Für Exploit-Schutz (EDR) erforderliche Minderungssteuerungen und -Richtlinien

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Die für die Überwachung von Exploit-Schutz-Endpunkterkennung und -Reaktion (EDR) erforderlichen Minderungssteuerungen und -Richtlinien sind in enthalten Sicherheitsstatus-ÜberwachungProdukt.

    Exploit-Schutz (EDR)

    Erforderliche Rollen: SSÜAdministratorgruppe und SSÜAnalystengruppe.

    Diese Kategorie von Minderungssteuerungen deckt Minderungen ab, die für Ihre Assets in Form der Konfiguration des Endpunktschutz-Agenten verfügbar sind. Dies gilt für Endpunktschutz-Agenten wie CrowdStrikeUnd MicrosoftMicrosoft Azure Event HubsSCCM und MicrosoftMicrosoft Azure Event HubsIntegration der Defender-Minderungssteuerung und SentineOne.

    Einstellungen zur Exploit-Minderung wie „Randomisierung des Adressraumlayouts erzwingen“ und „DEP erzwingen“ können in Endpunktschutztools wie aktiviert werden CrowdStrike. SSÜErkennt diese Konfiguration automatisch auf Geräten mithilfe der Richtlinien, die in der Anwendung enthalten sind, und der API-Integration mit Endpunktschutztools.

    Voraussetzungen für die Erkennung von Exploit Protection (EDR) mit CrowdStrike

    1. Stellen Sie sicher, dass Sie aktiviert haben CrowdStrikeService Graph-Connector. Diese Anwendung ist im ServiceNow Store verfügbar. Die Installations- und Konfigurationsinformationen sind in der App-Liste enthalten. Weitere Informationen finden Sie unter Installieren und konfigurieren Sie CrowdStrikeIntegrationen für die Überwachung der Minderungssteuerung.
    2. Überprüfen Sie, ob CrowdStrikeDie API-Integration ist in aktiviert Sicherheitsstatus-ÜberwachungArbeitsbereich.

