Migrando de um HIPS não Microsoft para atacar regras de redução de superfície

  • Artigo

Aplica-se a:

Este artigo ajuda você a mapear regras comuns para Microsoft Defender para Ponto de Extremidade.

Cenários ao migrar de um produto hips não microsoft para atacar regras de redução de superfície

Bloquear a criação de arquivos específicos

  • Aplica-se a- Todos os processos
  • Operação- Criação de Arquivo
  • Exemplos de Arquivos/Pastas, Chaves/Valores do Registro, Processos, Serviços- *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
  • Regras de redução de superfície de ataque: regras de redução de superfície de ataque bloqueiam as técnicas de ataque e não os Indicadores de Comprometimento (COI). Bloquear uma extensão de arquivo específica nem sempre é útil, pois não impede que um dispositivo se comprometa. Isso só frustra parcialmente um ataque até que os invasores criem um novo tipo de extensão para a carga.
  • Outros recursos recomendados: ter Microsoft Defender Antivírus habilitado, juntamente com a Análise de Comportamento e Proteção de Nuvem é altamente recomendável. Recomendamos que você use outras prevenções, como a regra de redução da superfície de ataque Use proteção avançada contra ransomware, que fornece um nível maior de proteção contra ataques de ransomware. Além disso, Microsoft Defender para Ponto de Extremidade monitora muitas dessas chaves de registro, como técnicas ASEP, que disparam alertas específicos. As chaves de registro usadas exigem um mínimo de privilégios locais Administração ou instalador confiável podem ser modificados. É recomendável usar um ambiente bloqueado com contas administrativas ou direitos mínimos. Outras configurações do sistema podem ser habilitadas, incluindo Desabilitar o SeDebug para funções não solicitadas que fazem parte de nossas recomendações de segurança mais amplas.

Bloquear a criação de chaves de registro específicas

  • Aplica-se a- Todos os Processos
  • Processos- N/A
  • Operação- Modificações do Registro
  • Exemplos de Arquivos/Pastas, Chaves/Valores do Registro, Processos, Serviços- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
  • Regras de redução de superfície de ataque: regras de redução de superfície de ataque bloqueiam as técnicas de ataque e não os Indicadores de Comprometimento (COI). Bloquear uma extensão de arquivo específica nem sempre é útil, pois não impede que um dispositivo se comprometa. Isso só frustra parcialmente um ataque até que os invasores criem um novo tipo de extensão para a carga.
  • Outros recursos recomendados: ter Microsoft Defender Antivírus habilitado, juntamente com a Análise de Comportamento e Proteção de Nuvem é altamente recomendável. Recomendamos que você use prevenção extra, como a regra de redução da superfície de ataque Use proteção avançada contra ransomware. Isso fornece um nível maior de proteção contra ataques de ransomware. Além disso, Microsoft Defender para Ponto de Extremidade monitora várias dessas chaves de registro, como técnicas ASEP, que disparam alertas específicos. Além disso, as chaves de registro usadas exigem um mínimo de privilégios locais Administração ou instalador confiável podem ser modificados. É recomendável usar um ambiente bloqueado com contas administrativas ou direitos mínimos. Outras configurações do sistema podem ser habilitadas, incluindo Desabilitar o SeDebug para funções não solicitadas que fazem parte de nossas recomendações de segurança mais amplas.

Bloquear programas não confiáveis de execução de unidades removíveis

  • Aplica-se a- Programas não confiáveis do USB
  • Processos- *
  • Operação- Execução do processo
  • *Exemplos de Arquivos/Pastas, Chaves/Valores do Registro, Processos, Serviços:-
  • Regras de redução de superfície de ataque: regras de redução de superfície de ataque têm uma regra interna para impedir o lançamento de programas não confiáveis e sem sinal de unidades removíveis: bloquear processos não confiáveis e não assinados que são executados a partir de USB, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
  • Outros recursos recomendados: explore mais controles para dispositivos USB e outras mídias removíveis usando Microsoft Defender para Ponto de Extremidade:Como controlar dispositivos USB e outras mídias removíveis usando Microsoft Defender para Ponto de Extremidade.

Impedir mshta de iniciar determinados processos filho

  • Aplica-se a- Mshta
  • Processos- mshta.exe
  • Operação- Execução do processo
  • Exemplos de Arquivos/Pastas, Chaves/Valores do Registro, Processos, Serviços- powershell.exe, cmd.exe, regsvr32.exe
  • Regras de redução de superfície de ataque: as regras de redução de superfície de ataque não contêm nenhuma regra específica para impedir que processos filho mshta.exe. Esse controle está dentro da competência do Exploit Protection ou Windows Defender Application Control.
  • Outros recursos recomendados: habilitar Windows Defender Controle de Aplicativo para impedir que mshta.exe sejam executados completamente. Se sua organização exigir mshta.exe para a linha de aplicativos empresariais, configure uma regra específica Windows Defender Explore Protection para impedir que mshta.exe inicie processos filho.

Bloquear o Outlook de iniciar processos filho

  • Aplica-se a- Outlook
  • Processos- outlook.exe
  • Operação- Execução do processo
  • Exemplos de Arquivos/Pastas, Chaves/Valores do Registro, Processos, Serviços- powershell.exe
  • Regras de redução de superfície de ataque: regras de redução de superfície de ataque têm uma regra interna para impedir que aplicativos de comunicação do Office (Outlook, Skype e Teams) iniciem processos filho: bloquear o aplicativo de comunicação do Office de criar processos filho, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
  • Outros recursos recomendados: recomendamos habilitar o modo de linguagem restrita do PowerShell para minimizar a superfície de ataque do PowerShell.

