Päivitys 2024-06-19: Otamme Hyväksytty käyttäytyminen -ominaisuuden käyttöön maailmanlaajuisesti 26. kesäkuuta 2024 alkaen. Katso alla oleva osio "Hyväksytty käyttäytyminen 26. kesäkuuta 2024 jälkeen"." lisätietoja
Hyväksytyn käyttäytymisen käyttöönoton myötä on nyt mahdollista luoda tukahduttamissääntöjä, jotka voivat hyväksyä käyttäjän tai prosessin käyttäytymisen. Tämä voi auttaa merkittävästi odotetun käyttäytymisen BCD:n vaimentamisessa.
Monet yhteistyökumppanit ja asiakkaat vaativat tätä, koska WithSecure luo EDR -ratkaisun, joka soveltuu moniin erilaisiin ympäristöihin, mikä tarkoittaa, että voi olla erityisiä tunnistuskäyttötilanteita, joissa ympäristöstäsi johtuen haluat "sallia" tai hyväksyä käyttäytymisen. esim. saatat käyttää ohjelmistoa nimeltä "ABC" ja voit luottaa siihen, että prosessi "XYZ" on laillinen, ja haluat siksi estää tunnistuksen, jotta samanlaista BCD-ilmoitusta ei syntyisi.
Jonkin aikaa olemme hyväksyneet ad-hoc-pyyntöjä luettelon sallimiseksi, mutta nyt olemme luoneet ohjatun toiminnon osoitteeseen Elements Security Center , jossa voit itse laatia poistosäännöt.
Miten Hyväksytty käyttäytyminen toimii?
"Broad Context Detection" (BCD) on kokoelma havaintoja, jotka korostavat haitallista tai epäilyttävää käyttäytymistä. Jokaisessa BCD:ssä on yksi tai useampi "avainhavainto". Avainhavainto on itsenäinen havainto, joka yksinään tuottaisi uuden BCD:n. Jotta samankaltaiset BCD:t eivät toistuisi, jokainen BCD:n avainhavainto on estettävä. Jokaista avainhavaintoa kohden luodaan yksi tukahdutussääntö.
Hyväksytty käyttäytyminen vaaditaan, jos organisaatiosi erityisolosuhteet edellyttävät, että havainto olisi tukahdutettava. Elements käyttäjien on oltava varovaisia tukahduttaessaan havaintoja, jotta he eivät tukahduta liian laajasti ja vaienna käyttäytymistä, joka on yleistä, mutta joka voi myös olla osa laillista hyökkäystä.
Mitä rajoituksia ensimmäisessä julkaisussa on?
- Me mahdollistamme "hyväksytyn käyttäytymisen" aluksi pienelle kumppaniryhmälle, kerätä palautetta ja parantaa torjuntamekanismeja.
- Toiminnon käynnistämisen yhteydessä tämä ominaisuus on käytettävissä BCD-järjestelmissä, joissa on enintään 5 avaintunnistusta. Pyrimme saamaan sen kaikkien BCD:iden saataville vähentämällä avaintunnisteiden kokonaismäärää poistamatta mitään ainutlaatuista tietoa BCD:stä.
- Joissakin tapauksissa identtiset säännöt luodaan, koska avainten tunnistaminen toistuu samoilla parametreilla, ja tähän puututaan tulevina viikkoina.
Mistä tietää, onko BCD:tä liikaa?
Kun sovellat tukahduttamissääntöä, kaikki uudet luodut BCD:t suljetaan automaattisesti resoluutiolla "Auto Accepted Behavior". Näin saat tietoa siitä, kuinka monta BCD:tä on vaiennettu, havaintomoottori luo enintään yhden uuden BCD:n 24 tunnin välein kutakin tukahduttamissääntöä kohti., jos tukahduttamiskriteerit täyttyvät. 24 tunnin kuluttua uusi BCD luodaan, jos tukahduttamissääntö aktivoituu. WithSecure suosittelee, että kumppanit tarkistavat säännöllisesti tukahdutetut BCD:t varmistaakseen, ettei haitallista toimintaa tukahduteta.
Huomautus: Hyväksyttyä käyttäytymistä edellytetään tapauksissa, joissa toistuvia vääriä positiivisia tuloksia aiheuttavat BCD:t ovat samankaltaisia mutta eivät identtisiä BCD-sormenjälkiä. Jos BCD on suljettu "False Positive" -lausekkeella, identtiset BCD:t, joilla on identtinen sormenjälki, suljetaan automaattisesti päätöslauselmalla "Auto-False Positive".
