Migrace ze systému HIPS jiného než Microsoftu na pravidla omezení potenciální oblasti útoku

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod

Tento článek vám pomůže namapovat běžná pravidla na Microsoft Defender for Endpoint.

Scénáře při migraci z produktu HIPS jiného než Microsoftu na pravidla omezení potenciální oblasti útoku

Blokovat vytváření konkrétních souborů

• Platí pro všechny procesy.
• Operace – vytvoření souboru
• Příklady souborů/složek, klíčů registru/hodnot, procesů, služeb– *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
• Pravidla omezení plochy útoku – pravidla omezení potenciální oblasti útoku blokují techniky útoku, a ne indikátory ohrožení (IOC). Blokování konkrétní přípony souboru není vždy užitečné, protože nebrání ohrožení zabezpečení zařízení. Pouze částečně zmaří útok, dokud útočníci nevytvoří pro datovou část nový typ rozšíření.
• Další doporučené funkce – důrazně doporučujeme mít zapnutou antivirovou ochranu Microsoft Defender společně s cloudovou ochranou a analýzou chování. Doporučujeme použít jinou prevenci, například pravidlo omezení potenciální oblasti útoku Použití pokročilé ochrany proti ransomwaru, které poskytuje vyšší úroveň ochrany před útoky ransomwarem. Kromě toho Microsoft Defender for Endpoint monitoruje mnoho z těchto klíčů registru, jako jsou techniky ASEP, které aktivují konkrétní výstrahy. Použité klíče registru vyžadují minimálně místní Správa nebo je možné upravit oprávnění důvěryhodného instalačního programu. Doporučujeme používat uzamčené prostředí s minimálními účty nebo právy pro správu. Je možné povolit další konfigurace systému, včetně možnosti Zakázat SeDebug pro nepožádné role , které jsou součástí našich širších doporučení zabezpečení.

Blokování vytváření konkrétních klíčů registru

• Platí pro všechny procesy.
• Procesy – není k dispozici
• Operace – Úpravy registru
• Příklady souborů/složek, klíčů/hodnot registru, procesů, služeb- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\SilentProcessExit*\ Proces monitorování
• Pravidla omezení plochy útoku – pravidla omezení potenciální oblasti útoku blokují techniky útoku, a ne indikátory ohrožení (IOC). Blokování konkrétní přípony souboru není vždy užitečné, protože nebrání ohrožení zabezpečení zařízení. Pouze částečně zmaří útok, dokud útočníci nevytvoří pro datovou část nový typ rozšíření.
• Další doporučené funkce – důrazně doporučujeme mít zapnutou antivirovou ochranu Microsoft Defender společně s cloudovou ochranou a analýzou chování. Doporučujeme použít dodatečnou prevenci, jako je pravidlo omezení potenciální oblasti útoku Použít pokročilou ochranu proti ransomwaru. To poskytuje vyšší úroveň ochrany před útoky ransomwarem. Kromě toho Microsoft Defender for Endpoint monitoruje několik těchto klíčů registru, například techniky ASEP, které aktivují konkrétní výstrahy. Kromě toho použité klíče registru vyžadují minimálně místní Správa nebo je možné upravit oprávnění důvěryhodného instalačního programu. Doporučujeme používat uzamčené prostředí s minimálními účty nebo právy pro správu. Je možné povolit další konfigurace systému, včetně možnosti Zakázat SeDebug pro nepožádné role , které jsou součástí našich širších doporučení zabezpečení.

Blokování spouštění nedůvěryhodných programů z vyměnitelných jednotek

• Platí pro nedůvěryhodné programy z USB
• Procesy- *
• Operace – spuštění procesu
• *Příklady souborů/složek, klíčů/hodnot registru, procesů, služeb:-
• Pravidla omezení plochy útoku – pravidla omezení potenciální oblasti útoku mají integrované pravidlo, které brání spuštění nedůvěryhodných a nepodepsaných programů z vyměnitelných jednotek: Blokovat nedůvěryhodné a nepodepsané procesy spouštěné z USB, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
• Další doporučené funkce– Prozkoumejte další ovládací prvky pro zařízení USB a další vyměnitelná média pomocí Microsoft Defender for Endpoint:Jak ovládat zařízení USB a další vyměnitelná média pomocí Microsoft Defender for Endpoint.