Impedir que os Aplicativos do Office iniciem processos filho

  • Aplica-se a- Office
  • Processos- winword.exe, powerpnt.exe, excel.exe
  • Operação- Execução do processo
  • Exemplos de Arquivos/Pastas, Chaves/Valores do Registro, Processos, Serviços- powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
  • Regras de redução de superfície de ataque: regras de redução de superfície de ataque têm uma regra interna para impedir que aplicativos do Office iniciem processos filho: bloqueie todos os aplicativos do Office de criar processos filho, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
  • Outros recursos recomendados: N/A

Impedir que os Aplicativos do Office criem conteúdo executável

  • Aplica-se a- Office
  • Processos- winword.exe, powerpnt.exe, excel.exe
  • Operação- Criação de Arquivo
  • Exemplos de Arquivos/Pastas, Chaves/Valores do Registro, Processos, Serviços- C:\Usuários*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
  • Regras de Redução de Superfície de Ataque- N/A.

Bloquear o Wscript de ler determinados tipos de arquivos

  • Aplica-se a- Wscript
  • Processos- wscript.exe
  • Operação- Leitura de Arquivo
  • Exemplos de Arquivos/Pastas, Chaves/Valores do Registro, Processos, Serviços- C:\Usuários*\AppData**.js, C:\Users*\Downloads**.js
  • Regras de redução de superfície de ataque- Devido a problemas de confiabilidade e desempenho, as regras de redução da superfície de ataque não têm a capacidade de impedir que um processo específico leia um determinado tipo de arquivo de script. Temos uma regra para evitar vetores de ataque que possam se originar desses cenários. O nome da regra é Bloquear JavaScript ou VBScript de iniciar conteúdo executável baixado (GUID d3e037e1-3eb8-44c8-a917-57927947596d) e a execução de Bloco de scripts potencialmente ofuscados (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
  • Outros recursos recomendados: embora existam regras específicas de redução de superfície de ataque que mitigam determinados vetores de ataque nesses cenários, é importante menção que o AV seja capaz por padrão de inspecionar scripts (PowerShell, Host de Script do Windows, JavaScript, VBScript e muito mais) em tempo real, por meio da AMSI (Interface de Verificação antimalware). Mais informações estão disponíveis aqui: AMSI (Interface de Verificação antimalware).

Bloquear o início de processos filho

  • Aplica-se ao Adobe Acrobat
  • Processos- AcroRd32.exe, Acrobat.exe
  • Operação- Execução do processo
  • Exemplos de Arquivos/Pastas, Chaves/Valores do Registro, Processos, Serviços- cmd.exe, powershell.exe, wscript.exe
  • Regras de redução de superfície de ataque: as regras de redução de superfície de ataque permitem impedir que o Adobe Reader inicie processos filho. O nome da regra é Bloquear o Adobe Reader de criar processos filho, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
  • Outros recursos recomendados: N/A

Bloquear o download ou a criação de conteúdo executável

  • Aplica-se a- CertUtil: Bloquear download ou criação de executável
  • Processos- certutil.exe
  • Operação- Criação de Arquivo
  • Exemplos de Arquivos/Pastas, Chaves/Valores do Registro, Processos, Serviços- *.exe
  • Regras de redução de superfície de ataque- regras de redução de superfície de ataque não dão suporte a esses cenários porque eles fazem parte da proteção antivírus Microsoft Defender.
  • Outros recursos recomendados: Microsoft Defender Antivírus impede que o CertUtil crie ou baixe conteúdo executável.

Bloquear processos de interrupção de componentes críticos do Sistema

  • Aplica-se a- Todos os Processos
  • Processos- *
  • Operação- Término do processo
  • Exemplos de Arquivos/Pastas, Chaves/Valores do Registro, Processos, Serviços- MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe e muito mais.
  • Regras de redução de superfície de ataque: as regras de redução de superfície de ataque não dão suporte a esses cenários porque são protegidos com proteções de segurança internas do Windows.
  • Outros recursos recomendados: ELAM (Early Launch AntiMalware), PPL (Protection Process Light), PPL AntiMalware Light e System Guard.

Bloquear tentativa de processo de inicialização específica

  • Aplica-se a- Processos Específicos
  • Processos- Nomeie seu processo
  • Operação- Execução do processo
  • Exemplos de Arquivos/Pastas, Chaves/Valores do Registro, Processos, Serviços- tor.exe, bittorrent.exe, cmd.exe, powershell.exe e muito mais
  • Regras de redução de superfície de ataque- No geral, as regras de redução de superfície de ataque não foram projetadas para funcionar como um gerenciador de aplicativos.
  • Outros recursos recomendados: para impedir que os usuários iniciem processos ou programas específicos, é recomendável usar Windows Defender Controle de Aplicativo. Microsoft Defender para Ponto de Extremidade Indicadores de Arquivo e Cert, podem ser usados em um cenário de Resposta a Incidentes (não deve ser visto como um mecanismo de controle de aplicativo).

Bloquear alterações não autorizadas em configurações Microsoft Defender Antivírus

  • Aplica-se a- Todos os Processos
  • Processos- *
  • Operação- Modificações do Registro
  • Exemplos de Arquivos/Pastas, Chaves/Valores do Registro, Processos, Serviços- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring e assim por diante.
  • Regras de redução de superfície de ataque- regras de redução de superfície de ataque não abrangem esses cenários porque fazem parte do Microsoft Defender para Ponto de Extremidade proteção interna.
  • Outros recursos recomendados: a Proteção contra Adulteração (opt-in, gerenciada do Intune) impede alterações não autorizadas no DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring e DisableIOAVProtection registry keys (e muito mais).

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.