Controles e políticas de mitigação necessários para a proteção contra exploração (EDR)

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 6 min. de leitura

    • Os controles e políticas de mitigação necessários para o monitoramento da Detecção e resposta de endpoint de proteção contra exploração (EDR) estão incluídos com o produto Controle de posturas de segurança.

    Proteção contra exploração (EDR)

    Funções necessárias: SPC Grupo de administradores e SPC Grupo de analistas.

    Esta categoria de controles de mitigação cobre as mitigações disponíveis em seus ativos na forma de configuração do agente de proteção de endpoint. Isso se aplica a agentes de proteção de endpoint, como CrowdStrike e Microsoft SCCM e Microsoft Integração de controle de mitigação do Defender e SentineOne.

    As configurações de mitigação de exploração, como "Forçar aleatoriedade do layout do espaço de endereço" e "Forçar DEP", podem ser habilitadas em ferramentas de proteção de endpoint como CrowdStrike. SPC detecta automaticamente essa configuração em dispositivos com a ajuda das políticas incluídas na aplicação e a integração de API com ferramentas de proteção de endpoint.

    Pré-requisitos para detecção do Exploit Protection (EDR) com CrowdStrike

    1. Verifique se você ativou o CrowdStrike Conector do Service Graph. Esta aplicação está disponível na ServiceNow Store. As informações de instalação e configuração estão incluídas na lista de aplicações. Para obter mais informações, consulte Instalar e configurar as CrowdStrike integrações para monitoramento de controle de mitigação.
    2. Verifique se a integração da API CrowdStrike está ativada no espaço Controle de posturas de segurança.

    Controles e políticas de mitigação na Proteção contra exploração (EDR) CrowdStrike

    • CrowdStrike – Mitigação de exploração – Forçar ASLR
      • Origens: CrowdStrike APIs
      • MITRE táticas abordadas: acesso inicial, execução, acesso a credenciais, evasão de defesa, escalação de privilégio, movimento lateral
      • MITRE técnicas abordadas por esta mitigação: Compromisso de direção (acesso inicial), Exploração para execução de cliente (Execução), Exploração para acesso a credenciais (Acesso a credenciais), Exploração para evasão de defesa (Evasão de defesa), Exploração para escalação de privilégio (Evasão de defesa), Exploração de serviços remotos (movimento lateral)
      • Políticas: a política CrowdStrike Forçar ASLR deve ser ativada para identificar este controle de mitigação. Opcionalmente, você pode ativar outras políticas de controle de mitigação.
    • CrowdStrike – Mitigação de exploração – Forçar DEP
      • Origens: CrowdStrike APIs
      • MITRE táticas abordadas: acesso inicial, execução, acesso a credenciais, evasão de defesa, escalação de privilégio, movimento lateral
      • MITRE técnicas abordadas por esta mitigação: Compromisso de direção (acesso inicial), Exploração para execução de cliente (Execução), Exploração para acesso a credenciais (Acesso a credenciais), Exploração para evasão de defesa (Evasão de defesa), Exploração para escalação de privilégio (Evasão de defesa), Exploração de serviços remotos (movimento lateral)
      • Políticas — A política CrowdStrike Forçar DEP deve ser ativada para identificar este controle de mitigação. Opcionalmente, você pode ativar outras políticas de controle de mitigação.
    • CrowdStrike – Mitigação de exploração – Pré-alocação de heap-spray
      • Origens: CrowdStrike APIs
      • MITRE táticas abordadas: acesso inicial, execução, acesso a credenciais, evasão de defesa, escalação de privilégio, movimento lateral
      • MITRE técnicas abordadas por esta mitigação: Compromisso de direção (acesso inicial), Exploração para execução de cliente (Execução), Exploração para acesso a credenciais (Acesso a credenciais), Exploração para evasão de defesa (Evasão de defesa), Exploração para escalação de privilégio (Evasão de defesa), Exploração de serviços remotos (movimento lateral)
      • Políticas: a política de pré-alocação de heap spray deve ser ativada para identificar este controle de mitigação. Opcionalmente, você pode ativar outras políticas de controle de mitigação.
    • CrowdStrike – Mitigação de exploração – Alocação de página NULA
      • Origens: CrowdStrike APIs
      • MITRE táticas abordadas: acesso inicial, execução, acesso a credenciais, evasão de defesa, escalação de privilégio, movimento lateral
      • MITRE técnicas abordadas por esta mitigação: Compromisso de direção (acesso inicial), Exploração para execução de cliente (Execução), Exploração para acesso a credenciais (Acesso a credenciais), Exploração para evasão de defesa (Evasão de defesa), Exploração para escalação de privilégio (Evasão de defesa), Exploração de serviços remotos (movimento lateral)
      • Políticas: a política de alocação de páginas CrowdStrike NULA deve ser ativada para identificar este controle de mitigação. Opcionalmente, você pode ativar outras políticas de controle de mitigação.
    • CrowdStrike – Mitigação de exploração – Sobrescrever SEH
      • Origens: CrowdStrike APIs
      • MITRE táticas abordadas: acesso inicial, execução, acesso a credenciais, evasão de defesa, escalação de privilégio, movimento lateral
      • MITRE técnicas abordadas por esta mitigação: Compromisso de direção (acesso inicial), Exploração para execução de cliente (Execução), Exploração para acesso a credenciais (Acesso a credenciais), Exploração para evasão de defesa (Evasão de defesa), Exploração para escalação de privilégio (Evasão de defesa), Exploração de serviços remotos (movimento lateral)
      • Políticas: no mínimo, a política de proteção contra sobregravação do CrowdStrike SEH deve ser ativada para identificar este controle de mitigação. Opcionalmente, você pode ativar outras políticas de controle de mitigação.
    • CrowdStrike – Mitigação de exploração – Todas as configurações ativadas
      • Origens: CrowdStrike APIs
      • MITRE táticas abordadas: acesso inicial, execução, acesso a credenciais, evasão de defesa, escalação de privilégio, movimento lateral
      • MITRE técnicas abordadas por esta mitigação: Compromisso de direção (acesso inicial), Exploração para execução de cliente (Execução), Exploração para acesso a credenciais (Acesso a credenciais), Exploração para evasão de defesa (Evasão de defesa), Exploração para escalação de privilégio (Evasão de defesa), Exploração de serviços remotos (movimento lateral)
      • Políticas: todas as políticas a seguir devem ser ativadas para identificar este controle de mitigação: CrowdStrike Force ASLR, CrowdStrike Force DEP, Pré-alocação de heapspray, Alocação de página NULA do CrowdStrike e Proteção contra sobregravação de SEH do CrowdStrike.