Blokovat spuštění určitých podřízených procesů mshty

• Platí pro- Mshta
• Procesy – mshta.exe
• Operace – spuštění procesu
• Příklady souborů/složek, klíčů registru/hodnot, procesů, služeb– powershell.exe, cmd.exe regsvr32.exe
• Pravidla omezení plochy útoku – pravidla omezení potenciální oblasti útoku neobsahují žádná konkrétní pravidla, která by zabránila podřízeným procesům vmshta.exe. Tento ovládací prvek je v kompetenci ochrany exploit protection nebo Windows Defender řízení aplikací.
• Další doporučené funkce – Povolte řízení aplikací Windows Defender, abyste zabránili úplnému spuštění mshta.exe. Pokud vaše organizace vyžaduje mshta.exe pro obchodní aplikace, nakonfigurujte konkrétní pravidlo Windows Defender Exploit Protection, aby mshta.exe nespouští podřízené procesy.

Blokování spouštění podřízených procesů v Outlooku

• Platí pro- Outlook
• Procesy – outlook.exe
• Operace – spuštění procesu
• Příklady souborů/složek, klíčů/hodnot registru, procesů, služeb – powershell.exe
• Pravidla omezení potenciální oblasti útoku – pravidla omezení potenciální oblasti útoku mají integrované pravidlo, které brání komunikačním aplikacím Office (Outlook, Skype a Teams) ve spouštění podřízených procesů: Blokování komunikační aplikace Office ve vytváření podřízených procesů, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
• Další doporučené funkce – Pokud chcete minimalizovat prostor pro útoky z PowerShellu, doporučujeme povolit režim omezeného jazyka PowerShellu.

Blokování aplikací Office ve spouštění podřízených procesů

• Platí pro– Office
• Procesy – winword.exe, powerpnt.exe, excel.exe
• Operace – spuštění procesu
• Příklady souborů/složek, klíčů registru/hodnot, procesů, služeb powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE regsrv32.exe
• Pravidla omezení potenciální oblasti útoku – pravidla omezení potenciální oblasti útoku mají integrované pravidlo, které brání aplikacím Office ve spouštění podřízených procesů: Blokovat všem aplikacím Office vytváření podřízených procesů, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
• Další doporučené funkce – Není k dispozici

Blokování aplikací Office ve vytváření spustitelného obsahu

• Platí pro– Office
• Procesy – winword.exe, powerpnt.exe, excel.exe
• Operace – vytvoření souboru
• Příklady souborů/složek, klíčů registru/hodnot, procesů, služeb– C:\Users*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
• Pravidla omezení potenciální oblasti útoku – není k dispozici.

Blokovat jazyk WScript čtení určitých typů souborů

• Platí pro jazyk WScript.
• Procesy – wscript.exe
• Operace – čtení souboru
• Příklady souborů/složek, klíčů registru/hodnot, procesů, služeb– C:\Users*\AppData**.js, C:\Users*\Downloads**.js
• Pravidla omezení potenciální oblasti útoku – Kvůli problémům se spolehlivostí a výkonem nemají pravidla omezení potenciální oblasti útoku schopnost zabránit konkrétnímu procesu ve čtení určitého typu souboru skriptu. Máme pravidlo, které brání vektorům útoku, které by mohly pocházet z těchto scénářů. Název pravidla je Blokovat spuštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu (GUID d3e037e1-3eb8-44c8-a917-57927947596d ) a blokování spouštění potenciálně obfuskovaných skriptů (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
• Další doporučené funkce– Přestože existují specifická pravidla omezení potenciální oblasti útoku, která v těchto scénářích zmírňují určité vektory útoku, je důležité zmínit, že av je ve výchozím nastavení schopen kontrolovat skripty (PowerShell, Windows Script Host, JavaScript, VBScript a další) v reálném čase prostřednictvím rozhraní AMSI (Antimalware Scan Interface). Další informace najdete tady: Rozhraní AMSI (Antimalware Scan Interface).

