- Microsoft
Anti-Malware Interface d’analyse (AMSI) : la fonction de détection amsi est l’une des plus importantes à activer. Assurez-vous de désélectionner le mode d’observation. Ce paramètre se trouve dans les options ENS Prévention contre les menaces, analyse à l’accès et ENS Protection adaptive contre les menaces (ATP) (sous Real Protect). Pour plus d’informations sur AMSI, reportez-vous à la section "Comment AMSI intégration avec prévention contre les menaces améliore la sécurité" dans le 10.7 Guide produit de Endpoint Security. - Protection automatique : Vérifiez que l’auto-protection est activée dans ENS et McAfee Agent.
- Protection par mot de passe : Vérifiez qu’un mot de passe est défini pour l’accès à l’interface utilisateur graphique et la suppression du produit.
- Global Threat Intelligence (GTI) : Définissez GTI sur "" élevée au cours d’un incident. Ensuite, continuez de maintenir GTI à "moyen" après un incident et une fois qu’un état stable est atteint. Ce paramètre se trouve dans les stratégies suivantes :
- ENS Prévention contre les menaces analyse à l’accès et analyse à la demande
- Options de ATP ENS (sous Real Protect)
- Protection de l’accès : Créez des règles pour tous les indicateurs de compromission (IOC) détectés dans l’environnement. Par exemple, un fichier extension que ransomware crée. D’autres outils peuvent également être utilisés, le cas échéant, par exemple les réputations de Threat Intelligence Exchange (TIE).
- capture instantanée ePO : Assurez-vous que vous prenez un instantané ePO régulier, que la phrase secrète est connue et que la sauvegarde SQL est en cours. Ces sauvegardes vous aident à récupérer après une perte d’ePO. Assurez-vous que la Banque de clés est sauvegardée si vous devez effectuer une récupération manuelle. Dans les environnements virtuels, il est conseillé de procéder périodiquement à une restauration de la base de données à partir d’une sauvegarde et d’une réinstallation du serveur ePO. Cette restauration permet de s’assurer que l’ensemble du processus fonctionne.
- Couverture du système : Passez en revue les systèmes pour la couverture et les mises à jour des produits. Cette vérification est particulièrement importante pour les règles de contenu et de
AMCore Real Protect. Un bon point de départ est d’utiliser les tableaux de bord par défaut libellés à partir de "Endpoint Security :". - Détection des Sensor non fiables : Les systèmes non managés sont nuisibles dans un environnement lors de la tentative de confinement et d’éradication d’une menace. Ces systèmes peuvent attaquer et réinfecter les systèmes précédemment restaurés. Il est important de rechercher et de corriger ces systèmes sur le réseau. La détection des Sensor non fiables peut vous aider dans ce processus. Pensez à l’implémenter sur les réseaux de clés.
- Faux positifs : Etant donné que tous les environnements diffèrent, par exemple, avec des applications internes ou des solutions variées au sein d’un réseau, des faux positifs se produisent. Un faux positif est simplement une détection qui est alors déterminée comme non malveillante ou légitime. Dans notre expérience, avec ces recommandations, généralement parlant, le nombre de faux positifs rencontrés est minime. Cependant, il est conseillé (comme pour toute autre implémentation dans un environnement) de surveiller et de régler selon les besoins.
Meilleures pratiques pour le réglage et l’utilisation de Endpoint Security pour prévenir les incidents de menace et y répondre
Date de la dernière modification : 2022-07-19 12:42:49 Etc/GMT
Clause d'exclusion de responsabilité
Produits affectés
- Best Practices
- Configuration
- Endpoint Security Adaptive Threat Protection
- Endpoint Security Firewall 10.7.x
- Endpoint Security Firewall 10.6.x (EOL)
- Endpoint Security Threat Prevention 10.7.x
- Endpoint Security Threat Prevention 10.6.x (EOL)
- Endpoint Security Web Control 10.7.x
- Endpoint Security Web Control 10.6.x (EOL)
- Threat Prevention and Removal
Langues :
Cet article est disponible dans les langues suivantes :