调整和使用安全方法Endpoint Security和响应威胁事件

技术文章 ID: KB94048
上次修改时间: 2023-04-28 12:41:44 Etc/GMT

环境

Endpoint Security （ENS） 10.x
ePolicy Orchestrator （ePO） 5.x

摘要

本文包含以下情况下用于调整和使用 ENS 和 ePO 的建议：

作为阻止威胁事件的主动措施
便于在威胁事件响应案例期间进行封闭、抑制和恢复

这些建议是根据我们的许多团队的输入而开发的。这些团队包括高级 Cyber Threat 服务（行为）、高级威胁研究团队、高级程序组和高级研究中心。

建议基于对多种类型的事件进行响应的经验。这些建议是我们客户的教育和方便性的一般性指导。由客户决定适合其情况和环境的配置。

本文的 "附件" 部分中的文件 Policies.zip 包含基于本文中建议的示例策略。在您的环境中应用这些策略之前，请先查看这些策略。

有关配置这些设置和功能的详细说明，请参阅 Endpoint Security 10.7 产品手册。

本文将根据需要更新，以了解所述信息的准确性、相关性和及时性。

要在更新本文时收到电子邮件通知，请单击订阅位于页面右侧。您必须登录后才能订购。

内容
单击以展开要查看的部分：

常规设置

Microsoft Anti-Malware 扫描接口（AMSI）： AMSI 检测功能是启用最重要的功能之一。请确保取消选择观察模式。此设置在 ENS 威胁防护、按访问扫描策略和 ENS 自适应威胁防护（ATP）选项（在 Real Protect 下）中找到。有关 AMSI 的详细信息，请参阅 AMSI 与威胁防护集成如何在 Endpoint Security 10.7 产品手册中改进安全 "一" 节。
自我保护： 验证是否在 ENS 和 Trellix Agent 中启用了自我保护。
密码保护： 验证是否为 GUI 访问和产品删除设置了密码。
Global Threat Intelligence （GTI）： 在事件期间将 GTI 设置为 "高"。然后，在事件之后继续维持 GTI 处于"中"状态，一旦达到稳定状态。在下列策略中发现此设置：
- ENS 威胁防护按需扫描和按需扫描
- ENS ATP 选项（在 Real Protect 下）
访问保护： 为环境中发现的任何折衷标记（IOCs）创建规则。例如，勒索软件创建的文件扩展名。其他工具也可以在存在的情况下使用（例如 Threat Intelligence Exchange （TIE）信誉）。
ePO 快照： 请确保您采用常规的 ePO 快照，密码短语已知，并且正在进行 SQL 备份。这些备份可帮助您在 ePO 丢失后恢复。如果需要执行手动恢复，请确保密钥存储库已备份。在虚拟环境中，最佳做法是定期从备份中执行数据库还原，然后重新安装 ePO 服务器。此还原可确保整个过程都有效。
系统覆盖范围： 查看系统中的产品覆盖范围和更新。此审查对于 AMCore 内容和 Real Protect 规则尤其重要。好的起点是使用标记为以 "Endpoint Security 开头的默认信息显示板："。
Rogue 传感器检测： 当尝试实现威胁的包容和 eradication 时，非托管系统会对环境产生不良损害。这些系统可以攻击并重新索引以前还原的系统。在网络上查找和补救此类系统非常重要。在此过程中，Rogue 传感器检测可为您提供帮助。请考虑在密钥网络上实施该计划。
误报： 在所有环境都不同的情况下，例如，在内部应用程序或网络中存在各种不同的解决方案时，会出现误报。误报只是一种检测，它决定为非恶意的或合法的。我们的经验就是使用这些建议（一般来说，所经历的误报数量最少）。但是，我们建议（与环境中的任何其他实施一样）能够根据需要进行监控和调整。

