Für Exploit Protection (EDR) erforderliche Steuerungen und Richtlinien zur Risikominderung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Die Ausgleichssteuerungen und -richtlinien, die für die Überwachung von Exploit Protection Endpoint Detection and Response (EDR) erforderlich sind, sind im Produkt Sicherheitsstatus-Überwachung enthalten.

    Exploit-Schutz (EDR)

    Erforderliche Rolle: SSÜ Administratorgruppe und SSÜ Analystengruppe.

    Diese Kategorie von Verringerungssteuerungen deckt Verringerungen ab, die für Ihre Assets in Form der Konfiguration des Endpunktschutz-Agents verfügbar sind. Dies gilt für Endpunktschutz-Agents wie CrowdStrike und MicrosoftMicrosoft Azure Event Hubs SCCM sowie die MicrosoftMicrosoft Azure Event Hubs Defender Mitigation Control Integration und SentineOne.

    Einstellungen für die Exploit-Minderung wie „Randomization des Adressbereich-Layouts erzwingen“ und „DEP erzwingen“ können in Endpunktschutz-Tools wie CrowdStrikeaktiviert werden. SSÜ erkennt diese Konfiguration auf Geräten automatisch mithilfe der in der Anwendung enthaltenen Richtlinien und der API-Integration mit Endpunktschutz-Tools.

    Voraussetzungen für die Erkennung von Exploit Protection (EDR) mit CrowdStrike

    1. Vergewissern Sie sich, dass CrowdStrike Service Graph Connector aktiviert ist. Diese Anwendung ist im ServiceNow Store verfügbar. Die Installations- und Konfigurationsinformationen sind in der App-Liste enthalten. Weitere Informationen finden Sie unter Installieren und konfigurieren Sie die CrowdStrike -Integrationen für die Überwachung der Verringerungssteuerung.
    2. Vergewissern Sie sich, dass die CrowdStrike -API-Integration im Sicherheitsstatus-Überwachung -Arbeitsbereich aktiviert ist.

    Steuerungen und Richtlinien zur Risikominderung in Exploit Protection (EDR) CrowdStrike

