Controles e políticas de mitigação necessários para proteção contra exploração (EDR)

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 6 min. de leitura

    • Os controles e políticas de mitigação necessários para o monitoramento de detecção e resposta de endpoint de proteção contra exploração (EDR) e estão incluídos com o. Controle de posturas de segurançaproduto.

    Proteção contra exploração (EDR)

    Funções necessárias: SPCGrupo de administração e. SPCGrupo de analistas.

    Esta categoria de controles de mitigação abrange as mitigações disponíveis em seus ativos na forma de configuração do agente de proteção de endpoint. Isso se aplica a agentes de proteção de endpoint, como CrowdStrikee. MicrosoftSCCM e o. MicrosoftIntegração de controle de mitigação do Defender e SentineOne.

    As configurações de mitigação de exploração, como "Forçar randomização de layout do espaço de endereço" e "Forçar DEP", podem ser habilitadas em ferramentas de proteção de endpoint, como CrowdStrike. SPCDetecta automaticamente essa configuração em dispositivos com a ajuda das políticas incluídas com a aplicação e a integração de API com ferramentas de proteção de endpoint.

    Pré-requisitos para detecção de proteção contra exploração (EDR) com CrowdStrike

    1. Verifique se você ativou o. CrowdStrikeConector do Service Graph. Esta aplicação está disponível na ServiceNow Store. As informações de instalação e configuração estão incluídas na lista de apps. Para obter mais informações, consulte Instale e configure o. CrowdStrikeintegrações para monitoramento de controle de mitigação.
    2. Verifique se CrowdStrikeA integração de API está ativada no Controle de posturas de segurançaEspaço.

    Controles e políticas de mitigação na proteção contra exploração (EDR) CrowdStrike

    • CrowdStrike – Mitigação de exploração – Forçar ASLR
      • Fontes: CrowdStrikeAPIs
      • MITRE Táticas abordadas: Acesso inicial, execução, acesso de credencial, evasão de defesa, escalação de privilégio, movimento lateral
      • MITRE Técnicas abordadas por esta mitigação: Comprometimento de drive-by (acesso inicial), exploração para execução de cliente (execução), exploração para acesso a credencial (acesso a credencial), exploração para evasão de defesa (evasão de defesa), exploração para escalação de privilégio (evasão de defesa), exploração de serviços remotos (movimento lateral)
      • Políticas - o. CrowdStrikeForçar política de ASLR deve ser ativada para identificar este controle de mitigação. Opcionalmente, você pode ativar outras políticas de controle de mitigação.
    • CrowdStrike – Mitigação de exploração – Forçar DEP
      • Fontes: CrowdStrikeAPIs
      • MITRE Táticas abordadas: Acesso inicial, execução, acesso de credencial, evasão de defesa, escalação de privilégio, movimento lateral
      • MITRE Técnicas abordadas por esta mitigação: Comprometimento de drive-by (acesso inicial), exploração para execução de cliente (execução), exploração para acesso a credencial (acesso a credencial), exploração para evasão de defesa (evasão de defesa), exploração para escalação de privilégio (evasão de defesa), exploração de serviços remotos (movimento lateral)
      • Políticas - o. CrowdStrikeForçar política de DEP deve ser ativada para identificar este controle de mitigação. Opcionalmente, você pode ativar outras políticas de controle de mitigação.
    • CrowdStrike – Mitigação de exploração – Pré-alocação de pulverização de heap
      • Fontes: CrowdStrikeAPIs
      • MITRE Táticas abordadas: Acesso inicial, execução, acesso de credencial, evasão de defesa, escalação de privilégio, movimento lateral
      • MITRE Técnicas abordadas por esta mitigação: Comprometimento de drive-by (acesso inicial), exploração para execução de cliente (execução), exploração para acesso a credencial (acesso a credencial), exploração para evasão de defesa (evasão de defesa), exploração para escalação de privilégio (evasão de defesa), exploração de serviços remotos (movimento lateral)
      • Políticas: A política de pré-alocação de pulverização de heap deve ser ativada para identificar este controle de mitigação. Opcionalmente, você pode ativar outras políticas de controle de mitigação.
    • CrowdStrike – Mitigação de exploração – Alocação de página NULA
      • Fontes: CrowdStrikeAPIs
      • MITRE Táticas abordadas: Acesso inicial, execução, acesso de credencial, evasão de defesa, escalação de privilégio, movimento lateral
      • MITRE Técnicas abordadas por esta mitigação: Comprometimento de drive-by (acesso inicial), exploração para execução de cliente (execução), exploração para acesso a credencial (acesso a credencial), exploração para evasão de defesa (evasão de defesa), exploração para escalação de privilégio (evasão de defesa), exploração de serviços remotos (movimento lateral)
      • Políticas: O. CrowdStrikeA política de alocação de página NULA deve ser ativada para identificar este controle de mitigação. Opcionalmente, você pode ativar outras políticas de controle de mitigação.
    • CrowdStrike – Mitigação de exploração – Substituir SEH
      • Fontes: CrowdStrikeAPIs
      • MITRE Táticas abordadas: Acesso inicial, execução, acesso de credencial, evasão de defesa, escalação de privilégio, movimento lateral
      • MITRE Técnicas abordadas por esta mitigação: Comprometimento de drive-by (acesso inicial), exploração para execução de cliente (execução), exploração para acesso a credencial (acesso a credencial), exploração para evasão de defesa (evasão de defesa), exploração para escalação de privilégio (evasão de defesa), exploração de serviços remotos (movimento lateral)
      • Políticas: No mínimo, a política de proteção de substituição do CrowdStrike SEH deve ser ativada para identificar este controle de mitigação. Opcionalmente, você pode ativar outras políticas de controle de mitigação.
    • CrowdStrike – Mitigação de exploração - Todas as configurações ativadas
      • Fontes: CrowdStrikeAPIs
      • MITRE Táticas abordadas: Acesso inicial, execução, acesso de credencial, evasão de defesa, escalação de privilégio, movimento lateral
      • MITRE Técnicas abordadas por esta mitigação: Comprometimento de drive-by (acesso inicial), exploração para execução de cliente (execução), exploração para acesso a credencial (acesso a credencial), exploração para evasão de defesa (evasão de defesa), exploração para escalação de privilégio (evasão de defesa), exploração de serviços remotos (movimento lateral)
      • Políticas: Todas as seguintes políticas devem ser ativadas para identificar este controle de mitigação: CrowdStrike Force ASLR, CrowdStrikeForce DEP, pré-alocação de pulverização de heap, alocação de página NULL do CrowdStrike e proteção de substituição de SEH do CrowdStrike.