Blokování spuštění podřízených procesů

• Platí pro adobe acrobat
• Procesy – AcroRd32.exe, Acrobat.exe
• Operace – spuštění procesu
• Příklady souborů/složek, klíčů registru/hodnot, procesů, služeb– cmd.exe, powershell.exe wscript.exe
• Pravidla omezení potenciální oblasti útoku – pravidla omezení potenciální oblasti útoku umožňují aplikaci Adobe Reader blokovat spouštění podřízených procesů. Název pravidla je Blokovat adobe readeru ve vytváření podřízených procesů, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
• Další doporučené funkce – Není k dispozici

Blokování stahování nebo vytváření spustitelného obsahu

• Platí pro– CertUtil: Blokování stahování nebo vytvoření spustitelného souboru
• Procesy – certutil.exe
• Operace – vytvoření souboru
• Příklady souborů/složek, klíčů/hodnot registru, procesů, služeb– *.exe
• Pravidla omezení potenciální oblasti útoku – pravidla omezení potenciální oblasti útoku tyto scénáře nepodporují, protože jsou součástí Microsoft Defender antivirové ochrany.
• Další doporučené funkce – Microsoft Defender Antivirus zabraňuje aplikaci CertUtil ve vytváření nebo stahování spustitelného obsahu.

Blokování procesů v zastavování důležitých systémových komponent

• Platí pro všechny procesy.
• Procesy- *
• Operace – ukončení procesu
• Příklady souborů/složek, klíčů registru/hodnot, procesů, služeb MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe a dalších.
• Pravidla omezení potenciální plochy útoku – pravidla omezení potenciální oblasti útoku tyto scénáře nepodporují, protože jsou chráněné integrovanou ochranou zabezpečení ve Windows.
• Další doporučené funkce– ELAM (Early Launch AntiMalware), PPL (Protection Process Light), PPL AntiMalware Light a Ochrana System Guard.

Blokovat konkrétní pokus o spuštění procesu

• Platí pro specifické procesy.
• Procesy- Pojmenujte proces
• Operace – spuštění procesu
• Příklady souborů/složek, klíčů/hodnot registru, procesů, služeb– tor.exe, bittorrent.exe, cmd.exe, powershell.exe atd.
• Pravidla omezení potenciální oblasti útoku – Pravidla omezení potenciální oblasti útoku nejsou celkově navržená tak, aby fungovala jako správce aplikací.
• Další doporučené funkce– Pokud chcete uživatelům zabránit ve spouštění konkrétních procesů nebo programů, doporučujeme použít Windows Defender Řízení aplikací. Microsoft Defender for Endpoint indikátory souboru a certifikátu je možné použít ve scénáři reakce na incidenty (neměly by se považovat za mechanismus řízení aplikací).

Blokování neoprávněných změn konfigurací Microsoft Defender Antivirové ochrany

• Platí pro všechny procesy.
• Procesy- *
• Operace – Úpravy registru
• Příklady souborů/složek, klíčů registru/hodnot, procesů, služeb – HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring atd.
• Pravidla omezení plochy útoku – pravidla omezení potenciální oblasti útoku tyto scénáře nepokrývají, protože jsou součástí Microsoft Defender for Endpoint integrované ochrany.
• Další doporučené funkce – Ochrana před falšováním (opt-in, managed from Intune) brání neoprávněným změnám klíčů registru DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring a DisableIOAVProtection (a další).

Viz také

• Časté otázky k omezení potenciální oblasti útoku
• Povolení pravidel omezení potenciální oblasti útoku
• Vyhodnocení pravidel omezení potenciální oblasti útoku

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.