processus confinés de créer ou de modifier des tâches stockées dans le dossier Tâches. Les logiciels malveillants peuvent utiliser les tâches pour placer leur charge active sur le système.
Meilleures pratiques : Au cours d’une attaque, cette règle est définie sur bloquer et rapport pour vous aider à arrêter ou à ralentir le infection. |
||
Modification de stratégies utilisateur | Empêche les processus confinés de modifier directement les paramètres de stratégie de groupe. Un logiciel malveillant peut utiliser cette technique pour modifier la posture de sécurité et ouvrir des vulnérabilités dans le système. | ✔ | |
Modification des dossiers de données des utilisateurs | Empêche les processus confinés de modifier ou d'exécuter des fichiers dans les dossiers de données partagés de l'utilisateur. Les dossiers de données Partagés incluent le bureau, les téléchargements, les documents, les images et d’autres emplacements dans le dossier, que les logiciels malveillants ciblent dans les Meilleures pratiques : Au cours d’une attaque, cette règle est définie sur bloquer et rapport pour vous aider à arrêter ou à ralentir le infection. Cette règle peut produire des faux positifs si le programme confiné n'est pas réellement malveillant. |
||
Lecture des fichiers fréquemment ciblés par les logiciels malveillants de la classe ransomware | Empêche les processus confinés de lire les fichiers que ransomware logiciels malveillants de classe ciblent en général. Un ransomware tente parfois de lire un fichier en mémoire, d'écrire le contenu de ce fichier dans un nouveau fichier, de chiffrer celui-ci, puis de supprimer le fichier original. Les logiciels malveillants de classe ransomware ne tentent généralement pas de modifier directement les fichiers qu’il cible pour le chiffrement. Au lieu de cela, il utilise un processus déjà présent sur le système, tel que |
✔ | |
Lecture à partir de la mémoire d’un autre processus | Empêche les processus confinés de lire la mémoire d'un autre processus du système. Cette règle peut contribuer à déjouer des tentatives de vol d'informations contenues dans les processus ciblés. | ✔ | |
Lecture ou modification de fichiers sur n'importe quel emplacement réseau | Empêche les processus confinés de lire ou de modifier des fichiers sur des emplacements réseau. Les logiciels malveillants peuvent utiliser ces emplacements pour propager des fichiers infectés.
Meilleures pratiques : Au cours d’une attaque, cette règle est définie sur bloquer et rapport pour vous aider à arrêter ou à ralentir le infection. |
||
Lecture ou modification de fichiers sur CD, disquettes et lecteurs amovibles | Empêche les processus confinés de lire ou de modifier le contenu d'équipements amovibles. Les logiciels malveillants peuvent utiliser ces équipements pour se propager. Meilleure pratique : au cours d'une attaque, définissez cette règle sur Blocage et rapport, afin de faciliter l'arrêt ou le ralentissement de l'infection. |
||
Suspension d'un processus | Empêche les processus confinés de suspendre d'autres processus dans le système. Certains logiciels malveillants essaient de suspendre un processus pour le pirater ou le déformer à des fins malveillantes, également appelés « creux de processus ». | ✔ | ✔ |
Arrêt d'un autre processus | Empêche les processus confinés d'arrêter des processus dans le système. | ✔ | ✔ |
Ecriture dans la mémoire d’un autre processus | Empêche les processus confinés d'écrire dans l'espace mémoire d'un autre processus du système. | ✔ | ✔ |
Ecriture des fichiers fréquemment ciblés par les logiciels malveillants de la classe ransomware | Empêche les processus confinés de modifier les fichiers fréquemment ciblés par les logiciels malveillants ransomware de la classe. Les logiciels malveillants de classe ransomware ne tentent généralement pas de modifier directement les fichiers qu’il cible pour le chiffrement. Au lieu de cela, il utilise un processus déjà présent sur le système, par exemple Explorer .exe ou PowerShell. exe, pour proxy l’attaque. Si suffisamment de tentatives sont bloquées, le logiciel malveillant peut entrer en retour pour tenter de chiffrer le fichier directement. |
✔ |
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :