Migrar de um HIPS que não é da Microsoft para atacar regras de redução da superfície

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2

Este artigo ajuda-o a mapear regras comuns para Microsoft Defender para Endpoint.

Cenários ao migrar de um produto HIPS não Microsoft para regras de redução da superfície de ataque

Bloquear a criação de ficheiros específicos

• Aplica-se a- Todos os processos
• Operação – Criação de Ficheiros
• Exemplos de Ficheiros/Pastas, Chaves de Registo/Valores, Processos, Serviços- *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
• Regras de Redução da Superfície de Ataque – as regras de redução da superfície de ataque bloqueiam as técnicas de ataque e não os Indicadores de Compromisso (COI). O bloqueio de uma extensão de ficheiro específica nem sempre é útil, uma vez que não impede que um dispositivo se comprometa. Apenas impede parcialmente um ataque até que os atacantes criem um novo tipo de extensão para o payload.
• Outras funcionalidades recomendadas – é altamente recomendado ter Microsoft Defender Antivírus ativado, juntamente com a Proteção da Cloud e a Análise de Comportamento. Recomendamos que utilize outra prevenção, como a regra de redução da superfície de ataque Utilize proteção avançada contra ransomware, que fornece um maior nível de proteção contra ataques de ransomware. Além disso, Microsoft Defender para Endpoint monitoriza muitas destas chaves de registo, tais como técnicas do ASEP, que acionam alertas específicos. As chaves de registo utilizadas requerem um mínimo de privilégios de Administração Local ou Instalador Fidedigno. Recomenda-se a utilização de um ambiente bloqueado com contas ou direitos administrativos mínimos. Outras configurações do sistema podem ser ativadas, incluindo Desativar SeDebug para funções não necessárias que fazem parte das nossas recomendações de segurança mais amplas.

Bloquear a criação de chaves de registo específicas

• Aplica-se a- Todos os Processos
• Processos - N/D
• Operação – Modificações do Registo
• Exemplos de Ficheiros/Pastas, Chaves de Registo/Valores, Processos, Serviços- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
• Regras de Redução da Superfície de Ataque – as regras de redução da superfície de ataque bloqueiam as técnicas de ataque e não os Indicadores de Compromisso (COI). O bloqueio de uma extensão de ficheiro específica nem sempre é útil, porque não impede que um dispositivo se comprometa. Apenas impede parcialmente um ataque até que os atacantes criem um novo tipo de extensão para o payload.
• Outras funcionalidades recomendadas – é altamente recomendado ter Microsoft Defender Antivírus ativado, juntamente com a Proteção da Cloud e a Análise de Comportamento. Recomendamos que utilize prevenção adicional, como a regra de redução da superfície de ataque Utilize proteção avançada contra ransomware. Isto fornece um maior nível de proteção contra ataques de ransomware. Além disso, Microsoft Defender para Endpoint monitoriza várias destas chaves de registo, como técnicas do ASEP, que acionam alertas específicos. Além disso, as chaves de registo utilizadas requerem um mínimo de privilégios de Administração Local ou Instalador Fidedigno. Recomenda-se a utilização de um ambiente bloqueado com contas ou direitos administrativos mínimos. Outras configurações do sistema podem ser ativadas, incluindo Desativar SeDebug para funções não necessárias que fazem parte das nossas recomendações de segurança mais amplas.

Bloquear a execução de programas não fidedignos a partir de unidades amovíveis

• Aplica-se a - Programas Não Fidedignos a partir de USB
• Processos- *
• Operação – Execução de Processos
• * Exemplos de Ficheiros/Pastas, Chaves de Registo/Valores, Processos, Serviços:-
• Regras de Redução da Superfície de Ataque – as regras de redução da superfície de ataque têm uma regra incorporada para impedir o lançamento de programas não fidedignos e não assinados de unidades amovíveis: bloquear processos não fidedignos e não assinados que sejam executados a partir de USB, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
• Outras funcionalidades recomendadas – explore mais controlos para dispositivos USB e outros suportes de dados amovíveis com Microsoft Defender para Endpoint:Como controlar dispositivos USB e outros suportes de dados amovíveis com Microsoft Defender para Endpoint.

