Vous trouverez ci-dessous les vecteurs d’entrée courants. Cliquez sur les flèches pour développer la section que vous souhaitez afficher :

Email (E-mail)

• Phishing -cette technique utilise spam, la messagerie instantanée ou du texte pour tromper les utilisateurs et divulguer des informations personnelles. Par exemple, les numéros de carte de crédit, les informations de compte bancaire, les numéros de sécurité sociale, les mots de passe ou d’autres informations confidentielles. Les arnaqueurs Internet utilisent les appâts de messagerie pour "" de phishing pour les mots de passe et les données financières des utilisateurs Internet. Exemples : Google les campagnes de phishing, de phishing, de phishing, de SMS et de phishing, ainsi que de ransomware des campagnes de phishing.
• Spam : message électronique indésirable, le plus souvent non sollicité, les e-mails en masse. En général, spam est envoyé à plusieurs destinataires qui n’ont pas demandé à le recevoir. Les types incluent email spam, Instant Messaging spam, recherche Web-Engine spam, spam dans les blogs et les spam de messagerie de téléphone mobile. Le spam inclut des publicités légitimes, des publicités trompeuses, des tentatives d’extorsion et des messages de phishing conçus pour amener les destinataires à donner des informations personnelles et financières. Exemples : ransomware spam campagnes, un mécanisme de remise de messages MIME exploit et JS\Nemucod.
• Liens fictifs/malveillants : les e-mails malveillants contenant des liens vers des téléchargements de logiciels malveillants ou vers un site Web qui imite le site d’une entreprise réelle. Les e-mails visent principalement les sites financiers, afin de voler des informations confidentielles (mots de passe, numéros de compte et numéros de sécurité sociale). Exemples : sites Web et téléchargeurs falsifiés.
• Pièces jointes malveillantes : pièces jointes malveillantes envoyées par voie électronique, en général à partir d’une source inconnue. Exemples : les exploits DOC, PDF, JS, EXE et XLS, ainsi que les téléchargeurs.
• Usurpation : création d’e-mails envoyés pour tromper le destinataire, en fournissant un e-mail à partir d’une adresse e-mail falsifiée/factice. Exemples : tous les vecteurs d’e-mail.

Web

• Exploits de navigateur : code malveillant qui tire parti d’une faille ou d’une vulnérabilité dans le navigateur Web de la victime pour effectuer une certaine forme d’intention malveillante. Exemples : Chrome Zero-Day, débridage dans les iOS de lecteur, de téléchargement, de kit d’exploit et de déchâssis d’Apple.
• Redirection de navigateur/DNS : méthode utilisée pour diriger une personne ou quelque chose vers un autre endroit que celui qui était prévu. Les cybercriminels peuvent acheminer le trafic d’un site Web légitime vers un site Web contrefait. Exemples : JS\Redirectors, DNS\Changer et pirates de navigateur.
• Sites Web hébergeant des logiciels malveillants : les sites Web malveillants qui essaient d’installer des logiciels malveillants ou d’autres programmes indésirables sur votre système. Ces sites Web sont considérés comme dangereux, car ils exploitnt des vulnérabilités dans les navigateurs ou envoient des logiciels espions et d’autres logiciels indésirables aux utilisateurs. Exemples : Malvertising , réseaux de robots et Blacole .
• Accès direct, médias amovibles équipements infectés -logiciels malveillants ayant effectivement utilisé des supports amovibles pour éliminer l’écart physique entre Internet et les réseaux internes. Exemples : Stuxnet , BadUSB et Autoruns.

Other

• Ingénierie sociale : action de manipuler des personnes pour effectuer des actions ou divulguer des informations confidentielles. Elle s’appuie sur des interactions humaines, telles que tenter d’obtenir la confiance d’une personne par le biais d’un entourage ou d’une tromperie pour la collecte d’informations, la fraude ou l’accès au système informatique. Il peut prendre de nombreuses formes, en ligne et hors ligne. Techniques d’ingénierie sociale, généralement utilisées dans d’autres vecteurs, tels que l’hameçonnage (e-mail), les redirections (Web) et vishing (téléphone/autre). Exemples : phishing de Spear, quid pro quo et prétexte.
• Piratage de systèmes non fiables : personne ou groupe Defiant qui utilise des ordinateurs pour obtenir un accès non autorisé aux données ou aux réseaux afin de valider les actes illégaux. Le piratage de systèmes non fiables englobe la plupart des vecteurs d’hacktivism, de notoriety ou de gain financier.