Miten hiljennän BCD:n?
Ensimmäinen askel olisi löytää BCD, jonka haluat hiljentää.
Kun tutkinta on päättynyt, vaihda tilaksi suljettu ja aseta ratkaisuksi "Hyväksytty käyttäytyminen", ponnahdusikkunassa kysytään, haluatko luoda "tukahduttamissäännön".
Napsauta Kyllä, niin pääset Ohjattu tukahduttamissääntö -ohjattuun toimintoon, jonka jälkeen voit valita, mihin päätepisteisiin tukahduttamisen tulisi vaikuttaa.
BCD-suppression yhteydessä voidaan käyttää 7 eri parametria. Parametrit on esitäytetty BCD:stä kerätyillä tiedoilla. Nämä vaimennusparametrit selitetään seuraavassa.
WithSecure on vaatinut vähintään kahden parametrin käyttöä jokaisessa avaintunnistuksessa sen varmistamiseksi, että "hyväksytty laajuus" on mahdollisimman pieni.
Oletusarvoisesti käytössä olevissa parametreissa on vihreä vaihtokytkin, joka osoittaa, että parametria käytetään säännössä. Klikkaamalla 'näytä lisää' voit tarkastella muita parametreja, jotka ovat oletusarvoisesti poissa käytöstä eli parametreja, joita ei käytetä nykyisessä säännössä. Voit poistaa ne käytöstä tai ottaa ne käyttöön kytkemällä parametrin pois päältä. Useimmat parametrit täytetään valmiiksi BCD:n tiedoista.
Jos BCD:ssä on useita avaintunnistuksia, jokaiselle avaintunnistukselle on oma harmonikka ja parametrit. BCD:n jokainen näppäinhavainto on estettävä säännöllä, jotta BCD voidaan hiljentää.
Seuraavassa taulukossa esitetään käytettävät parametrit.
Hyväksytty käyttäytyminen Parametri | Esimerkki | Kuvaus |
|---|
exe_polku | c:\path\admin\support_service.exe | Tämä estää avaintunnistuksen ja nimetyn suoritettavan ohjelman yhdistelmän. |
exe_name | support_service.exe | Tämä estää tämän avaintunnistus- ja prosessiyhdistelmän. |
cmdl | "c:\\windows\system32\net localgroup group_name /add /domain". | Suoritettava ohjelma estetään vain silloin, kun täsmälliset argumentit täsmäävät tämän avaimen havaitsemiseen... |
parent_exe_path | c:\path\admin\\support.exe | Tämä estää tämän näppäintunnistuksen ja vanhemman yhdistelmän. Ole varovainen, kun tukahdutat vain vanhemman prosessin. On suositeltavaa, että tätä käytetään yhdessä jonkin muun parametrin kanssa, joka ei ole vanhemman prosessin parametri. |
parent_exe_name | support.exe | Tämä estää tämän näppäintunnistuksen ja vanhemman yhdistelmän. |
parent_cmdl | c:\windows\system32\net localgroup group_name /add /domain | Tämä estää avaintunnistuksen luomisen mistä tahansa prosessista, joka on luotu tämän vanhemman komentorivin täsmällisestä vastaavuudesta. WithSecure suosittelee, että tätä käytetään lapsiparametrien lisäksi. Pelkän vanhemman käyttäytymisen hyväksyminen (ilman muita parametreja) tarkoittaa, että tukahduttamisen laajuus on paljon laajempi, mahdollisesti vaarallisesti. |
käyttäjätunnus | john_doe | Tämä estää avaintunnistuksen ja käyttäjätunnuksen yhdistelmän. Kaikki prosessit, jotka laukaisivat avaintunnistuksen, vaiennetaan annetulle käyttäjänimelle. WithSecure suosittelee, että tätä käytetään yhdessä muiden parametrien kanssa. |
Mitä operaattoreita voin käyttää konfiguroidessani parametreja avaintunnistuksessa?
Vaimennussääntöjen avulla voit määrittää kaksi operaattoria: "Yhtäsuuruus", jota sovelletaan kaikkiin parametreihin, kun niiden pituus on alle 1024 merkkiä, ja "Sisältää", jota sovelletaan kaikkiin parametreihin.
