Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 18 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.
Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Le lien SIEM ESM a été mis à jour pour le Guide produit.
Pour recevoir une notification par e-mail lorsque cet article est mis à jour, cliquez sur S'inscrire sur la droite de la page. Vous devez être connecté pour vous inscrire.
Nous avons connaissance de la vulnérabilité récente liée à l’usurpation de Windows CryptoAPI (CVE-2020-0601). Nous disposons d’une technologie en développement pour détecter la vulnérabilité et effectuer actuellement des tests d’efficacité et d’assurance qualité rigoureux.
Nous vous recommandons vivement de procéder au déploiement rapide des patchs Microsoft publiés le 14 janvier 2020. Nos produits sont compatibles avec toutes les mises à jour publiées dans la mise à jour du patch mardi de janvier.
Nous avons également publié un fichier DAT supplémentaire qui est joint à cet article pour le téléchargement. Nous recommandons vivement aux clients de déployer ce fichier DAT supplémentaire.
Les produits suivants détectent cette menace et fournissent aux organisations les moyens de réagir en temps opportun :
SIEM peut détecter exploit tentatives de cette vulnérabilité. Lorsqu’un client déploie la mise à jour Windows pour corriger la vulnérabilité dans CVE-2020-0601, le système d’exploitation commence à générer un événement Windows lorsqu’une tentative d’exploit est détectée. La source d’événement est soit "audit-CVE" soit "Microsoft-Windows-audit-CVE".
De nouvelles règles ont été chargées sur le serveur de contenu avec de nouveaux ID signature que les clients peuvent désormais utiliser pour créer des alarmes. Les clients peuvent obtenir automatiquement cette règle lors de leur prochaine mise à jour ou lancer manuellement une mise à jour des règles pour des mises à jour plus rapides. Pour plus d’informations, reportez-vous à la section "vérification des mises à jour des règles" dans le Guide produit d’Enterprise Security Manager 11.5.x. Les nouveaux ID de signature sont 43 – 458000010 et 43 – 459000010.
Si un client ne dispose pas des règles les plus récentes, SIEM auto-apprend l’événement et lui attribue un ID signature de 43 – 2978558213 ou 43 – 3364295324. L’ID de signature affecté dépend de la source d’événement utilisée.
La version 2.2.0 SIEM Microsoft Windows Content Pack et les versions ultérieures sont mises à jour avec une alarme préconfigurée que les clients peuvent activer. Nous vous recommandons de mettre à jour les clients vers la dernière version du Pack de contenu.
Les nouveaux ID de signature à surveiller sont les suivants :
ID de signature
Message de la règle
43–2978558213
1-audit-CVE
43–3364295324
1-Microsoft-Windows-audit-CVE
43–458000010
Vulnérabilité de type usurpation dans Windows CryptoAPI (CVE-2020-0601)
43–459000010
Vulnérabilité de type usurpation dans Windows CryptoAPI (CVE-2020-0601)
McAfee Active Response peut détecter des tentatives de exploit pour cette vulnérabilité. Pour identifier les équipements impliqués récemment lors d’une tentative de exploit, vous pouvez utiliser le catalogue active Response pour créer un collecteur personnalisé. Ensuite, utilisez la recherche active Response pour exécuter une requête à l’aide de ce collecteur.
Le collecteur personnalisé créé par le client récupère Windows informations du journal des événements à partir d’Microsoft-Windows-audit-fournisseur CVE.
Saisissez l’expression suivante dans la zone de recherche :HostInfo hostname and NSACryptEvents where NSACryptEvents id not equals ""
Interprétation des résultats
Le résultat est la liste des équipements sur lesquels une mise à jour de sécurité a été appliquée et des tentatives exploit de cette vulnérabilité ont été récemment apportées.
Seuls les équipements dont l’état de connexion est en ligne ou en quarantaine répondent à la recherche.
Rechercher des équipements sur lesquels la mise à jour de sécurité est appliquée
Connectez-vous à ePO.
Accédez à menu, recherche active Response.
Saisissez l’expression suivante dans la zone de recherche : InstalledUpdates where InstalledUpdates hotfix_id equals "KB4528760"
Interprétation des résultats
Le résultat est la liste des équipements sur lesquels KB4528760 est appliqué.