    Pré-requisitos para detecção de proteção contra exploração (EDR) com MicrosoftSCCM e o. MicrosoftIntegração do controle de mitigação do Defender

    Microsoft Credenciais do SCCM que incluem a função Autores de script. A função Autores de script fornece as permissões necessárias para criar um script necessário para importar informações de mitigação no servidor SCCM.

    Para obter mais informações, consulte Instale e configure o Conector do Service Graph para Microsoft SCCM e a Integração do controle de mitigação do Microsoft Defender.

    Controles de mitigação e políticas na Proteção contra exploits (EDR) com o Microsoft SCCM e a integração do controle de mitigação do Microsoft Defender:

    • Defensor – Mitigação de exploração – CFG

      Microsoft Proteção de fluxo de controle do Defender.

    • Defensor – Mitigação de exploração – DEP

      Microsoft Prevenção de execução de dados do Defender.

    • Defender – Mitigação de exploração – ASLR obrigatório e ASLR de baixo para cima

      Microsoft Defender FORCE ASLR.

    • MITRE Táticas abordadas: Acesso inicial, execução, acesso de credencial, evasão de defesa, escalação de privilégio, movimento lateral.
    • MITRE Técnicas abordadas por esta mitigação: Comprometimento de drive-by (acesso inicial), exploração para execução de cliente (execução), exploração para acesso a credencial (acesso a credencial), exploração para evasão de defesa (evasão de defesa), exploração para escalação de privilégio (evasão de defesa), exploração de serviços remotos (movimento lateral).

    Pré-requisitos para detecção de proteção contra exploits (EDR) com a integração de controle de mitigação SentinelOne

    1. Verifique se você ativou o conector do SentinelOne Service Graph.

      Esta aplicação está disponível na ServiceNow Store. As informações de instalação e configuração estão incluídas na lista de apps. Para obter mais informações, consulte Instale e configure o. Conector do Service Graph para SentinelOneE a Integração de controle de mitigação do SentinelOne.

    2. Verifique se a integração da API SentinelOne está ativada no Espaço de controle de postura de segurança.
    3. Revise as políticas de controles de mitigação do SentinelOne incluídas com a aplicação:
      • Controle de aplicações SentinelOne
      • Arquivos de dados do SentinelOne
      • Executáveis SentinelOne
      • Explorações do SentinelOne
      • IDR do SentinelOne
      • Detectar ameaça interativa do SentinelOne
      • SentinelOne deteta movimento lateral
      • IA estática do SentinelOne
      • IA estática do SentinelOne - Suspeito
      • SentinelOne Aplicações potencialmente indesejadas
      • Shell remoto SentinelOne
      • Reputação do SentinelOne