    Minderungssteuerungen und -Richtlinien im Exploit-Schutz (EDR) CrowdStrike

    • CrowdStrike – Exploit-Minderung: ASLR erzwingen
      • Quellen: CrowdStrikeAPIs
      • MITRE Behandelte Taktiken: Anfänglicher Zugriff, Ausführung, Anmeldeinformationszugriff, Verteidigungsumgehung, Berechtigungseskalation, Seitliche Bewegung
      • MITRE Techniken, die von dieser Minderung behandelt werden: Drive-by-Gefährdung (anfänglicher Zugriff), Ausnutzung für Clientausführung (Ausführung), Ausnutzung für Anmeldeinformationszugriff (Anmeldeinformationszugriff), Ausnutzung für Verteidigungsumgehung (Verteidigungsumgehung), Ausnutzung für Berechtigungseskalation (Verteidigungsumgehung), Ausnutzung von Remoteservices (seitliche Bewegung)
      • Richtlinien: Die CrowdStrikeDie ASLR-Richtlinie erzwingen muss aktiviert sein, um diese Minderungssteuerung zu identifizieren. Sie können optional andere Richtlinien zur Minderungssteuerung aktivieren.
    • CrowdStrike – Exploit-Minderung: DEP erzwingen
      • Quellen: CrowdStrikeAPIs
      • MITRE Behandelte Taktiken: Anfänglicher Zugriff, Ausführung, Anmeldeinformationszugriff, Verteidigungsumgehung, Berechtigungseskalation, Seitliche Bewegung
      • MITRE Techniken, die von dieser Minderung behandelt werden: Drive-by-Gefährdung (anfänglicher Zugriff), Ausnutzung für Clientausführung (Ausführung), Ausnutzung für Anmeldeinformationszugriff (Anmeldeinformationszugriff), Ausnutzung für Verteidigungsumgehung (Verteidigungsumgehung), Ausnutzung für Berechtigungseskalation (Verteidigungsumgehung), Ausnutzung von Remoteservices (seitliche Bewegung)
      • Richtlinien: Die CrowdStrikeDie DEP-Richtlinie erzwingen muss aktiviert sein, um diese Minderungssteuerung zu identifizieren. Sie können optional andere Richtlinien zur Minderungssteuerung aktivieren.
    • CrowdStrike – Exploit-Minderung: Vorzuteilung Des Heap-Sprühs
      • Quellen: CrowdStrikeAPIs
      • MITRE Behandelte Taktiken: Anfänglicher Zugriff, Ausführung, Anmeldeinformationszugriff, Verteidigungsumgehung, Berechtigungseskalation, Seitliche Bewegung
      • MITRE Techniken, die von dieser Minderung behandelt werden: Drive-by-Gefährdung (anfänglicher Zugriff), Ausnutzung für Clientausführung (Ausführung), Ausnutzung für Anmeldeinformationszugriff (Anmeldeinformationszugriff), Ausnutzung für Verteidigungsumgehung (Verteidigungsumgehung), Ausnutzung für Berechtigungseskalation (Verteidigungsumgehung), Ausnutzung von Remoteservices (seitliche Bewegung)
      • Richtlinien: Die Heap-Spray-Vorzuteilungsrichtlinie muss aktiviert sein, um diese Minderungssteuerung zu identifizieren. Sie können optional andere Richtlinien zur Minderungssteuerung aktivieren.
    • CrowdStrike – Exploit-Minderung: Null-Seitenzuteilung
      • Quellen: CrowdStrikeAPIs
      • MITRE Behandelte Taktiken: Anfänglicher Zugriff, Ausführung, Anmeldeinformationszugriff, Verteidigungsumgehung, Berechtigungseskalation, Seitliche Bewegung
      • MITRE Techniken, die von dieser Minderung behandelt werden: Drive-by-Gefährdung (anfänglicher Zugriff), Ausnutzung für Clientausführung (Ausführung), Ausnutzung für Anmeldeinformationszugriff (Anmeldeinformationszugriff), Ausnutzung für Verteidigungsumgehung (Verteidigungsumgehung), Ausnutzung für Berechtigungseskalation (Verteidigungsumgehung), Ausnutzung von Remoteservices (seitliche Bewegung)
      • Richtlinien: Die CrowdStrikeDie Richtlinie für DIE NULL-Seitenzuteilung muss aktiviert sein, um diese Minderungssteuerung zu identifizieren. Sie können optional andere Richtlinien zur Minderungssteuerung aktivieren.
    • CrowdStrike – Exploit-Minderung – seh-Überschreibung
      • Quellen: CrowdStrikeAPIs
      • MITRE Behandelte Taktiken: Anfänglicher Zugriff, Ausführung, Anmeldeinformationszugriff, Verteidigungsumgehung, Berechtigungseskalation, Seitliche Bewegung
      • MITRE Techniken, die von dieser Minderung behandelt werden: Drive-by-Gefährdung (anfänglicher Zugriff), Ausnutzung für Clientausführung (Ausführung), Ausnutzung für Anmeldeinformationszugriff (Anmeldeinformationszugriff), Ausnutzung für Verteidigungsumgehung (Verteidigungsumgehung), Ausnutzung für Berechtigungseskalation (Verteidigungsumgehung), Ausnutzung von Remoteservices (seitliche Bewegung)
      • Richtlinien: Mindestens die CrowdStrike seh-Überschreibschutzrichtlinie muss aktiviert sein, um diese Minderungssteuerung zu identifizieren. Sie können optional andere Richtlinien zur Minderungssteuerung aktivieren.
    • CrowdStrike – Exploit-Minderung: Alle Einstellungen Aktiviert
      • Quellen: CrowdStrikeAPIs
      • MITRE Behandelte Taktiken: Anfänglicher Zugriff, Ausführung, Anmeldeinformationszugriff, Verteidigungsumgehung, Berechtigungseskalation, Seitliche Bewegung
      • MITRE Techniken, die von dieser Minderung behandelt werden: Drive-by-Gefährdung (anfänglicher Zugriff), Ausnutzung für Clientausführung (Ausführung), Ausnutzung für Anmeldeinformationszugriff (Anmeldeinformationszugriff), Ausnutzung für Verteidigungsumgehung (Verteidigungsumgehung), Ausnutzung für Berechtigungseskalation (Verteidigungsumgehung), Ausnutzung von Remoteservices (seitliche Bewegung)
      • Richtlinien: Alle folgenden Richtlinien müssen aktiviert sein, um diese Minderungssteuerung zu identifizieren: CrowdStrike Force ASLR, CrowdStrikeDEP, Heap-Spray-Vorzuteilung, CrowdStrike Null-Seitenzuteilung und CrowdStrike-seh-Überschreibschutz erzwingen.