Seuls les équipements dont l’état de connexion est en ligne ou en quarantaine répondent à la recherche.
Remplacez par la liste suivante de numéros KB et vous pouvez obtenir la liste des équipements à l’aide de la mise à jour de sécurité appliquée :
L’équipe Network Security Platform a publié une version 10.8.3.3 d’urgence signature Set Release le 15 janvier 2020 pour détecter cette vulnérabilité. Le signature porte le nom et l’ID d’attaque suivants :
Nom de l’attaque : http : Microsoft Windows vulnérabilité de type usurpation liée à CryptoAPI (CVE-2020-0601)
ID d’attaque : 0x45273900
Voir KB55446-mise à jour du jeu de signatures de sécurité réseau pour les notes de publication et informations supplémentaires sur la version du jeu de signature d’urgence. Remarque : Le contenu référencé est uniquement disponible pour les utilisateurs de ServicePortal consignés. Pour afficher le contenu, cliquez sur le lien et connectez-vous lorsque vous y êtes invité.
Les signatures suivantes pour CVE-2020-0601 ont été publiées dans le cadre de la mise à jour quotidienne du contenu (DAT/AMCORE) le 24 janvier 2020 :
V2: 9510 (VSE)
V3: 3961.0 (ENS)
Cette détection dépend de GTI et se produit uniquement lorsque GTI est activé. Pour les systèmes sur lesquels GTI n’est pas activé, ou pour les environnements qui ne sont pas connectés à Internet, utilisez le fichier extra .DAT joint au présent article.
Extra. DAT
Remarque : Le fichier extra .DAT qui a été chargé dans cet article le 16 janvier 2020 a été supprimé. Un fichier extra. DAT mis à jour (publié en janvier 21, 2020) est désormais disponible en téléchargement dans la section pièces jointes de cette base de connaissances.
Nous avons créé une détection générique pour protéger les terminaux contre l’exploitation de cette vulnérabilité (CVE-2020-0601). Ce fichier extra .DAT peut être déployé sur les terminaux qui exécutent VSE et ens. Nous vous recommandons vivement de tester cette fonctionnalité supplémentaire .DAT sur un petit groupe de systèmes avant de la déployer dans l’organisation la plus large. En cas de problème, par exemple des faux positifs, ou si vous avez des questions concernant ce fichier DAT supplémentaire, ouvrez une demande de service (SR) avec Support technique.
Téléchargement et déploiement supplémentaires .DAT
Extrayez le EXTRA.zip fichier joint à cet article.
Ouvrez le Client Endpoint Security.
Dans le menu action , sélectionnez charger extra. dat.
Cliquez sur Parcourir, accédez à l’emplacement où vous avez téléchargé le Extra.DAT fichier, puis cliquez sur ouvrir.
Résultat
Les nouveaux éléments détectés dans le fichier extra .DAT prennent effet immédiatement.
Le nom de détection CVE2020-0601.hs’affiche une fois que vous avez déployé le fichier extra. dat et exécuté une analyse.
MVISION EDR peut détecter des tentatives de exploit pour cette vulnérabilité. Pour identifier les équipements impliqués récemment lors d’une tentative de exploit, vous pouvez utiliser Real Time le tableau de bord de recherche et exécuter une requête à l’aide NSACryptEvents du collecteur. Le collecteur récupère les NSACryptEvents informations du journal des événements Windows à partir du Microsoft-Windows-Audit-CVE fournisseur.
Rechercher exploit tentative
Connectez-vous à la session EDR.
Accédez à menu, Real-Time Démarrer.
Saisissez l’expression suivante dans la zone de recherche : HostInfo hostname and NSACryptEvents where NSACryptEvents id not equals ""
Interprétation des résultats
Le résultat est la liste des équipements sur lesquels la mise à jour de sécurité a été appliquée, ainsi qu’une tentative récente exploit de cette vulnérabilité.
Seuls les équipements dont l’état de connexion est en ligne ou en quarantaine répondent à la recherche.
Rechercher des équipements dont la mise à jour de sécurité est appliquée
Connectez-vous à la session EDR.