漏洞利用防护

漏洞利用防护中的 PowerShell 规则： 请考虑启用以下规则。要启用的最重要的规则是 6070 和 6087：
- 6108 - Powershell - Suspicious download string script execution
- 6109 - Powershell - Suspicious wmi script execution
- 6070 - Hidden Powershell Detected
- 6081 - Powershell Command Restriction - NoProfile
- 6082 - Powershell Command Restriction - ExecutionPolicy
- 6083 - Powershell Command Restriction - NonInteractive
- 6084 - Powershell Command Restriction - NoLogo
- 6085 - Powershell Command Restriction - File
- 6086 - Powershell Command Restriction - Command
- 6087 - Powershell Command Restriction - EncodedCommand
- 6096 - Powershell Command Restriction - InvokeExpression
漏洞利用防护中的 Fileless 规则： 启用所有这些 Fileless 规则：
- 6113 - Fileless Threat: Reflective Self Injection
- 6114 - Fileless Threat: Reflective EXE Self Injection
- 6115 - Fileless Threat: Reflective DLL Remote Injection
- 6118 - Fileless Threat: Malicious Code Execution using DotNetToJScript Technique
- 6120 - Fileless Threat: Process Hollowing
- 6121 - Fileless Threat: Shellcode Self Injection
- 6122- Fileless Threat: Reflective Loading of mimikatz using DotNetToJScript Technique
- 6124 - Fileless Threat: Spoof Parent Process
- 8003 - Fileless Threat: Suspicious Powershell Behavior Detected
- 8004 - Fileless Threat: Malicious Powershell Behavior Detected
Mimikatz 漏洞利用防护中的规则： 要启用的最重要的规则是6078。但是，下面列出的其他规则也适用：
- 6078 - Mimikatz usage
- 6116 - Mimikatz LSASS Suspicious Memory Read
- 6117 - Mimikatz LSASS Suspicious Memory DMP Read
- 6122- Fileless Threat : Reflective Loading of mimikatz using DotNetToJScript Technique
Mimikatz 访问保护中的规则： 选择阻止和报告 Executing Mimikatz malware

扫描

在病毒爆发期间，建议您每天执行完全扫描按需扫描（完全扫描）。对于最新的 ENS 版本，扫描不会对性能产生很大影响。扫描可以计划在系统处于最小活动状态（例如凌晨2点）时运行。尽可能实施基于策略的扫描，这样便可在无需事件的情况下接收到遥测。遥测在 ENS 分析的属性中威胁防护。

在规范化的操作系统条件下，良好的步法是每周运行完全扫描和每日快速扫描。另请参阅 KB74059-适用于按需扫描的最佳做法。

创建快速扫描并将其安排为每四个小时运行一次。请确保已取消选择 扫描子文件夹 选项。请至少扫描以下项目：

内存 (在其中查找 Rootkit)
正在运行的进程
注册表
已注册文件
%SYSTEMDRIVE%\Documents and Settings
%SYSTEMDRIVE%\Users
%SYSTEMDRIVE%\Temp\
%PROGRAMDATA%
\Users\%\AppData\Local\Temp
\Startup\
c:\Windows\
c:\Windows\SysWOW64\
c:\Windows\System32\
c:\Windows\Temp
%SYSTEM ROOT%
%SYSTEM ROOT%\Installer
%SYSTEM ROOT%\System32
%SYSTEM ROOT%\System32\Tasks
%SYSTEM ROOT%\WinApp
%SYSTEM ROOT%\SysWOW64
%SYSTEM ROOT%\Tasks
%TEMP%
%APPDATA%\Roaming\Microsoft\
%APPDATA%\Local\
%APPDATA%\Local\Temp

此外，请配置以下扫描选项：

启用Real Protect基于云的扫描。 启用基于云的扫描 的设置位于 ENS ATP 策略、Real Protect 扫描部分中。
设置当到达信誉阈值时清理级别至已知恶意. 此设置可在 ENS ATP 策略中找到，操作强制实施部分。
使扫描从网络驱动器启动的进程. 此设置可在 ENS ATP 策略 ATP 部分中找到。
将 Real Protect 检测到的文件的哈希设置为 TIE 中 已知的恶意 信誉。
使检测可疑电子邮件附件. 此设置在 ENS 策略威胁防护访问扫描策略中。
使复制网络文件夹和可移动驱动器时进行扫描. 此设置在 ENS 策略威胁防护访问扫描策略中。
启用对标准进程和高风险进程的网络驱动器的扫描。转到 ENS 策略威胁防护访问扫描策略和进程设置部分。在标准选项卡和高风险选项卡中，选择在网络驱动器上下扫描项目.

ATP

在 "ATP 选项" 策略中启用 安全/Security 规则组。

注意: 您可以在服务器设置、自适应威胁防护下找到单个 ATP 规则。
有关 ATP 规则的信息，请参阅 KB82925-确定哪个规则对应于自适应威胁防护和 Threat Intelligence Exchange 事件。
默认情况下，有几个 ATP 规则会被禁用，您可以将其更改为观察状态。
应用 ATP 动态应用程序封闭的 "默认安全/Security" 策略。

附件

Policies.zip
118K • < 1 minute @ broadband

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异，应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

受影响的产品

语言:

此文章有以下语言版本：

Knowledge Center

调整和使用安全方法Endpoint Security和响应威胁事件

环境

摘要

相关信息

附件

免责声明

受影响的产品

语言:

Title

Title

Knowledge Center

调整和使用安全方法Endpoint Security和响应威胁事件

环境

摘要

相关信息

附件

免责声明

受影响的产品

语言:

选择您的区域

Title

Title