Abaixo estão os vetores de entrada comuns. Clique nas setas para expandir a seção que você deseja exibir:

E-mail

• Phishing -essa técnica usa spam, mensagens instantâneas ou texto para enganar as pessoas a fim de divulgar informações pessoais. Por exemplo, números de cartão de crédito, informações de contas bancárias, números de CPF, senhas ou outras informações confidenciais. Os golpistas da Internet usam isca de e-mail para "" de phishing para senhas e dados financeiros de usuários da Internet. Exemplos: Google campanhas de phishing de DocuSign Doc, spear phishing, phishing e SMS e campanhas de phishing da ransomware.
• Spam -uma mensagem eletrônica indesejada, com mais frequência, e-mails em massa não solicitados. Normalmente, o spam é enviado a vários destinatários que não solicitaram o recebimento. Os tipos incluem spam de e-mail, mensagens instantâneas spam, Web Search-mecanismo spam, spam em Blogs e spam de mensagens de telefone celular. O spam inclui anúncios legítimos, anúncios enganosos, tentativas de extorsão e mensagens de phishing desenvolvidas para enganar os destinatários a fim de fornecer informações pessoais e financeiras. Exemplos: ransomware spam campanhas, um mecanismo de entrega MIME de exploração e JS\Nemucod.
• Links falsos/maliciosos -e-mails maliciosos que contêm links para downloads malware ou para um site que imita o site de uma empresa real. Os e-mails de destino são principalmente sites financeiros, para roubar informações privadas (senhas, números de conta e números de CPF). Exemplos: sites falsificados e downloaders.
• Anexos maliciosos -anexos maliciosos enviados eletronicamente, geralmente de uma origem desconhecida. Exemplos: explorações de DOC, PDF, JS, EXE e XLS e downloaders.
• Spoofing -criação de e-mails enviados para enganar o destinatário, entregando e-mails de um endereço de e-mail forjado/falso. Exemplos: todos os vetores de e-mail.

Web

• Explorações de navegador -código de malware que tira proveito de uma falha ou vulnerabilidade por meio do navegador da Web da vítima, para realizar alguma forma de intenção maliciosa. Exemplos: Chrome zero-day, jailbreak na iOS da Apple, por download, por kits de exploração e por injeção de I-frame.
• Redirecionamento de navegador/DNS -um método usado para direcionar alguém ou algo para um local diferente do desejado. O os cibercriminosos pode direcionar o tráfego de um site legítimo para um site falsificado. Exemplos: JS\Redirectors, DNS\Changer e seqüestradores de navegador.
• Malware que hospeda sites -sites maliciosos que tentam instalar malware ou outros programas indesejados em seu sistema. Esses sites são considerados perigosos porque exploram as vulnerabilidades do navegador ou enviam spyware e outros programas indesejados para os usuários. Exemplos: Malvertising , redes de rede de bots e Blacole .
• Acesso direto, dispositivos infectados de mídia removível -malware que usa eficientemente mídia removível para eliminar a lacuna física entre a Internet e redes internas. Exemplos: Stuxnet , BadUSB e autoruns.

Outro

• Engenharia social -o ato de manipular pessoas para executar ações ou divulgar informações confidenciais. Ele se baseia em interações humanas, como a tentativa de obter a confiança de alguém por meio de uma vaza ou de uma enganação para a coleta de informações, fraudes ou acesso ao sistema do computador. Pode ser necessário ter muitas formas, tanto on-line quanto off-line. Técnicas de engenharia social, geralmente cruzadas em outros vetores, como phishing (e-mail), redirecionamentos (Web) e vishing (telefone/outros). Exemplos: spear phishing, quid pro quo e pretexto.
• Hacking não autorizado -uma pessoa ou um grupo do Defiant que usa computadores para obter acesso não autorizado a dados ou redes para confirmar atos ilegais. Os hackers não autorizados abrangem a maioria dos vetores para Hacktivism, notoriety ou ganho financeiro.