Accédez à menu, Real-Time Démarrer.
Saisissez l’expression suivante dans la zone de recherche : InstalledUpdates où InstalledUpdates hotfix_id est égal à "KB4528760"
Interprétation des résultats
Le résultat est la liste des équipements sur lesquels KB4528760 est appliqué. Seuls les équipements dont l’état de connexion est en ligne ou en quarantaine répondent à la recherche.
Remplacez par la liste suivante de numéros KB, et vous pouvez obtenir la liste des équipements à l’aide de la mise à jour de sécurité appliquée :
Pour protéger contre les exploits via Authenticode-signed des fichiers binaires Windows, l’équipe de protection Web a publié une Gateway Anti-Malware mise à jour des fichiers DAT (GAM) le 16 janvier 2020 (à 1900 UTC), version 6974 (ou ultérieure). Elle inclut une nouvelle détection, nommée “BehavesLike.Win32.MaybeSpoofedCert.*” , pour les exploits de fichiers binaires signés par rapport à CVE-2020-0601. Les clients de et d’autres produits utilisant GAM (NSP, ATD) reçoivent automatiquement cette mise à jour des Web Gateway fichiers DAT. Si votre cadence de mise à jour n’est pas fréquente, vous pouvez également déclencher une mise à jour des fichiers DAT manuellement.
Remarque : L’analyseur SSL (HTTPS proxy) vérifie les Web Gateway certificats. Il protège également les navigateurs qui utilisent le CryptAPI des versions de Windows non patch vulnérables et non corrigées, sur les clients déployés derrière l' Web Gateway analyseur SSL-à partir des pages de consultation qui utilisent des certificats falsifiés.
Comment configurer la vérification des certificats SSL lorsque l’analyseur SSL n’est pas utilisé
Pour activer les fonctionnalités de vérification des certificats du Web Gateway produit sans activer l’inspection SSL, suivez les étapes ci-dessous. Cette approche permet Web Gateway d’ajouter une autre couche de sécurité en vérifiant le certificat d’un site Web par rapport à une liste d’autorités de certification connues et approuvées. Cette action empêche les utilisateurs d’accéder aux sites Web qui exécutent des certificats non sécurisés ou usurpés.
Remarque : Si vous disposez déjà d’une analyse HTTPS (également appelée analyse SSL ou d’analyse SSL) en place, il n’est pas nécessaire de suivre les instructions ci-dessous. La vérification des certificats fait partie du jeu de règles HTTPS, de sorte que la vérification des certificats est activée si elle n’est pas explicitement désactivée. Vous pouvez suivre les étapes ci-dessous pour vérifier que la vérification des certificats est toujours activée dans votre stratégie.
Important : Il est fortement recommandé d’importer une autorité de certification existante déjà approuvée par les navigateurs, ou de générer une nouvelle autorité de certification et de vérifier qu’elle est approuvée par les clients de votre réseau. L’autorité de certification configurée est utilisée pour signer la connexion lors Web Gateway de l’interception d’une connexion et doit afficher les modèles HTML sur les clients. Pour plus d’informations, reportez-vous au Guide produit.
Accédez à l' Web Gateway interface utilisateur. Les instructions permettant d’accéder à l’interface utilisateur sont disponibles dans la documentation produit.
Passez à l’onglet stratégie en haut de l’interface utilisateur.
Assurez-vous que l’onglet jeu de règles est sélectionné dans le coin supérieur gauche.
Propriétés jeux de règles, cliquez sur Ajouter. Dans le champ déroulant, sélectionnez Top Level jeu de règles.
Dans la boîte de dialogue qui s’affiche, sélectionnez importer le jeu de règles à partir de la bibliothèque de jeux de règles.
Ouvrez l’analyse de la catégorie https et sélectionnez l' analyse httpsdu jeu de règles.
Remarque : Si vous ne parvenez pas à trouver l' analyse https, le jeu de règles peut être trouvé en tant qu' analyseur SSL.