Vous trouverez ci-dessous les contre-mesures. Cliquez pour passer à la section que vous souhaitez afficher :

• Protection adaptive contre les menaces ENS (ATP)
• ENS Confinement d’application dynamique (DAC)
• ENS Prévention contre les menaces interface d’analyse des logiciels malveillants (AMSI)
• Prévention contre les exploits ENS
• Règles expertes de prévention contre les exploits ENS
• Règles par défaut de protection de l’accès ENS
• Règles personnalisées de protection de l’accès ENS
• Règles de pare-feu ENS
• Règles par défaut de la protection de l’accès VSE
• Règles personnalisées de protection de l’accès VSE
• Signatures Host IPS
• MSME des stratégies antispam et d’analyse à l’accès
• Plus de recommandations utilisateur

Protection Adaptive contre les menaces ens (ATP)
Activez ou désactivez les paramètres des règles ci-dessous dans les paramètres serveur ePolicy Orchestrator (ePO) sous Protection adaptive contre les menaces. Il existe trois configurations différentes : productivité, équilibrage et sécurité. Les modifications apportées dans les paramètres serveur s’appliquent aux affectations de groupe de règles dans la stratégie options de ATP.

Nom de la règle	Numéro d’ID de règle	Etat par défaut
Utiliser la réputation des fichiers Enterprise pour identifier des fichiers approuvés ou malveillants	ID de règle 2	Activé par défaut
Utiliser la réputation des fichiers GTI pour identifier des fichiers approuvés ou malveillants	ID de règle 4	Activé par défaut
Identifier des fichiers suspects qui s'exécutent depuis le dossier d'itinérance	ID de règle 208	Activé par défaut
Identifier l'exécution suspecte de paramètres de commande	ID de règle 239	Activé par défaut
Empêcher les applications Office de démarrer les processus enfants qui peuvent exécuter des commandes script	ID de règle 300	Activé par défaut
Empêche de manière agressive que les applications Office génèrent des processus avec une réputation inconnue.	ID de règle 301	Observer par défaut
Identifier les charges actives suspectes ciblant des services ou des applications liées au réseau	ID de règle 307	Observer par défaut
Blocage des processus lors de la tentative de démarrage à partir des applications Office	ID de règle 309	Activé uniquement dans les stratégies haute sécurité
Empêcher mshta le démarrage par un processus pour toutes les affectations de groupe de règles	ID de règle 322	Activé par défaut

Retour au début

Ens confinement D’APPLICATION dynamique (DAC)
DAC est déclenché uniquement si la réputation du processus répond aux critères de réputation définis dans la stratégie options ATP. Lorsqu’un processus est contenu par DAC, il est soumis à la surveillance post-exécution et à toutes les règles activées dans la stratégie DAC.

• Règle : allocation de la mémoire dans un autre processus
• Règle : création d’un thread dans un autre processus
• Règle : création de fichiers à l’aide de la .bat extension
• Règle : création de fichiers à l’aide de la .exe extension
• Règle : création de fichiers à l’aide de la .job extension
• Règle : création de fichiers à l’aide de la .vbs extension
• Règle : suppression des fichiers fréquemment ciblés par les logiciels malveillants de la classe ransomware
• Règle : exécution de tout processus enfant
• Règle : modification des fichiers exécutables portables
• Règle : modification du bit d’attribut masqué
• Règle : modification de l’emplacement du registre des services
• Règle : modification des stratégies utilisateur
• Règle : modification des emplacements de registre de démarrage
• Règle : lecture à partir de la mémoire d’un autre processus
• Règle : suspension d’un processus
• Règle : arrêt d’un autre processus
• Règle : écriture dans la mémoire d’un autre processus
• Règle : écriture dans les fichiers couramment ciblés par les logiciels malveillants de la classe ransomware

Remarque : Pour connaître les meilleures pratiques, reportez-vous à la section : règles KB87843-confinement d’application dynamique et meilleures pratiques. De la même façon que les règles de protection de l’accès, testez toutes les règles du DAC pour éviter les interruptions dans votre environnement.

Retour au début

Ens prévention contre les menaces interface d’analyse des logiciels malveillants (AMSI)
Activez l’intégration à AMSI. AMSI fournit une analyse de script améliorée. AMSI est une norme d’interface générique qui permet aux applications et aux services de s’intégrer à Prévention contre les menaces, ce qui offre une meilleure protection contre les logiciels malveillants. Microsoft fournit AMSI. AMSI est pris en charge sur les systèmes Windows 10 et Windows Server 2016 (et versions ultérieures). Utilisez AMSI pour améliorer l’analyse des menaces dans les scripts non basés sur le navigateur, tels que PowerShell, WScript et CScript .