Abaixo estão as contramedidas. Clique para ir para a seção que você deseja exibir:

• Proteção adaptável contra ameaças (ATP) do ENS
• ENS Confinamento dinâmico de aplicativos (DAC)
• Interface de varredura antimalware do ENS Prevenção contra ameaças (AMSI)
• Prevenção de exploração do ENS
• Regras de especialista em prevenção de exploração do ENS
• Regras padrão da proteção de acesso ENS
• Regras personalizadas da proteção de acesso do ENS
• Regras de Firewall do ENS
• Regras padrão da proteção de acesso do VSE
• Regras personalizadas da proteção de acesso do VSE
• Assinaturas do host IPS
• MSME antispam e políticas de varredura ao acessar
• Mais recomendações para o usuário

ENS proteção adaptável contra ameaças (ATP)
Ativar ou desative as configurações das regras abaixo nas configurações do servidor ePolicy Orchestrator (ePO) em Proteção adaptável contra ameaças. Existem três configurações diferentes: produtividade, equilibrado e segurança. As alterações feitas nas configurações do servidor aplicam-se a atribuições de grupos de regras na política opções de ATP.

Nome da regra	Número de ID da regra	Status padrão
Usar a reputação de arquivos do Enterprise para identificar arquivos confiáveis ou maliciosos	ID da regra 2	Ativado por padrão
Usar a reputação de arquivos do GTI para identificar arquivos confiáveis ou maliciosos	ID da regra 4	Ativado por padrão
Identificar arquivos suspeitos executados da pasta Roaming	ID da regra 208	Ativado por padrão
Identificar execução de parâmetro de comando suspeito	ID da regra 239	Ativado por padrão
Impedir que aplicativos do Office iniciem processos filho que podem executar comandos script	ID da regra 300	Ativado por padrão
Bloqueia agressivamente processos com reputações desconhecidas de serem gerados por aplicativos do Office	ID da regra 301	Observar por padrão
Identificar cargas suspeitas que visam serviços ou aplicativos relacionados à rede	ID da regra 307	Observar por padrão
Bloquear processos tentando iniciar a partir de aplicativos do Office	ID da regra 309	Ativado somente em políticas de alta segurança
Impedir mshta que o seja iniciado por qualquer processo para todas as atribuições de grupo de regras	ID da regra 322	Ativado por padrão

Voltar ao início

ENS confinamento dinâmico de aplicativos (DAC)
O DAC é disparado apenas se a reputação do processo atender aos critérios de reputação definidos na política de opções do ATP. Quando um processo está contido no DAC, ele está sujeito ao monitoramento de execução de postagens e a quaisquer regras ativadas na política DAC.

• Regra: alocação de memória em outro processo
• Regra: criação de um thread em outro processo
• Regra: criação de arquivos com a .bat extensão
• Regra: criação de arquivos com a .exe extensão
• Regra: criação de arquivos com a .job extensão
• Regra: criação de arquivos com a .vbs extensão
• Regra: exclusão de arquivos comumente visados por malware de classe de ransomware
• Regra: execução de qualquer processo filho
• Regra: modificação de arquivos executáveis portáteis
• Regra: modificação do bit de atributo oculto
• Regra: modificação do local do registro de serviços
• Regra: modificação de políticas de usuário
• Regra: modificação dos locais do registro de inicialização
• Regra: leitura da memória de outro processo
• Regra: suspendendo um processo
• Regra: encerramento de outro processo
• Regra: gravação em outro processo ' memória
• Regra: gravação em arquivos comumente visados por malware de classe de ransomware

Nota: Para obter práticas recomendadas, consulte: regras de KB87843-confinamento dinâmico de aplicativos e práticas recomendadas. Semelhante às regras de proteção de acesso, teste todas as regras de DAC para evitar interrupções no seu ambiente.

Voltar ao início

Interface de varredura antimalware do ens prevenção contra ameaças (AMSI)
Ativar integração com o AMSI. O AMSI oferece varredura de script aprimorada. A AMSI é um padrão de interface genérica que permite a integração de aplicativos e serviços com a Prevenção contra ameaças, proporcionando uma melhor proteção contra malware. Microsoft fornece AMSI. O AMSI é compatível com os sistemas Windows 10 e Windows Server 2016 (e posterior). Use o AMSI para aprimorar a varredura de ameaças em scripts não baseados em navegador, como o PowerShell, WScript o e CScript o.