    • CrowdStrike Exploit-Minderung – ASLR erzwingen
      • Quellen: CrowdStrike APIs
      • MITRE Behandelte Taktiken: Anfänglicher Zugriff, Ausführung, Berechtigungszugriff, Umgehung der Verteidigung, Eskalation von Berechtigungen, Seitliche Bewegung
      • MITRE Techniken, die von dieser Verringerung behandelt werden: Drive-by-Kompromittierung (Erstzugriff), Exploitation für Client-Ausführung (Ausführung), Schwachstelle für den Zugriff auf Anmeldeinformationen (Zugriff auf Anmeldeinformationen), Schwachstelle für die Umgehung der Verteidigung (Umgehung der Verteidigung), Ausnutzung der Eskalation der Berechtigung (Umgehung der Verteidigung), Schwachstelle bei Remote-Services (Lateral Mobility)
      • Richtlinien: Die Richtlinie CrowdStrike Force ASLR muss aktiviert sein, um diese Steuerung zur Risikoverringerung zu identifizieren. Sie können optional andere Richtlinien zur Minderungssteuerung aktivieren.
    • CrowdStrike Exploit-Verringerung – DEP erzwingen
      • Quellen: CrowdStrike APIs
      • MITRE Behandelte Taktiken: Anfänglicher Zugriff, Ausführung, Berechtigungszugriff, Umgehung der Verteidigung, Eskalation von Berechtigungen, Seitliche Bewegung
      • MITRE Techniken, die von dieser Verringerung behandelt werden: Drive-by-Kompromittierung (Erstzugriff), Exploitation für Client-Ausführung (Ausführung), Schwachstelle für den Zugriff auf Anmeldeinformationen (Zugriff auf Anmeldeinformationen), Schwachstelle für die Umgehung der Verteidigung (Umgehung der Verteidigung), Ausnutzung der Eskalation der Berechtigung (Umgehung der Verteidigung), Schwachstelle bei Remote-Services (Lateral Mobility)
      • Richtlinien: Die Richtlinie CrowdStrike Force DEP muss aktiviert sein, um diese Steuerung zur Risikominderung zu identifizieren. Sie können optional andere Richtlinien zur Minderungssteuerung aktivieren.
    • CrowdStrike Exploit-Verringerung – Heap-Spray-Vorzuteilung
      • Quellen: CrowdStrike APIs
      • MITRE Behandelte Taktiken: Anfänglicher Zugriff, Ausführung, Berechtigungszugriff, Umgehung der Verteidigung, Eskalation von Berechtigungen, Seitliche Bewegung
      • MITRE Techniken, die von dieser Verringerung behandelt werden: Drive-by-Kompromittierung (Erstzugriff), Exploitation für Client-Ausführung (Ausführung), Schwachstelle für den Zugriff auf Anmeldeinformationen (Zugriff auf Anmeldeinformationen), Schwachstelle für die Umgehung der Verteidigung (Umgehung der Verteidigung), Ausnutzung der Eskalation der Berechtigung (Umgehung der Verteidigung), Schwachstelle bei Remote-Services (Lateral Mobility)
      • Richtlinien: Die Richtlinie „Heap-Spray-Vorzuordnung“ muss aktiviert sein, um diese Steuerung zur Risikominderung zu identifizieren. Sie können optional andere Richtlinien zur Minderungssteuerung aktivieren.
    • CrowdStrike Exploit-Verringerung – NULL-Seitenzuteilung
      • Quellen: CrowdStrike APIs
      • MITRE Behandelte Taktiken: Anfänglicher Zugriff, Ausführung, Berechtigungszugriff, Umgehung der Verteidigung, Eskalation von Berechtigungen, Seitliche Bewegung
      • MITRE Techniken, die von dieser Verringerung behandelt werden: Drive-by-Kompromittierung (Erstzugriff), Exploitation für Client-Ausführung (Ausführung), Schwachstelle für den Zugriff auf Anmeldeinformationen (Zugriff auf Anmeldeinformationen), Schwachstelle für die Umgehung der Verteidigung (Umgehung der Verteidigung), Ausnutzung der Eskalation der Berechtigung (Umgehung der Verteidigung), Schwachstelle bei Remote-Services (Lateral Mobility)
      • Richtlinien: Die Richtlinie CrowdStrike „ NULL-Seitenzuteilung“ muss aktiviert sein, um diese Steuerung zur Risikoverringerung zu identifizieren. Sie können optional andere Richtlinien zur Minderungssteuerung aktivieren.
    • CrowdStrike Exploit-Minderung – SEH-Überschreibung
      • Quellen: CrowdStrike APIs
      • MITRE Behandelte Taktiken: Anfänglicher Zugriff, Ausführung, Berechtigungszugriff, Umgehung der Verteidigung, Eskalation von Berechtigungen, Seitliche Bewegung
      • MITRE Techniken, die von dieser Verringerung behandelt werden: Drive-by-Kompromittierung (Erstzugriff), Exploitation für Client-Ausführung (Ausführung), Schwachstelle für den Zugriff auf Anmeldeinformationen (Zugriff auf Anmeldeinformationen), Schwachstelle für die Umgehung der Verteidigung (Umgehung der Verteidigung), Ausnutzung der Eskalation der Berechtigung (Umgehung der Verteidigung), Schwachstelle bei Remote-Services (Lateral Mobility)
      • Richtlinien: Mindestens die Richtlinie „CrowdStrike SEH Overwrite Protection“ muss aktiviert sein, um diese Steuerung zur Risikominderung zu identifizieren. Sie können optional andere Richtlinien zur Minderungssteuerung aktivieren.
    • CrowdStrike Exploit-Verringerung – Alle Einstellungen Ein
      • Quellen: CrowdStrike APIs
      • MITRE Behandelte Taktiken: Anfänglicher Zugriff, Ausführung, Berechtigungszugriff, Umgehung der Verteidigung, Eskalation von Berechtigungen, Seitliche Bewegung
      • MITRE Techniken, die von dieser Verringerung behandelt werden: Drive-by-Kompromittierung (Erstzugriff), Exploitation für Client-Ausführung (Ausführung), Schwachstelle für den Zugriff auf Anmeldeinformationen (Zugriff auf Anmeldeinformationen), Schwachstelle für die Umgehung der Verteidigung (Umgehung der Verteidigung), Ausnutzung der Eskalation der Berechtigung (Umgehung der Verteidigung), Schwachstelle bei Remote-Services (Lateral Mobility)
      • Richtlinien: Alle folgenden Richtlinien müssen aktiviert sein, um diese Minderungssteuerung zu identifizieren: CrowdStrike Force ASLR, CrowdStrike Force DEP, Heap-Spray Pre-allocation, CrowdStrike NULL Page Allocation, and CrowdStrike SEH Overwrite Protection.

