Si consiglia di disattivare le firme obsolete di prevenzione exploit elencate nella tabella riportata di seguito per ridurre i falsi positivi, a meno che non vengano utilizzati per scopi di monitoraggio nel proprio ambiente.
Nella tabella riportata di seguito sono descritti i prodotti sui quali sono supportate le firme e il tipo di reazione predefinito.
|
Prodotto/ambiente |
|
Host Intrusion Prevention
Prevenzione exploit |
Prevenzione delle minacce Endpoint Security
Prevenzione exploit |
ID firma |
È supportato? |
Tipo di reazione predefinito |
È supportato? |
Tipo di reazione predefinito |
1148 |
Sì |
Disabled |
No |
Non applicabile |
6015 |
Sì |
Disabled |
Sì |
Disabled |
Nella tabella riportata di seguito vengono fornite informazioni dettagliate sul motivo per cui si consiglia di disattivare queste firme.
ID firma |
Nome firma |
Suggerimento |
1148 |
Accesso allo strumento CMD da parte di un'applicazione network aware |
Disattivare questa firma.
Questa firma è obsoleta perché gli scanner antivirus esistenti bloccano le attività di malware che può identificare. |
6015 |
Chiamata di funzione sospetta-non corrispondenza dell'indirizzo di destinazione |
Disattivare questa firma.
Abbiamo notato un recente aumento delle applicazioni e del software che passa alla compilation just-in-time, in cui Signature 6015 può generare falsi positivi.
Signature 6015 è una variante speciale della Endpoint Security firma di prevenzione exploit. Aggiunge un livello di protezione ridondante contro l'overflow del buffer e gli exploit di danneggiamento della memoria a causa di altre firme di prevenzione exploit potenti e generiche disponibili. Le firme di overflow del buffer generiche riportate di seguito possono intercettare un comportamento exploit precedente nel ciclo di vita exploit:
- 428-overflow del buffer generico
- 6012-chiamata di funzione sospetta-Return to API
- 6013-richiamo di funzioni sospette-chiamata non trovata
- 6014-chiamata di funzione sospetta-indirizzo di ritorno non leggibile
Se queste firme sono attivate, Signature 6015 può essere disattivata senza compromettere la sicurezza. |
Per disattivare una firma di prevenzione exploit:
- Utilizzo della console di ePolicy Orchestrator (ePO):
- Aprire Catalogo delle policy, selezionare Endpoint Security prevenzione delle minaccee individuare il Policy che si desidera modificare in prevenzione exploit.
- Modificare il policy. Tutte le firme sono elencate in firme.
- Individuare la firma e apportare le modifiche necessarie.
- Fare clic su Salva.
- Utilizzo della console di Endpoint Security:
- Fare clic su prevenzione delle minacce, fare clic su Mostra avanzatee passare a prevenzione exploit.
- Individuare la firma e apportare le modifiche necessarie.
- Fare clic su Applica.