Une fois que vous avez sélectionné le jeu de règles, Web Gateway le jeu de règles est validé pour l’objet qui existe dans votre stratégie. Dans la mesure où la stratégie par défaut "analyse HTTPS" est déjà présente, il est probable que des listes, des paramètres ou des jeux de règles existants aient été trouvés. Résolvez les conflits en vous référant aux objets existants ou en créant de nouveaux objets avec un nom différent. Pour ce cas d’utilisation spécifique, il est conseillé d’utiliser l’Assistant de résolution automatique des conflits et de sélectionner résoudre en copiant et en renommant les suggestions.
Lorsque tous les conflits sont résolus, cliquez sur OK pour importer le jeu de règles dans votre stratégie.
Après l’importation, sélectionnez déverrouiller l’affichage pour basculer de l’Assistant à la vue complète basée sur une règle.
Déplacez le jeu de règles vers le haut de votre stratégie. Il n’est pas nécessaire de le placer tout en haut de votre stratégie. Placez-le sur lequel le jeu de règles "HTTPS Scanning" peut généralement être trouvé. En tant que recommandation générique, placez le jeu de règles après l’application des listes d’autorisation et de blocage globales et avant l’appel des "règles Partagés", telles que cache Web, ouvertures, indication de la progression.
Sélectionnez le jeu de règles https Analysis, handle Connect call .
Pour le client du jeude règles, sur la droite, recherchez l’événement activer le contexte client SSL avec l’autorité de certification . Cliquez sur le paramètre associé pour ouvrir les paramètres de cet événement.
Dans le paramètre, vous pouvez effectuer l’une des deux opérations suivantes. Vous pouvez importer une autorité de certification déjà approuvée et subordonnée. Vous pouvez également utiliser le bouton générer pour créer une nouvelle autorité de certification, qui doit être déployée sur les clients comme indiqué précédemment.
Sélectionnez le jeu de règles https analyseet inspection du contenu .
Désactivez la case à cocher en regard de l’option activer dans la partie supérieure du volet jeu de règles droit pour désactiver complètement le jeu de règles contenu d’inspection complet. Assurez-vous qu’elle est grisée dans le volet gauche qui répertorie tous les jeux de règles. Cette action est effectuée car, sinon, Web Gateway n’effectuerait pas uniquement la vérification des certificats, mais aussi l’activation de l’inspection de contenu pour rechercher les connexions SSL. Vous ne souhaitez pas activer cette inspection à ce stade, vous souhaitez uniquement activer la vérification des certificats.
Enregistrez les modifications.
A partir de maintenant, la Web Gateway vérification des certificats sur a été activée. Si un utilisateur accède à un certificat non approuvé, non sécurisé ou usurpé, le navigateur affiche un site Web HTML généré par le Web Gateway problème avec le certificat. Dans ce cas, la connexion est sécurisée à l’aide d’un certificat signé par l’autorité de certification et importé ou généré à l’étape 13.
Pour plus d’informations sur les « analyses HTTPS », reportez-vous à la documentation produit, notre site communautés ou contactez Support technique.
Si vous êtes un utilisateur enregistré, saisissez votre ID d’utilisateur et votre mot de passe, puis cliquez sur connexion.
Si vous n’êtes pas un utilisateur enregistré, cliquez sur Enregistrer et renseignez les champs pour que votre mot de passe et les instructions vous soient envoyés par e-mail.
Threat Intelligence Exchange (TIE) peut aider à identifier les abus de signature de fichier avant d’appliquer le patch en fournissant une workflow pour faire pivoter les autorités de certification usurpées et leurs fichiers binaires signés déjà exécutés dans l’environnement.
Rechercher des fichiers binaires signés frauduleux :
Connectez-vous à ePO.
Accédez à menu, page réputations tie .
Cliquez sur l’onglet recherche de certificat et utilisez la recherche rapide avec'Microsoft ECC'.
Résultats :
Pour chaque certificat d’une autorité de certification répertorié, recherchez les certificats intermédiaires frauduleux à l’aide des actions-certificats signés >.
Pour chaque certificat intermédiaire répertorié, recherchez des fichiers signés frauduleux à l’aide des actions-> Détails du fichier associé.
Pour chaque fichier binaire signé frauduleux répertorié, recherchez les systèmes concernés à l’aide des actions-> à l’emplacement où le fichier a été utilisé.
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.