Il est conseillé de désactiver les signatures obsolètes de prévention contre les exploits répertoriées dans le tableau ci-dessous pour réduire le nombre de faux positifs, à moins que vous ne les utilisiez à des fins de surveillance dans votre environnement.
Le tableau suivant décrit les produits sur lesquels les signatures sont prises en charge, ainsi que le type de réaction par défaut.
|
Produit/environnement |
|
Host Intrusion Prevention
Prévention contre les exploits |
Endpoint Security Prévention contre les menaces
Prévention contre les exploits |
ID de signature |
Est-il pris en charge ? |
Type de réaction par défaut |
Est-il pris en charge ? |
Type de réaction par défaut |
1148 |
Oui |
Désactivé |
Non |
Non applicable |
6015 |
Oui |
Désactivé |
Oui |
Désactivé |
Le tableau suivant fournit des détails sur la raison pour laquelle nous vous recommandons de désactiver ces signatures.
ID de signature |
Nom de la signature |
Recommandation |
1148 |
Accès d'une application compatible avec les réseaux à un outil CMD |
Désactivez cette signature.
Cette signature est obsolète, car les analyseurs antivirus existants bloquent toute activité de logiciels malveillants qu’elle peut identifier. |
6015 |
Appel de fonction suspecte - Non-concordance des adresses de destination |
Désactivez cette signature.
Nous avons remarqué une augmentation récente des applications et des logiciels qui se déplacent vers la compilation juste-à-temps, où la signature 6015 peut générer des faux positifs.
La signature 6015 est une variante spéciale du signature de prévention contre les exploits Endpoint Security. Il ajoute un niveau de protection redondant contre les exploits de débordement de mémoire tampon et de corruption de la mémoire, en raison d’autres signatures de prévention contre les exploits fortes et génériques disponibles. Les signatures de débordement de mémoire tampon génériques suivantes peuvent intercepter ce comportement exploit plus tôt dans le cycle de vie du exploit :
- 428-débordement de mémoire tampon générique
- 6012-invocation de fonction suspecte-retour à l’API
- 6013-invocation de fonction suspecte-appel introuvable
- 6014-invocation de fonction suspecte-adresse de retour illisible
Si ces signatures sont activées, signature 6015 peut être désactivée sans compromettre la sécurité. |
Pour désactiver un signature de prévention contre les exploits :
- A l’aide de la console ePolicy Orchestrator (ePO), procédez comme suit :
- Ouvrez catalogue de stratégies, sélectionnez Endpoint Security prévention contre les menaces, puis recherchez la stratégie que vous souhaitez modifier sous prévention contre les exploits.
- Modifiez la stratégie. Toutes les signatures sont répertoriées sous signatures.
- Recherchez le signature, puis apportez les modifications nécessaires.
- Cliquez sur Enregistrer.
- A l’aide de la console Endpoint Security :
- Cliquez sur prévention contre les menaces, puis sur afficher les paramètres avancéset accédez à prévention contre les exploits.
- Recherchez le signature, puis apportez les modifications nécessaires.
- Cliquez sur Appliquer.