    Pré-requisitos para detecção de proteção contra exploração (EDR) com Microsoft SCCM e Microsoft Defender Mitigation Control Integration

    Microsoft Credenciais do SCCM que incluem a função de Autores de script. A função Autores de script fornece as permissões necessárias para criar um script necessário para importar informações de mitigação no servidor SCCM.

    Para obter mais informações, consulte Instalar e configurar o Conector do Service Graph para Microsoft SCCM e a integração de controle de mitigação do Microsoft Defender.

    Controles e políticas de mitigação na Proteção contra exploração (EDR) com o Microsoft SCCM e a Integração de controle de mitigação do Microsoft Defender:

    • Defender – Mitigação de explorações – CFG

      Microsoft Proteção de fluxo de controle do Defender.

    • Defender – Mitigação de explorações – DEP

      Microsoft Defender Data Execution Prevention.

    • Defender – Mitigação de exploração – ASLR obrigatório e ASLR de baixo para cima

      Microsoft ASLR de força do Defender.

    • MITRE táticas abordadas: acesso inicial, execução, acesso a credenciais, evasão de defesa, escalonamento de privilégios, movimentação lateral.
    • MITRE técnicas abordadas por esta mitigação: Compromisso de direção (acesso inicial), Exploração para execução de cliente (Execução), Exploração para acesso a credenciais (Acesso a credenciais), Exploração para evasão de defesa (Evasão de defesa), Exploração para escalação de privilégio (Evasão de defesa), Exploração de serviços remotos (movimento lateral).

    Pré-requisitos para detecção da proteção contra exploração (EDR) com a integração de controle de mitigação do SentinelOne

    1. Verifique se você ativou o Conector do Service Graph para SentinelOne.

      Esta aplicação está disponível na ServiceNow Store. As informações de instalação e configuração estão incluídas na lista de aplicações. Para obter mais informações, consulte Instalar e configurar o Conector do Service Graph para SentinelOne e a Integração de controle de mitigação do SentinelOne.

    2. Verifique se a integração da API SentinelOne está ativada no espaço de controle de posturas de segurança.
    3. Revise as políticas de controles de mitigação do SentinelOne incluídas na aplicação:
      • Controle da aplicação SentinelOne
      • Arquivos de dados do SentinelOne
      • Executáveis do SentinelOne
      • Explorações do SentinelOne
      • IDR do SentinelOne
      • SentinelOne Detectar ameaça interativa
      • SentinelOne Detectar movimento lateral
      • IA estática do SentinelOne
      • IA estático do SentinelOne - suspeito
      • Aplicações potencialmente indesejadas do SentinelOne
      • Shell do SentinelOne Remote
      • Reputação do SentinelOne