    Voraussetzungen für die Erkennung von Exploit Protection (EDR) mit MicrosoftMicrosoft Azure Event Hubs SCCM und der MicrosoftMicrosoft Azure Event Hubs Integration für die Steuerungsminderungssteuerung von Defender

    MicrosoftMicrosoft Azure Event Hubs SCCM-Anmeldeinformationen, die die Rolle „Skriptautoren“ enthalten. Die Rolle „Skriptautoren“ bietet die erforderlichen Berechtigungen zum Erstellen eines Skripts, das zum Importieren von Risikominderungsinformationen auf dem SCCM-Server erforderlich ist.

    Weitere Informationen finden Sie unter Installieren und konfigurieren Sie Service Graph Connector für Microsoft SCCM und die Microsoft Defender Mitigation Control Integration.

    Steuerungen und Richtlinien zur Risikominderung in Exploit Protection (EDR) mit Microsoft SCCM und der Integration der Microsoft Defender Mitigation Control:

    • Defender – Exploit-Mitigation – CFG

      MicrosoftMicrosoft Azure Event Hubs Flow-Schutz für Defender-Steuerung.

    • Defender – Exploit Mitigation – DEP

      MicrosoftMicrosoft Azure Event Hubs Verhinderung der Datenausführung mit Defender.

    • Defender – Exploit-Verringerung – Obligatorische ASLR und Bottom-Up-ASLR

      MicrosoftMicrosoft Azure Event Hubs Defender Force ASLR.

    • MITRE Behandelte Taktiken: Anfänglicher Zugriff, Ausführung, Berechtigungszugriff, Umgehung der Verteidigung, Eskalation von Berechtigungen, Seitliche Bewegung.
    • MITRE Techniken, die von dieser Verringerung behandelt werden: Drive-by-Kompromittierung (Erstzugriff), Exploitation für Client-Ausführung (Ausführung), Schwachstelle für den Zugriff auf Anmeldeinformationen (Zugriff auf Anmeldeinformationen), Schwachstelle für die Umgehung der Verteidigung (Umgehung der Verteidigung), Ausnutzung der Eskalation der Berechtigung (Umgehung der Verteidigung), Ausnutzung von Remote-Services (Lateral Bewegung).

    Voraussetzungen für die Erkennung von Exploit Protection (EDR) mit der SentinelOne Integration für die Verringerungssteuerung

    1. Vergewissern Sie sich, dass SentinelOne Service Graph Connector aktiviert ist.

      Diese Anwendung ist im ServiceNow Store verfügbar. Die Installations- und Konfigurationsinformationen sind in der App-Liste enthalten. Weitere Informationen finden Sie unter Installieren und konfigurieren Sie Service Graph Connector für SentinelOne und die SentinelOne-Integration für die Verringerungssteuerung.

    2. Stellen Sie sicher, dass die SentinelOne-API-Integration im Arbeitsbereich für die Kontrolle des Sicherheitsstatus aktiviert ist.
    3. Überprüfen Sie die in der Anwendung enthaltenen Richtlinien für SentinelOne-Minderungssteuerungen:
      • SentinelOne-Anwendungssteuerung
      • SentinelOne-Datendateien
      • Ausführbare SentinelOne-Dateien
      • SentinelOne-Exploits
      • SentinelOne-IDR
      • SentinelOne – Interaktive Bedrohung erkennen
      • SentinelOne erkennt seitliche Bewegung
      • Statische SentinelOne-KI
      • Statische SentinelOne-KI: verdächtig
      • Potenziell unerwünschte SentinelOne-Anwendungen
      • SentinelOne-Remote-Shell
      • SentinelOne-Reputation