Protection contre les exploits (EDR)

Rôles requis : SPC Groupe d’administration et SPC Groupe d’analystes.

Cette catégorie de contrôles d’atténuation couvre les mesures d’atténuation disponibles sur vos actifs sous la forme d’une configuration de l’agent de protection du point de terminaison. Cela s’applique aux agents de protection des points de terminaison tels que CrowdStrikeMicrosoft SCCM et Defender Microsoft Mitigation Control Integration et SentineOne.

Les paramètres d’atténuation des exploits tels que « Forcer la randomisation de la disposition de l’espace d’adressage » et « Forcer DEP » peuvent être activés dans les outils de protection des points de terminaison tels que CrowdStrike. SPC détecte automatiquement cette configuration sur les appareils à l’aide des politiques incluses dans l’application et de l’intégration de l’API avec les outils de protection des points de terminaison.

Conditions préalables à la détection de la protection des exploits (EDR) avec CrowdStrike

1. Vérifiez que vous avez activé le CrowdStrike connecteur du graphe de services. Cette application est disponible dans le ServiceNow Store. Les informations d’installation et de configuration sont incluses dans la liste des applications. Consultez Installer et configurer les intégrations pour la surveillance des contrôles d’atténuation CrowdStrike pour plus d'informations.
2. Vérifiez que l’intégration de l’API CrowdStrike est activée dans l’espace Contrôle de la posture de sécurité de travail.

Contrôles et politiques d’atténuation dans la protection contre les exploits (EDR) CrowdStrike

Conditions préalables à la détection de la protection des exploits (EDR) avec Microsoft SCCM et l’intégration du contrôle d’atténuation Microsoft de Defender

Microsoft Informations d’identification SCCM incluant le rôle d’auteur de script. Le rôle d’auteur de script fournit les autorisations requises pour créer un script nécessaire pour importer des informations d’atténuation sur le serveur SCCM.

Consultez Installer et configurer le connecteur du graphe de services pour Microsoft SCCM et l’intégration du contrôle d’atténuation de Microsoft Defender pour plus d'informations.

Contrôles et politiques d’atténuation dans Exploit Protection (EDR) avec Microsoft SCCM et Microsoft Defender Mitigation Control Integration :

• Defender – Atténuation des exploits – CFG

  Microsoft Protection du flux de contrôle Defender.

• Defender – Atténuation des exploits – DEP

  Microsoft Prévention de l’exécution des données Defender.

• Defender – Atténuation des exploits – ASLR obligatoire et ASLR ascendante

  Microsoft Défenseur force ASLR.

• MITRE Tactiques abordées : accès initial, exécution, accès aux informations d’identification, évasion de la défense, escalade de privilèges, mouvement latéral.
• MITRE Techniques abordées par cette atténuation : compromission furtive (accès initial), exploitation pour l’exécution du client (exécution), exploitation pour l’accès aux informations d’identification (accès aux informations d’identification), exploitation pour l’évasion de défense (évasion de défense), exploitation pour l’escalade de privilège (évasion de défense), exploitation des services à distance (mouvement latéral).

Conditions préalables à la détection de la protection des exploits (EDR) avec l’intégration de contrôle d’atténuation SentinelOne