Voltar ao início

Prevenção de exploração do ens
Todas as assinaturas abaixo estão desativadas por padrão.

• 344: nova criação de programa de inicialização
• 2844: Microsoft Word vulnerabilidade de estouro de buffer do módulo conversor de WordPerfect5 do
• 6073: bypass de política de execução no PowerShell
• 6075: execução de script remoto pelo utilitário Core do Windows
• 6087: restrição de comando PowerShell-EncodedCommand
• 6105: restrição de comando de script Windows-modo de lote
• 6107: MS Word tentando executar programas indesejados
• 6108: PowerShell-cadeia de download dessuspeitas script execução
• 6109: PowerShell-execução de script de WMI suspeita
• 6113: ameaça sem arquivo: auto-injeção reflexiva
• 6121: ameaça sem arquivo: Shell auto-injeção
• 6131: infecção de objeto OLE atarmado via WMI
• 6153: comportamento de malware: Ryuk atividade de ransomware detectada

Voltar ao início

Regras de especialista em prevenção de exploração do ens
Abaixo encontra-se uma regra avançada de nível de especialista para a prevenção contra exploração ID 6107 " MS Word tentando executar programas indesejados" com proteção adicional para ameaças que executam outros programas. Se você implementar esta regra de especialista, desative a assinatura da prevenção de exploração 6107.

Rule Name: "Prevent MS Office from executing unwanted programs (enhanced)"

Rule {
Process {
Include OBJECT_NAME { -v excel.exe }
Include OBJECT_NAME { -v powerpnt.exe }
Include OBJECT_NAME { -v winword.exe }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
Include -access "CREATE"
}

Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
#PROCESS_VM_WRITE
Include -nt_access "!0x0020"
}
}
}

Voltar ao início

Regras padrão da proteção de acesso ENS
Todas as regras abaixo estão desativadas por padrão.

• Regra: criação de novos arquivos executáveis na pasta Windows
• Regra: impedir CScript.exe ou WScript.exe de criar arquivos no diretório Windows Temp, em suas subpastas e na pasta de usuário comum
• Regra: registro de programas para execução automática

Voltar ao início

Regras personalizadas da proteção de acesso do ens
Abaixo estão os detalhes de quatro regras personalizadas.

Rule1 personalizado
: Executable1:
inclusão: include
Nome do arquivo ou caminho: winword.exe



Executable2:
inclusão: incluir
Nome do arquivo ou caminho: excel.exe



Executable3:
inclusão: incluir
Nome do arquivo ou caminho: eqnedt32.exe



SubRule1:
SubRule tipo: arquivos
Operações: Executa
Target1:
inclusão: incluir
Arquivo, nome da pasta ou caminho de arquivo: cmd.exe



SubRule2:
SubRule tipo: arquivos
Operações: Executa
TARGET2:
inclusão: incluir
Arquivo, nome da pasta ou caminho de arquivo: mshta.exe



SubRule3:
SubRule tipo: arquivos
Operações: Executa
Target3:
inclusão: incluir
Arquivo, nome da pasta ou caminho de arquivo: powershell.exe



Rule2 personalizado
: Executable1:
inclusão: include
Nome do arquivo ou caminho: powershell.exe



Executable2:
inclusão: incluir
Nome do arquivo ou caminho: cmd.exe



SubRule1:
SubRule tipo: arquivos
Operações: Executa
Target1:
inclusão: incluir
Arquivo, nome da pasta ou caminho de arquivo: SchTasks.exe



Rule3 personalizado
: Executable1:
inclusão: include
Nome do arquivo ou caminho:?script.exe


SubRule1:
SubRule tipo: arquivos
Operações: Executa
Target1:
inclusão: incluir
Arquivo, nome da pasta ou caminho de arquivo: powershell.exe



Observação: você pode como alternativa modificar o Rule3 personalizado para adicionar vbs, dll, bat, js, ps1, SCT e Doc. Os locais de destino a seguir destinam-se a uma abordagem levemente agressiva:

• ?:\programdata\*\*.exe
• ?:\users\Public\*.exe
• ?:\users\*\appdata\local\temp\*\*.exe
• ?:\users\*\appdata\roaming\*.exe

Rule4 personalizado
: Executable1:
inclusão: include
Nome ou caminho do arquivo:winword.exe (uma abordagem mais agressiva é usar * como um único executável, tornando os executáveis 2 – 4 desnecessários.)



