No se respetan las exclusiones de AMSI para scripts de PowerShell por nombre
Última modificación: 2022-07-04 09:55:15 Etc/GMT
Descargo de responsabilidad
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas:
Découvrez comment un écosystème XDR qui s'adapte en permanence peut dynamiser votre entreprise.
Bryan Palma, CEO de Trellix, explica la imperiosa necesidad de contar con una seguridad que aprenda y evolucione.
Descargue el informe Magic Quadrant, que evalúa a los 19 proveedores en función de su amplitud de visión y capacidad de ejecución.
Según Gartner, "XDR es una tecnología emergente que ofrece funciones mejoradas de prevención, detección y respuesta a amenazas.".
¿A qué amenazas de ciberseguridad deberían prestar atención las empresas durante 2022?
En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
Dos líderes reconocidos del mercado de la ciberseguridad han unido fuerzas para crear un mundo digital resiliente.
Bryan Palma, CEO de Trellix, explica la imperiosa necesidad de contar con una seguridad que aprenda y evolucione.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
No se respetan las exclusiones de AMSI para scripts de PowerShell por nombre
Artículos técnicos ID:
KB95419
Última modificación: 2022-07-04 09:55:15 Etc/GMT Entorno
Endpoint Security (ENS) Protección adaptable frente a amenazas (ATP) 10.x Prevención de amenazas de ENS 10.x Resumen
La interfaz de análisis antimalware de Windows (AMSI) es una API que Microsoft desarrolló. AMSI es compatible con sistemas Windows 10 (y posteriores) y Windows Server 2016/2019 (y posteriores). AMSI permite que las aplicaciones y los servicios se integren con el Prevención de amenazas de ENS, lo que proporciona una mejor protección contra malware. AMSI está integrado en los siguientes componentes:
Debido a las limitaciones de la enumeración de búfer realizada por AMSI, la exclusión de un script de PowerShell por nombre no funciona. Problema
Al ejecutar un script de PowerShell excluido por nombre, el script sigue mostrándose y aún se puede producir un evento de detección.
Motivo
En el caso de un búfer determinado, AMSI podría proporcionar un nombre de archivo de respaldo correspondiente. ENS puede utilizar el nombre del archivo para decidir si se debe excluir un archivo o script determinados del análisis. Los atributos de búfer proporcionados por AMSI son muy específicos de las aplicaciones. Por ejemplo, los motores de JavaScript y VBScript tienden a proporcionar de forma coherente un nombre de archivo y, como resultado, ENS a menudo puede aceptar exclusiones. No obstante, los atributos AMSI proporcionados para un búfer de PowerShell no son coherentes de la misma forma. En ocasiones, un nombre de archivo se devuelve como un Cuando el búfer se proporciona para el análisis, el PowerShell no rastrea el origen original de todos los bloques de script que se ejecutan. Por ejemplo, un archivo script que contiene secuencias de comandos de texto envía esos bloques de texto script a AMSI. No obstante, PowerShell no contiene el nombre del archivo script en el que se definen los bloques de texto script. Se espera este comportamiento según el diseño de Microsoft de AMSI. No es posible que las exclusiones de ENS correlacionen el búfer con un nombre de archivo de manera fiable. Solución temporal
Existen un par de posibles soluciones:
Información relacionada
Microsoft artículo sobre AMSI_ATTRIBUTE enumeración "Excluyendo elementos de Amsi Scanning" sección de la 10.7 Guía del producto de Endpoint Security Descargo de responsabilidadEl contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicadosIdiomas:Este artículo se encuentra disponible en los siguientes idiomas: |
|