Reglas y prácticas recomendadas de Contención dinámica de aplicaciones
Artículos técnicos ID:
KB87843
Última modificación: 2022-09-12 16:55:04 Etc/GMT
Última modificación: 2022-09-12 16:55:04 Etc/GMT
Entorno
Protección adaptable frente a amenazas (ATP) de McAfee Endpoint Security (ENS) 10.x
Resumen
Las reglas de Contención dinámica de aplicaciones (DAC) de la McAfee Default Directiva están configuradas para notificar solo para reducir los falsos positivos. Protección adaptable frente a amenazas proporciona otras dos directivas de aplicación dinámica predefinidas: McAfee Default equilibrio y McAfee Default seguridad. Estas directivas establecen las reglas recomendadas para bloquear según el perfil de seguridad:
DAC puede excluir procesos de la contención según el nombre, la hash MD5, los datos de firma y la ruta. Si su organización firma las herramientas que se implementan de forma interna, agregue estas firmas como exclusiones para reducir los falsos positivos.
En el modo de evaluación, los informes de DAC "contendrían" eventos pero no "bloquearían" eventos. (La aplicación debe estar contenida antes de que ENS determine si debe bloquearla.) "Contendría" eventos no indican un bloque potencial. Para ajustar correctamente DAC, después de desactivar el modo de evaluación, modifique las reglas de contención para informar pero no bloquear. A continuación, establezca las reglas en bloquear según sea necesario para que coincida con la configuración predeterminada.
Las reglas de DAC tienen control de inundación, lo que limita el número de eventos generados a una vez por hora, por regla y por proceso. El control de inundación de Contención dinámica de aplicaciones rastrea los procesos por su ID de proceso (PID). Cuando se reinicia un proceso, el sistema operativo le asigna un nuevo PID, lo que restablece el control de inundación, aunque el nombre del proceso sea el mismo. Por ejemplo, si el Proceso A infringe la regla A de Contención dinámica de aplicaciones 100 veces por hora, se recibe un evento por hora. Si el proceso A se reinicia durante esa hora, el control de inundación se restablece para el proceso A y recibe otro evento si sigue infringiendo la regla A de DAC a. Si el proceso B infringe la misma regla de DAC A, recibirá un segundo evento (con detalles del proceso B).
Procedimiento recomendado: Ejecute la herramienta McAfee GetClean en las imágenes de la base de despliegue de sus sistemas de producción. Esta herramienta garantiza que los archivos limpios se envíen a Global Threat Intelligence (GTI) para que se clasifiquen. La herramienta también le ayuda a asegurarse de que GTI no proporcione un valor de reputación incorrecto para sus archivos. Para obtener más información, consulte la Guía del producto de GetClean, disponible en el sitio de descargas de productosde.
- McAfee Default Equilibrado proporciona un nivel básico de protección, mientras que minimiza los falsos positivos de muchos instaladores y aplicaciones comunes sin firmar.
- McAfee Default La seguridad proporciona una protección agresiva, pero puede provocar falsos positivos con más frecuencia en los instaladores y aplicaciones sin firmar.
DAC puede excluir procesos de la contención según el nombre, la hash MD5, los datos de firma y la ruta. Si su organización firma las herramientas que se implementan de forma interna, agregue estas firmas como exclusiones para reducir los falsos positivos.
En el modo de evaluación, los informes de DAC "contendrían" eventos pero no "bloquearían" eventos. (La aplicación debe estar contenida antes de que ENS determine si debe bloquearla.) "Contendría" eventos no indican un bloque potencial. Para ajustar correctamente DAC, después de desactivar el modo de evaluación, modifique las reglas de contención para informar pero no bloquear. A continuación, establezca las reglas en bloquear según sea necesario para que coincida con la configuración predeterminada.
Regla de contención definida por el McAfee | Descripción | McAfee Default Se recomienda el ajuste equilibrio recomendado para bloquear | McAfee Default Recomendado de seguridad configurado como bloquear |
Acceso a hashes de LM de contraseñas inseguras |
Protege el archivo SAM en Procedimiento recomendado: Establezca esta regla como informar solo (valor predeterminado) en monitor para programas potencialmente maliciosos o intentos de acceso no autorizados. |
||
Acceso a ubicaciones de cookies de usuario | Protege la carpeta Procedimiento recomendado: Establezca esta regla como informar solo (predeterminado) para monitor acceso a Internet Explorer cookies por programas contenidos. |
||
Asignación de memoria en otro proceso | Impide que los procesos contenidos puedan modificar la memoria en otros procesos del sistema. | ✔ | ✔ |
Creación de un subproceso dentro de otro proceso | Impide que los procesos contenidos puedan crear o modificar un subproceso en otros procesos del sistema. |
✔ | ✔ |
Creación de archivos en cualquier ubicación en la red | Impide que los procesos contenidos puedan crear archivos en ubicaciones de la red. El malware puede servirse de estas ubicaciones para propagar los archivos infectados.
Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Creación de archivos en unidades de CD, de disquete y extraíbles | Impide que los procesos contenidos creen archivos en dispositivos extraíbles. El malware puede servirse de esos dispositivos para propagarse.
Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Creación de archivos con la |
Impide que los procesos contenidos puedan crear cualquier archivo con la Si se utilizan archivos por lotes con fines administrativos, el establecimiento de esta regla en bloquear podría producir falsos positivos y afectar a las operaciones empresariales. Procedimiento recomendado: Si los archivos por lotes no se utilizan para administrar el sistema, establezca esta regla como bloquear e informar. Esta configuración impide que malware cree scripts que los motores de scripting se ejecuten más tarde. |
✔ | |
Creación de archivos con la |
Impide que los procesos contenidos puedan crear cualquier archivo con la Los "de" falsos típicos que se pueden producir con esta regla pueden incluir |
✔ | |
Creación de archivos con la |
Impide que los procesos contenidos puedan crear archivos con la Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Creación de archivos con la |
Impide que los procesos contenidos puedan planificar tareas en el sistema. El malware aprovecha de manera activa las tareas planificadas para evitar los analizadores de comportamiento. | ✔ | ✔ |
Creación de archivos con la |
Impide que los procesos contenidos puedan crear archivos con la Si Procedimiento recomendado: Si |
||
Creación de nuevas |
Impide que los procesos contenidos puedan crear Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Eliminación de archivos que suelen ser objetivo de malware del tipo ransomware | Impide que los procesos contenidos puedan eliminar archivos que suelen ser objetivo de malware del tipo ransomware. El ransomware a veces intenta leer los archivos de la memoria, escribir el contenido de esos archivos en otros archivos nuevos, cifrarlos y después eliminar los originales. El malware de ransomware no suele intentar cambiar directamente los archivos de destino del cifrado. En su lugar, utiliza un proceso que ya está en el sistema, como |
✔ | ✔ |
Deshabilitación de archivos ejecutables del sistema operativo críticos | Impide que los procesos contenidos se desactiven |
✔ | ✔ |
Ejecución de cualquier proceso secundario | Impide que los procesos contenidos puedan ejecutar procesos secundarios en el sistema.
Procedimiento recomendado: Ejecute GetClean antes de establecer esta regla en bloquear. |
✔ | |
Modificación de las entradas de registro de appinit DLL | Impide que los procesos contenidos puedan agregar entradas a la Los procesos de modo de usuario del sistema pueden cargar cualquier entrada en la |
✔ | ✔ |
Modificación de correcciones de compatibilidad de aplicaciones | Impide que los procesos contenidos puedan crear correcciones de compatibilidad de aplicaciones. El malware puede servirse de esta técnica para conseguir los mismos derechos que el proceso objetivo e inyectar código de shell. | ✔ | ✔ |
Modificación de archivos y ubicaciones de registro de Windows críticos | Impide que los procesos contenidos puedan modificar los archivos críticos y las ubicaciones del registro, como el archivo hosts, Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Modificación de los ajustes del fondo de pantalla | Impide que los procesos contenidos puedan modificar la configuración del tapiz o el fondo de escritorio. El malware puede utilizar esta técnica para engañar al usuario, ocultar archivos o hacer que el usuario cree que está haciendo clic en otra cosa.
Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Modificación de las asociaciones de extensiones de archivos | Impide que los procesos contenidos puedan secuestrar asociaciones de extensiones de archivos. El malware puede servirse de esta técnica para engañar al usuario y hacer que ejecute tipos de archivo desconocidos o utilice programas desconocidos para ejecutar archivos. | ✔ | |
Modificación de archivos con la |
Impide que los procesos contenidos puedan cambiar los archivos con la Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Modificación de archivos con la |
Impide que los procesos contenidos puedan cambiar los archivos con la Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Modificación de entradas de registro de Opciones de ejecución de archivos de imagen | Impide que los procesos contenidos puedan modificar las opciones Image File Execution Options del Registro. El malware puede servirse de esta técnica para secuestrar la ejecución de los procesos e impedir completamente que estos se ejecuten. | ✔ | ✔ |
Modificación de archivos ejecutables portátiles | Impide que los procesos contenidos puedan modificar los archivos portables ejecutables del sistema. Los ejecutables portátiles son archivos que Windows pueden ejecutar de forma |
✔ | |
Modificación de los ajustes del protector de pantalla | Impide que los procesos contenidos puedan modificar la configuración del protector de pantalla. El malware puede servirse de esta técnica para colocar cargas útiles maliciosas en el sistema. | ✔ | ✔ |
Modificación de las ubicaciones del registro de inicio | Impide que los procesos contenidos puedan crear o cambiar ubicaciones de inicio del Registro de Windows. A menudo, el malware oculta cargas útiles o representantes de cargas útiles en las ubicaciones de inicio del Registro de Windows. | ✔ | ✔ |
Modificación del depurador automático | Impide que los procesos contenidos puedan modificar o agregar el depurador automático, del cual puede servirse el malware para secuestrar la ejecución de los procesos y robar información de carácter confidencial. | ||
Modificación del bit de atributo oculto | Impide que los procesos contenidos puedan modificar el bit oculto de los archivos del sistema. | ✔ | ✔ |
Modificación del bit de atributo de solo lectura | Impide que los procesos contenidos puedan modificar el bit de solo lectura de los archivos del sistema. | ✔ | ✔ |
Modificación de la ubicación de registro de Servicios | Impide que los procesos contenidos puedan modificar el comportamiento de los servicios del sistema. | ✔ | |
Modificación de la directiva del Firewall de Windows | Impide que los procesos contenidos puedan modificar las directivas del Firewall almacenadas en el Registro. El malware puede servirse del Firewall de Windows para abrir agujeros de seguridad en el sistema.
Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Modificación de la carpeta de tareas de Windows | Impide que los procesos contenidos puedan crear o modificar tareas almacenadas en las carpetas de Tareas. El malware puede servirse de las tareas para colocar su carga útil en el sistema.
Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Modificación de directivas de usuario | Impide que los procesos contenidos puedan modificar la configuración de directivas de grupo directamente. El malware puede servirse de esta tarea para modificar la postura de seguridad y exponer vulnerabilidades del sistema. | ✔ | |
Modificación de las carpetas de datos de los usuarios | Impide que los procesos contenidos puedan modificar o ejecutar archivos de las carpetas de datos comunes del usuario. Las carpetas de datos de Ajustes generales incluyen el escritorio, las descargas, los documentos, las imágenes y otras ubicaciones de la Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. Esta regla puede acarrear falsos positivos, dependiendo de si el programa contenido es genuinamente malicioso o no. |
||
Lectura de archivos que suelen ser objetivo de malware del tipo ransomware | Impide que los procesos contenidos puedan leer archivos que suelen ser objetivo de malware del tipo ransomware. El ransomware a veces intenta leer los archivos de la memoria, escribir el contenido de esos archivos en otros archivos nuevos, cifrarlos y después eliminar los originales. El malware de ransomware no suele intentar cambiar directamente los archivos destinados al cifrado. En su lugar, utiliza un proceso que ya está en el sistema, como |
✔ | |
Lectura de la memoria de otro proceso | Impide que los procesos contenidos puedan leer la memoria de otro proceso del sistema. Esta regla puede ayudar a malograr los intentos de robo de la información contenida en los procesos objetivo. | ✔ | |
Lectura o modificación de archivos en cualquier ubicación en la red | Impide que los procesos contenidos puedan leer o modificar archivos en ubicaciones de la red. El malware puede servirse de estas ubicaciones para propagar archivos infectados.
Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Lectura o modificación de archivos en unidades de CD, de disquete y extraíbles | Impide que los procesos contenidos puedan leer o modificar el contenido de los dispositivos extraíbles. El malware puede servirse de esos dispositivos para propagarse.
Procedimiento recomendado: Durante un brote, establezca esta regla como bloquear e informar para ayudar a detener o ralentizar la infección. |
||
Suspensión de un proceso | Impide que los procesos contenidos puedan suspender otros procesos del sistema. Algunos tipos de malware intentan suspender un proceso para secuestrarlo o vaciarlo con fines maliciosos; es lo que se conoce como "vaciado de procesos". | ✔ | ✔ |
Finalización de otro proceso | Impide que los procesos contenidos puedan detener los procesos del sistema. | ✔ | ✔ |
Escritura en la memoria de otro proceso | Impide que los procesos contenidos puedan escribir en el espacio de memoria de otro proceso del sistema. | ✔ | ✔ |
Escritura en archivos que suelen ser objetivo de malware del tipo ransomware | Impide que los procesos contenidos puedan modificar archivos que suelen ser objetivo de malware del tipo ransomware. El malware de ransomware no suele intentar cambiar directamente los archivos destinados al cifrado. En su lugar, utiliza un proceso que ya está en el sistema, como Explorer .exe o PowerShell. exe, para proxy el ataque. Si se bloquean suficientes intentos, el malware puede recurrir a intentar cifrar el archivo directamente. |
✔ |
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: