- Microsoft
Anti-Malware 扫描接口(AMSI): AMSI 检测功能是启用最重要的功能之一。请确保取消选择观察模式。 此设置在 ENS 威胁防护、按访问扫描策略和 ENS 自适应威胁防护(ATP)选项(在 Real Protect 下)中找到。有关 AMSI 的详细信息,请参阅 AMSI 与威胁防护集成如何在 Endpoint Security 10.7 产品手册中改进安全 "一" 节。 - 自我保护: 验证是否在 ENS 和 Trellix Agent 中启用了自我保护。
- 密码保护: 验证是否为 GUI 访问和产品删除设置了密码。
- Global Threat Intelligence (GTI): 在事件期间将 GTI 设置为 "高"。然后,在事件之后继续维持 GTI 处于"中"状态,一旦达到稳定状态。 在下列策略中发现此设置:
- ENS 威胁防护 按需扫描 和 按需扫描
- ENS ATP 选项(在 Real Protect 下)
- 访问保护: 为环境中发现的任何折衷标记(IOCs)创建规则。例如,勒索软件创建的文件扩展名。 其他工具也可以在存在的情况下使用(例如 Threat Intelligence Exchange (TIE)信誉)。
- ePO 快照: 请确保您采用常规的 ePO 快照,密码短语已知,并且正在进行 SQL 备份。这些备份可帮助您在 ePO 丢失后恢复。 如果需要执行手动恢复,请确保密钥存储库已备份。 在虚拟环境中,最佳做法是定期从备份中执行数据库还原,然后重新安装 ePO 服务器。此还原可确保整个过程都有效。
- 系统覆盖范围: 查看系统中的产品覆盖范围和更新。此审查对于
AMCore 内容和 Real Protect 规则尤其重要。好的起点是使用标记为以 "Endpoint Security 开头的默认信息显示板:"。 - Rogue 传感器检测: 当尝试实现威胁的包容和 eradication 时,非托管系统会对环境产生不良损害。这些系统可以攻击并重新索引以前还原的系统。 在网络上查找和补救此类系统非常重要。在此过程中,Rogue 传感器检测可为您提供帮助。请考虑在密钥网络上实施该计划。
- 误报: 在所有环境都不同的情况下,例如,在内部应用程序或网络中存在各种不同的解决方案时,会出现误报。误报只是一种检测,它决定为非恶意的或合法的。我们的经验就是使用这些建议(一般来说,所经历的误报数量最少)。但是,我们建议(与环境中的任何其他实施一样)能够根据需要进行监控和调整。
调整和使用安全方法Endpoint Security和响应威胁事件
技术文章 ID:
KB94048
上次修改时间: 2023-04-28 12:41:44 Etc/GMT
上次修改时间: 2023-04-28 12:41:44 Etc/GMT
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
受影响的产品
- Best Practices
- Configuration
- Endpoint Security Adaptive Threat Protection
- Endpoint Security Firewall 10.7.x
- Endpoint Security Firewall 10.6.x
- Endpoint Security Threat Prevention 10.7.x
- Endpoint Security Threat Prevention 10.6.x
- Endpoint Security Web Control 10.7.x
- Endpoint Security Web Control 10.6.x
- Threat Prevention and Removal