    Voraussetzungen für die Erkennung von Exploit Protection (EDR) mit MicrosoftMicrosoft Azure Event HubsSCCM und MicrosoftMicrosoft Azure Event HubsIntegration Der Defender-Minderungssteuerung

    MicrosoftMicrosoft Azure Event Hubs SCCM-Anmeldeinformationen, die die Rolle „Skriptautoren“ enthalten. Die Rolle „Skriptautoren“ bietet die erforderlichen Berechtigungen zum Erstellen eines Skripts, das zum Importieren von Minderungsinformationen auf den SCCM-Server erforderlich ist.

    Weitere Informationen finden Sie unter Installieren und konfigurieren Sie den Service Graph Connector für Microsoft SCCM und die Microsoft Defender-Minderungssteuerungsintegration.

    Minderungssteuerungen und -Richtlinien im Exploit-Schutz (EDR) mit Microsoft SCCM und der Microsoft Defender-Minderungssteuerungsintegration:

    • Verteidiger – Exploit-Minderung – CFG

      MicrosoftMicrosoft Azure Event Hubs Flow-Schutz Für Defender-Steuerung.

    • Verteidiger – Exploit-Minderung – DEP

      MicrosoftMicrosoft Azure Event Hubs Verhinderung Der Datenausführung Von Defender.

    • Verteidiger – Exploit-Minderung: Obligatorische ASLR und Bottom-up-ASLR

      MicrosoftMicrosoft Azure Event Hubs Verteidiger-Kraft-ASLR.

    • MITRE Behandelte Taktiken: Anfänglicher Zugriff, Ausführung, Anmeldeinformationszugriff, Verteidigungsumgehung, Berechtigungseskalation, Seitliche Bewegung.
    • MITRE Techniken, die von dieser Minderung behandelt werden: Drive-by-Gefährdung (anfänglicher Zugriff), Ausnutzung für Clientausführung (Ausführung), Ausnutzung für Anmeldeinformationszugriff (Anmeldeinformationszugriff), Ausnutzung für Verteidigungsumgehung (Verteidigungsumgehung), Ausnutzung für Berechtigungseskalation (Verteidigungsumgehung), Ausnutzung von Remoteservices (seitliche Bewegung).

    Voraussetzungen für die Erkennung von Exploit Protection (EDR) mit der Integration der SentinelOne-Minderungssteuerung

    1. Stellen Sie sicher, dass Sie den SentinelOne Service Graph Connector aktiviert haben.

      Diese Anwendung ist im ServiceNow Store verfügbar. Die Installations- und Konfigurationsinformationen sind in der App-Liste enthalten. Weitere Informationen finden Sie unter Installieren und konfigurieren Sie Service Graph Connector für SentinelOneUnd die Integration der SentinelOne-Minderungssteuerung.

    2. Stellen Sie sicher, dass die SentinelOne-API-Integration im Arbeitsbereich „Sicherheitsstatus-Steuerung“ aktiviert ist.
    3. Überprüfen Sie die Richtlinien für SentinelOne-Minderungssteuerungen, die in der Anwendung enthalten sind:
      • SentinelOne-Anwendungssteuerung
      • SentinelOne-Datendateien
      • Ausführbare SentinelOne-Dateien
      • SentinelOne-Exploits
      • SentinelOne-IDR
      • SentinelOne – interaktive Bedrohung erkennen
      • SentinelOne erkennt seitliche Bewegungen
      • Statische KI von SentinelOne
      • SentinelOne statische KI – verdächtig
      • Potenziell unerwünschte SentinelOne-Anwendungen
      • SentinelOne Remote-Shell
      • SentinelOne Reputation