Retour au début

Prévention contre les exploits ens
Toutes les signatures ci-dessous sont désactivées par défaut.

• 344 : création d’un nouveau programme de démarrage
• 2844 : vulnérabilité de type débordement de mémoire tampon du module Microsoft Word WordPerfect5 Converter
• 6073 : contournement de la stratégie d’exécution dans PowerShell
• 6075 : exécution du script à distance par l’utilitaire Windows de base
• 6087 : restriction de commande PowerShell-EncodedCommand
• 6105 : restriction de commande de script Windows-mode de traitement par lots
• 6107 : MS Word tentant d’exécuter des programmes indésirables
• 6108 : PowerShell-script exécution de chaîne de téléchargement suspecte
• 6109 : PowerShell-exécution de script WMI suspecte
• 6113 : menace sans fichier : auto-injection réfléchissante
• 6121 : menace sans fichier : auto-injection code Shell
• 6131 : infection d’objets OLE armements via WMI
• 6153 : comportement de logiciel malveillant : Ryuk activité ransomware détectée

Retour au début

Règles expertes de prévention contre les exploits ens
Vous trouverez ci-dessous une règle avancée de niveau expert pour l’ID de règle de prévention contre les exploits 6107 " MS Word tentant d’exécuter des programmes indésirables" avec une protection supplémentaire pour les menaces qui exécutent d’autres programmes. Si vous mettez en œuvre cette règle d’expert, désactivez la prévention contre les exploits signature 6107.

Rule Name: "Prevent MS Office from executing unwanted programs (enhanced)"

Rule {
Process {
Include OBJECT_NAME { -v excel.exe }
Include OBJECT_NAME { -v powerpnt.exe }
Include OBJECT_NAME { -v winword.exe }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
Include -access "CREATE"
}

Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
#PROCESS_VM_WRITE
Include -nt_access "!0x0020"
}
}
}

Retour au début

Règles par défaut de protection de l’accès ens
Toutes les règles ci-dessous sont désactivées par défaut.

• Règle : création de nouveaux fichiers exécutables dans le dossier Windows
• Règle : empêcher CScript.exe ou WScript.exe de créer des fichiers dans Windows répertoire Temp, ses sous-dossiers et le dossier utilisateur commun
• Règle : enregistrement de programmes pour l’exécution automatique

Retour au début

Règles personnalisées de protection de l’accès ens
Vous trouverez ci-dessous les détails de quatre règles personnalisées.

Rule1 personnalisé :
Executable1 :
inclusion : include
Nom ou chemin d’accès du fichier : winword.exe



Executable2 :
inclusion : include
Nom ou chemin d’accès du fichier : excel.exe



Executable3 :
inclusion : include
Nom ou chemin d’accès du fichier : eqnedt32.exe



SubRule1 :
SubRule type : fichiers
Opérations : Effectuez
Target1 :
inclusion : include
Fichier, nom de dossier ou chemin d’accès au fichier : cmd.exe



SubRule2 :
SubRule type : fichiers
Opérations : Effectuez
TARGET2 :
inclusion : include
Fichier, nom de dossier ou chemin d’accès au fichier : mshta.exe



SubRule3 :
SubRule type : fichiers
Opérations : Effectuez
Target3 :
inclusion : include
Fichier, nom de dossier ou chemin d’accès au fichier : powershell.exe



Rule2 personnalisé :
Executable1 :
inclusion : include
Nom ou chemin d’accès du fichier : powershell.exe



Executable2 :
inclusion : include
Nom ou chemin d’accès du fichier : cmd.exe



SubRule1 :
SubRule type : fichiers
Opérations : Effectuez
Target1 :
inclusion : include
Fichier, nom de dossier ou chemin d’accès au fichier : SchTasks.exe



Rule3 personnalisé :
Executable1 :
inclusion : include
Nom ou chemin d’accès du fichier :?script.exe


SubRule1 :
SubRule type : Files
Opérations : Effectuez
Target1 :
inclusion : include
Fichier, nom de dossier ou chemin d’accès au fichier : powershell.exe



Remarque : vous pouvez éventuellement modifier les Rule3 personnalisées pour ajouter des fichiers vbs, dll, bat, js, ps1, SCT et doc. Les emplacements cibles suivants sont destinés à une approche légèrement agressive :

• ?:\programdata\*\*.exe
• ?:\users\Public\*.exe
• ?:\users\*\appdata\local\temp\*\*.exe
• ?:\users\*\appdata\roaming\*.exe

Rule4 personnalisé :
Executable1 :
inclusion : include
Nom ou chemin d’accès au fichier :winword.exe (une approche plus agressive consiste à utiliser * en tant qu’exécutable unique, ce qui rend les fichiers exécutables 2 à 4 inutiles.)