Executable2:
inclusão: incluir
Nome do arquivo ou caminho: excel.exe



Executable3:
inclusão: incluir
Nome do arquivo ou caminho: ?script.exe



Executable4:
inclusão: incluir
Nome do arquivo ou caminho: powershell.exe



SubRule1:
SubRule tipo: arquivos
Operações: Criar e executar
Target1:
inclusão: incluir
Arquivo, nome da pasta ou caminho de arquivo: ?:\users\*\*.exe

Observação: a regra de exemplo representa a abordagem mais agressiva.



Regra personalizada 5: impedir a execução powershell.exe por wmiprvse.exe

Observação: essa regra impede que o ePO Mer seja executado. Você precisa desativar essa regra no sistema de destino ao tentar executar o MER do ePO.

Executable1:
inclusão: incluir
Nome do arquivo ou caminho: wmiprvse.exe



SubRule1:
SubRule tipo: arquivos
Operações: Executa
Target1:
inclusão: incluir
Arquivo, nome da pasta ou caminho de arquivo: powershell.exe



Voltar ao início

Regras de firewall do ens
Abaixo estão os detalhes das regras de Firewall.

• Executable1: powershell.exe
• Executable2: ?script.exe
• Executable3: winword.exe
• Executable4: excel.exe

Nota: O excel.exe processo também foi adicionado, mas não pode ser visto sem a rolagem para baixo.

Você também precisaria criar as listas de permissão apropriadas com base no tráfego legítimo gerado por esses aplicativos. Por exemplo, se você usar o Office 365 e impedir que os computadores da rede se conectem à Internet, inclua os pontos de extremidade nas listas de permissão de saída. A inclusão nas listas de permissão de saída garante que os seus computadores possam usar o Office 365 com êxito. Os pontos de extremidade são nomes de domínio totalmente qualificados, portas, URLs, intervalos de endereços IPv4 e intervalos de endereços IPv6. Eles são descritos neste artigo sobre URLs e faixas de endereços IP do Office 365.

Voltar ao início

Regras padrão da proteção de acesso do VSE
Todas as regras a seguir são desativadas ou definidas como relatar somente por padrão.

• Regra: Anti-spyware proteção máxima: impedir a execução de scripts na pasta Temp
• Regra: Anti-virus proteção máxima: impedir svchost a execução de executáveis que não são Windows
• Regra: Em Comum proteção máxima: impedir a criação de novos arquivos executáveis na pasta Windows
• Regra: Em Comum proteção máxima: impedir programas que estejam se registrando como um serviço

Voltar ao início

Regras personalizadas da proteção de acesso do VSE
Abaixo estão os detalhes de seis regras personalizadas.

Tipo de regra: Regra de bloqueio de arquivo/pasta
Processo para incluir: winword.exe, excel.exe , eqnedt32.exe
Nome do arquivo ou pasta a ser bloqueado: cmd.exe
ações de arquivo a serem impedidas: execute



Tipo de regra: Regra de bloqueio de arquivo/pasta
Processo para incluir: winword.exe, excel.exe , eqnedt32.exe
Nome do arquivo ou pasta a ser bloqueado: mshta.exe
ações de arquivo a serem impedidas: execute



Tipo de regra: Regra de bloqueio de arquivo/pasta
Processo para incluir: winword.exe, excel.exe , eqnedt32.exe
Nome do arquivo ou pasta a ser bloqueado: powershell.exe
ações de arquivo a serem impedidas: execute



Tipo de regra: Regra de bloqueio de arquivo/pasta
Processo a ser incluído: powershell.exe, cmd.exe
Nome do arquivo ou pasta a ser bloqueado: SchTasks.exe
ações de arquivo a serem impedidas: execute



Tipo de regra: Regra de bloqueio de arquivo/pasta
Processo a ser incluído: ?script.exe
nome do arquivo ou pasta a ser bloqueado: powershell.exe
ações de arquivo a serem impedidas: execute