Bloquear o Mshta de iniciar determinados processos subordinados

• Aplica-se a- Mshta
• Processos - mshta.exe
• Operação – Execução de Processos
• Exemplos de Ficheiros/Pastas, Chaves de Registo/Valores, Processos, Serviços- powershell.exe, cmd.exe, regsvr32.exe
• Regras de Redução da Superfície de Ataque– as regras de redução da superfície de ataque não contêm nenhuma regra específica para impedir que os processos subordinadosmshta.exe. Este controlo está dentro do âmbito do Exploit Protection ou Windows Defender Controlo de Aplicações.
• Outras funcionalidades recomendadas – ative Windows Defender Controlo de Aplicações para impedir que mshta.exe sejam executados completamente. Se a sua organização precisar de mshta.exe para aplicações de linha de negócio, configure uma regra específica Windows Defender Exploit Protection para impedir mshta.exe de iniciar processos subordinados.

Bloquear o Outlook de iniciar processos subordinados

• Aplica-se ao Outlook
• Processos - outlook.exe
• Operação – Execução de Processos
• Exemplos de Ficheiros/Pastas, Chaves de Registo/Valores, Processos, Serviços - powershell.exe
• Regras de Redução da Superfície de Ataque– as regras de redução da superfície de ataque têm uma regra incorporada para impedir que as aplicações de comunicação do Office (Outlook, Skype e Teams) iniciem processos subordinados: impedir que a aplicação de comunicação do Office crie processos subordinados, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
• Outras funcionalidades recomendadas – recomendamos que ative o modo de idioma restrito do PowerShell para minimizar a superfície de ataque do PowerShell.

Impedir que as Aplicações do Office iniciem processos subordinados

• Aplica-se ao Office
• Processos - winword.exe, powerpnt.exe, excel.exe
• Operação – Execução de Processos
• Exemplos de Ficheiros/Pastas, Chaves de Registo/Valores, Processos, Serviços- powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
• Regras de Redução da Superfície de Ataque – as regras de redução da superfície de ataque têm uma regra incorporada para impedir que as aplicações do Office iniciem processos subordinados: bloquear todas as aplicações do Office de criar processos subordinados, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
• Outras funcionalidades recomendadas – N/D

Bloquear a criação de conteúdos executáveis nas Aplicações do Office

• Aplica-se ao Office
• Processos - winword.exe, powerpnt.exe, excel.exe
• Operação – Criação de Ficheiros
• Exemplos de Ficheiros/Pastas, Chaves de Registo/Valores, Processos, Serviços- C:\Utilizadores*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
• Regras de Redução da Superfície de Ataque – N/D.

Impedir o Wscript de ler determinados tipos de ficheiros

• Aplica-se a- Wscript
• Processos - wscript.exe
• Operação – Leitura do Ficheiro
• Exemplos de Ficheiros/Pastas, Chaves de Registo/Valores, Processos, Serviços- C:\Utilizadores*\AppData**.js, C:\Utilizadores*\Transferências**.js
• Regras de Redução da Superfície de Ataque – devido a problemas de fiabilidade e desempenho, as regras de redução da superfície de ataque não têm a capacidade de impedir que um processo específico leia um determinado tipo de ficheiro de script. Temos uma regra para impedir vetores de ataques que possam ter origem nestes cenários. O nome da regra é Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido (GUID d3e037e1-3eb8-44c8-a917-57927947596d) e a execução de Bloqueio de scripts potencialmente ocultos (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
• Outras funcionalidades recomendadas– embora existam regras específicas de redução da superfície de ataque que mitigam determinados vetores de ataque nestes cenários, é importante mencionar que o AV é capaz, por predefinição, de inspecionar scripts (PowerShell, Anfitrião de Script do Windows, JavaScript, VBScript e muito mais) em tempo real, através da Interface de Análise Antimalware (AMSI). Estão disponíveis mais informações aqui: Antimalware Scan Interface (AMSI).

Bloquear o lançamento de processos subordinados

• Aplica-se ao Adobe Acrobat
• Processos - AcroRd32.exe, Acrobat.exe
• Operação – Execução de Processos
• Exemplos de Ficheiros/Pastas, Chaves de Registo/Valores, Processos, Serviços- cmd.exe, powershell.exe, wscript.exe
• Regras de Redução da Superfície de Ataque– as regras de redução da superfície de ataque permitem impedir o Adobe Reader de iniciar processos subordinados. O nome da regra é Impedir o Adobe Reader de criar processos subordinados, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
• Outras funcionalidades recomendadas – N/D

Bloquear a transferência ou criação de conteúdo executável

• Aplica-se a- CertUtil: bloquear a transferência ou criação do executável
• Processos - certutil.exe
• Operação – Criação de Ficheiros
• Exemplos de Ficheiros/Pastas, Chaves de Registo/Valores, Processos, Serviços - *.exe
• Regras de Redução da Superfície de Ataque – as regras de redução da superfície de ataque não suportam estes cenários porque fazem parte da proteção antivírus Microsoft Defender.
• Outras funcionalidades recomendadas- Microsoft Defender Antivírus impede o CertUtil de criar ou transferir conteúdo executável.

Impedir que os processos parem componentes críticos do Sistema

• Aplica-se a- Todos os Processos
• Processos- *
• Operação – Terminação do Processo
• Exemplos de Ficheiros/Pastas, Chaves de Registo/Valores, Processos, Serviços- MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe e muito mais.
• Regras de Redução da Superfície de Ataque– as regras de redução da superfície de ataque não suportam estes cenários porque estão protegidos com proteções de segurança incorporadas do Windows.
• Outras funcionalidades recomendadas: ELAM (Early Launch AntiMalware), PPL (Protection Process Light), PPL AntiMalware Light e System Guard.

Bloquear tentativa de processo de iniciação específica

• Aplica-se a- Processos Específicos
• Processos- Atribuir um nome ao processo
• Operação – Execução de Processos
• Exemplos de Ficheiros/Pastas, Chaves de Registo/Valores, Processos, Serviços- tor.exe, bittorrent.exe, cmd.exe, powershell.exe e muito mais
• Regras de Redução da Superfície de Ataque – globalmente, as regras de redução da superfície de ataque não foram concebidas para funcionar como gestor de Aplicações.
• Outras funcionalidades recomendadas – para impedir que os utilizadores iniciem processos ou programas específicos, é recomendado utilizar Windows Defender Controlo de Aplicações. Microsoft Defender para Endpoint os indicadores Ficheiro e Certificado, podem ser utilizados num cenário de Resposta a Incidentes (não deve ser visto como um mecanismo de controlo de aplicações).

Bloquear alterações não autorizadas às configurações do Antivírus do Microsoft Defender

• Aplica-se a- Todos os Processos
• Processos- *
• Operação – Modificações do Registo
• Exemplos de Ficheiros/Pastas, Chaves de Registo/Valores, Processos, Serviços- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring, etc.
• Regras de Redução da Superfície de Ataque– as regras de redução da superfície de ataque não abrangem estes cenários porque fazem parte do Microsoft Defender para Endpoint proteção incorporada.
• Outras funcionalidades recomendadas: a Proteção contra Adulteração (opt-in, gerida a partir de Intune) impede alterações não autorizadas a DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring e chaves de registo DisableIOAVProtection (etc.).

Consulte também

• FAQ sobre a redução da superfície de ataque
• Ativar regras de redução da superfície de ataque
• Avaliar regras de redução da superfície de ataque

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.