Executable2 :
inclusion : include
Nom ou chemin d’accès du fichier : excel.exe



Executable3 :
inclusion : include
Nom ou chemin d’accès du fichier : ?script.exe



Executable4 :
inclusion : include
Nom ou chemin d’accès du fichier : powershell.exe



SubRule1 :
SubRule type : fichiers
Opérations : Création et exécution
Target1 :
inclusion : include
Fichier, nom de dossier ou chemin d’accès au fichier : ?:\users\*\*.exe

Remarque : l’exemple de règle illustre une approche plus agressive.



Règle personnalisée 5 : empêcher l’exécution de powershell.exe par wmiprvse.exe

Remarque : cette règle empêche l’exécution de l’mer ePO. Vous devez désactiver cette règle sur le système cible lorsque vous tentez d’exécuter le MER ePO.

Executable1 :
inclusion : include
Nom ou chemin d’accès du fichier : wmiprvse.exe



SubRule1 :
SubRule type : Files
Opérations : Effectuez
Target1 :
inclusion : include
Fichier, nom de dossier ou chemin d’accès au fichier : powershell.exe



Retour au début

Règles de pare-feu ens
Vous trouverez ci-dessous les détails des règles de pare-feu.

• Executable1: powershell.exe
• Executable2: ?script.exe
• Executable3: winword.exe
• Executable4: excel.exe

Remarque : Le processus a également été ajouté, mais ne peut pas être vu sans faire défiler la excel.exe liste.

Vous devez également créer des listes d’autorisation appropriées en fonction du trafic légitime généré par ces applications. Par exemple, si vous utilisez Office 365 et limitez les ordinateurs de votre réseau à se connecter à Internet, incluez les postes clients dans vos listes d’autorisation sortantes. L’inclusion dans vos listes d’autorisation sortantes garantit que vos ordinateurs sont en mesure d’utiliser correctement Office 365. Les postes clients sont des noms de domaine complets, des ports, des URL, des intervalles d’adresses IPv4 et des intervalles d’adresses IPv6. Elles sont décrites dans cet article sur les URL et les intervalles d’adresses IP d’Office 365.

Retour au début

Règles par défaut de la protection de l’accès VSE
Toutes les règles ci-dessous sont désactivées ou définies sur rapport uniquement par défaut.

• Règle : Anti-spyware protection maximale : empêcher l’exécution de scripts à partir du dossier Temp
• Règle : Anti-virus protection maximale : empêcher svchost l’exécution de fichiers exécutables non Windows
• Règle : Partagés protection maximale : empêcher la création de nouveaux fichiers exécutables dans le dossier Windows
• Règle : Partagés protection maximale : empêcher les programmes de s’enregistrer en tant que service

Retour au début

Règles personnalisées de protection de l’accès VSE
Vous trouverez ci-dessous les détails de six règles personnalisées.

Type de règle : Règle de blocage de fichier/dossier
Processus à inclure : winword.exe, excel.exe , eqnedt32.exe
Nom de fichier ou de dossier à bloquer : cmd.exe
actions sur les fichiers à empêcher : exécuter



Type de règle : Règle de blocage de fichier/dossier
Processus à inclure : winword.exe, excel.exe , eqnedt32.exe
Nom de fichier ou de dossier à bloquer : mshta.exe
actions sur les fichiers à empêcher : exécuter



Type de règle : Règle de blocage de fichier/dossier
Processus à inclure : winword.exe, excel.exe , eqnedt32.exe
Nom de fichier ou de dossier à bloquer : powershell.exe
actions sur les fichiers à empêcher : exécuter



Type de règle : Règle de blocage de fichier/dossier
Processus à inclure : powershell.exe, cmd.exe
Nom de fichier ou de dossier à bloquer : SchTasks.exe
actions sur les fichiers à empêcher : exécuter



Type de règle : Règle de blocage de fichier/dossier
Processus à inclure : ?script.exe
nom de fichier ou de dossier à bloquer : powershell.exe
actions de fichier à empêcher : exécuter