- Microsoft
antimalware Interfaccia di scansione (AMSI): la funzione di rilevamento AMSI è una delle più critiche da attivare. Assicurarsi di deselezionare la modalità di osservazione. Questa impostazione si trova nelle opzioni ENS Prevenzione delle minacce, scansione all'accesso policy e ENS Protezione adattiva dalle minacce (ATP) (in Real Protect). Per ulteriori informazioni su AMSI, consultare la sezione "come l'integrazione AMSI con prevenzione delle minacce migliora la sicurezza" nel 10.7 Guida del prodotto Endpoint Security. - Auto-protezione: Verificare che l'autoprotezione sia attivata all'interno di ENS e McAfee Agent.
- Protezione password: Verificare che sia impostato Una password per l'accesso alla GUI e la rimozione del prodotto.
- Global Threat Intelligence (GTI): Impostare GTI su "alto" durante un incidente. Quindi, continuare a mantenere GTI a "media" dopo un incidente, e una volta raggiunto uno stato stabile. Questa impostazione si trova nelle seguenti policy:
- Prevenzione delle minacce on-Access Scan e scansione su richiesta
- Opzioni ATP ENS (in Real Protect)
- Protezione dell'accesso: Creare regole per tutti gli indicatori di compromesso (indicatori) trovati nell'ambiente. Ad esempio, un'estensione file che ransomware crea. È inoltre possibile utilizzare altri strumenti se presenti, ad esempio le reputazioni di Threat Intelligence Exchange (TIE).
- snapshot ePO: Assicurarsi di prendere un snapshot ePO regolare, il passphrase è noto e il backup SQL si sta verificando. Questi backup consentono di eseguire il ripristino dopo una perdita di ePO. Assicurarsi che il keystore sia sottoposto a backup se è necessario eseguire un ripristino manuale. In ambienti virtuali, è consigliabile eseguire periodicamente un ripristino del database da un backup e dalla reinstallazione del server ePO. Questo ripristino garantisce che l'intero processo funzioni.
- Copertura del sistema: Esaminare i sistemi per la copertura e gli aggiornamenti dei prodotti. Questa recensione è particolarmente importante per le regole di Real Protect e del
AMCore contenuto. Un buon punto di partenza consiste nell'utilizzare le dashboard predefinite etichettate a partire da "Endpoint Security:". - Rilevamento Sensor Rogue: I sistemi non gestiti sono dannosi in un ambiente quando cercano di conseguire il contenimento e l'eradicazione di una minaccia. Questi sistemi possono attaccare e reinfettare i sistemi precedentemente ripristinati. È importante trovare e porre rimedio a tali sistemi sulla rete. Il rilevamento di Rogue Sensor può essere utile per questo processo. Prendere in considerazione l'implementazione sulle reti strategiche.
- Falsi positivi: Poiché tutti gli ambienti differiscono, ad esempio, con applicazioni interne o soluzioni diverse all'interno di una rete, si verificano falsi positivi. Un falso positivo è semplicemente un rilevamento che è quindi determinato a non essere dannoso o legittimo. È nella nostra esperienza che con queste raccomandazioni, in generale, il numero di falsi positivi vissuti è minimo. Tuttavia, è consigliabile (come per qualsiasi altra implementazione all'interno di un ambiente) monitorare e sintonizzarsi in base alle esigenze.
Procedure consigliate per l'ottimizzazione e l'utilizzo di Endpoint Security per prevenire e rispondere agli incidenti di minaccia
Articoli tecnici ID:
KB94048
Ultima modifica: 2022-07-19 12:42:48 Etc/GMT
Ultima modifica: 2022-07-19 12:42:48 Etc/GMT
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
- Best Practices
- Configuration
- Endpoint Security Adaptive Threat Protection
- Endpoint Security Firewall 10.7.x
- Endpoint Security Firewall 10.6.x (EOL)
- Endpoint Security Threat Prevention 10.7.x
- Endpoint Security Threat Prevention 10.6.x (EOL)
- Endpoint Security Web Control 10.7.x
- Endpoint Security Web Control 10.6.x (EOL)
- Threat Prevention and Removal
Lingue:
Questo articolo è disponibile nelle seguenti lingue: