Recomendamos que você desative as assinaturas de prevenção de exploração obsoletas listadas na tabela abaixo para reduzir os falsos positivos, a menos que você esteja usando-as para fins de monitoramento em seu ambiente.
A tabela a seguir descreve os produtos em que há suporte para as assinaturas e o tipo de reação padrão.
|
Produto/ambiente |
|
Host Intrusion Prevention
Prevenção de exploração |
Endpoint Security Prevenção contra ameaças
Prevenção de exploração |
ID de assinatura |
É compatível? |
Tipo de reação padrão |
É compatível? |
Tipo de reação padrão |
1148 |
Sim |
Disabled |
Não |
Não aplicável |
6015 |
Sim |
Disabled |
Sim |
Disabled |
A tabela a seguir fornece detalhes sobre o motivo pelo qual recomendamos que você desative essas assinaturas.
ID de assinatura |
Nome da assinatura |
Recomendação |
1148 |
Acesso à ferramenta CMD por um aplicativo com reconhecimento de rede |
Desativar esta assinatura.
Essa assinatura está obsoleta, pois os mecanismos de varredura antivírus existentes bloqueiam qualquer atividade malware que possa ser identificada. |
6015 |
Incompatibilidade de endereço de destino invocação de função suspeita |
Desativar esta assinatura.
Percebemos um recente aumento nos aplicativos e software que migram para a compilação just-in-time, na qual a assinatura 6015 pode gerar falsos positivos.
A assinatura 6015 é uma variante especial da assinatura de prevenção de exploração do Endpoint Security. Ele adiciona uma camada de proteção redundante contra a sobrecarga de buffer e explorações de corrupção de memória devido a outras assinaturas de prevenção de exploração fortes e genéricas disponíveis. As seguintes assinaturas genéricas de estouro de buffer podem capturar qualquer comportamento de exploração anterior no ciclo de vida da exploração:
- 428-estouro de buffer genérico
- 6012-invocação de função suspeita-retornar à API
- 6013-invocação de função suspeita-chamada não encontrada
- 6014-chamada de função suspeita-endereço de retorno ilegível
Se essas assinaturas estiverem ativadas, a assinatura 6015 poderá ser desativada sem comprometer a segurança. |
Para desativar uma assinatura de prevenção de exploração:
- Usando o console do ePolicy Orchestrator (ePO):
- Abra Catálogo de políticas, selecione Endpoint Security prevenção contra ameaçase localize a política que deseja alterar em prevenção de exploração.
- Edite a política. Todas as assinaturas são listadas em assinaturas.
- Localize a assinatura e faça as alterações necessárias.
- Clique em Salvar.
- Usando o console do Endpoint Security:
- Clique em prevenção contra ameaças, clique em Mostrar avançadoe navegue até prevenção de exploração.
- Localize a assinatura e faça as alterações necessárias.
- Clique em Aplicar.