Tuleeko salliminen voimaan välittömästi?
Voit tarkistaa tukahduttamissäännöt Automaattiset toiminnot -alueella, katso välilehti 'Tukahduttamissäännöt'.
Voit napsauttaa sääntöä ja napsauttaa hiljennettyjen BCD:iden lukumäärää, jolloin pääset BCD-näkymään, jossa luetellaan vastaavat BCD:t, jotka on hiljennetty tällä säännöllä.
Emme sulje jo olemassa olevia BCD:itä, kun uusi sääntö otetaan käyttöön. Kaikki uudet BCD:t, jotka luodaan säännön käyttöönoton jälkeen, suljetaan "Auto Accepted Behavior" -ratkaisulla.
HUOMAUTUS: Yhteistyökumppanimme/asiakkaamme voivat luoda tukahduttamissäännön äskettäin luotuja BCD:itä varten sen jälkeen, kun ominaisuus on julkaistu.
Miksi en näe sääntöjä, jotka vastaavat olemassa olevia sallimisluettelopyyntöjäni?
WithSecure Detection and Response Team (DRT) on toteuttanut sallittujen listojen luetteloinnin eri tasolla WithSecure -havaintomoottorissa, mikä tarkoittaa, että DRT:n suorittamaa sallittujen listaa varten ei luoda BCD-luetteloita. Tämän vuoksi sääntöjä ei ole saatavilla "Suppression Rules" -näkymässä.
Mitä WithSecure tekee vähentääkseen vääriä positiivisia tuloksia?
Parhaillaan pyrimme parantamaan havaitsemisen laatua lisäämällä todellisten positiivisten tapausten suhdetta ilmoitettujen tapausten kokonaismäärään. Ratkaisu koostuu kolmesta osasta, ja simulaatio on antanut lupaavia tuloksia, joiden mukaan BCD-määriä voitaisiin vähentää 40 prosenttia.
Jäljempänä kuvatut kolme osaa johtavat siihen, että luodaan vähemmän keskisuuria, korkeita ja vakavia BCD-luokituksia, joiden riskiluokitus on tarkempi;
- Melunvaimennusmekanismien parantaminen - Suunnittelemme mekanismia uudelleen niin, että tavanomaisesta käyttäytymisestä johtuvat havainnot voidaan estää.
- Parannettu BCD-riskipisteytysalgoritmi - Olemme ottamassa käyttöön uutta algoritmia, joka laskee BCD:n riskipisteytyksen BCD:n sisältämien havaintojen vakavuusasteen jakauman perusteella sekä käyttämällä aiempia ja nykyisiä tietoja pisteytyksen tarkkuuden parantamiseksi.
- BCD-klusteroinnin ML-mallin integrointi - Tämä malli ryhmittelee tapaukset yhteen sen perusteella, ovatko ne samankaltaisia muiden sellaisten tapausten kanssa, jotka on jo arvioitu puiteohjelmiksi tai jotka asiakkaat ja kumppanit ovat vahvistaneet.
Kuka voi muokata tukahduttamissääntöjä?
Jos olet vain lukuoikeudet omaava käyttäjä ei saa lisätä tai muokata sääntöjä.
Jos olet yrityksen käyttäjä, jolla on täysi käyttöoikeus, voit;
- Luo sääntöjä
- Muokkaa yrityksellesi luotuja sääntöjä.
Jos olet Full Access -yhteistyökumppani, sinun pitäisi pystyä:
- Luo sääntöjä
- Muokkaa itse tai kollegasi luomia sääntöjä kumppanitasolla.
- Muokkaa asiakkaidesi luomia sääntöjä hallinnoimissasi yrityksissä.
Ovatko säännöt yrityskohtaisia?
Kyllä, tällä hetkellä yksi sääntö voi koskea vain yhtä yritystä. Olemme saaneet palautetta siitä, että kumppanit haluaisivat sääntöjen koskevan useita yrityksiä, joten olemme lisänneet tämän etenemissuunnitelmaamme.
Kenen vastuulla on validoida tukahduttamissäännöt?
Kumppanin vastuulla on varmistaa, että sen analyytikot ja loppukäyttäjät ymmärtävät ja pystyvät määrittämään ja hallitsemaan tukahduttamissääntöjä. Yhteistyökumppanin on hyväksyttävä, että he ymmärtävät, että liian tukahduttavat säännöt voivat johtaa siihen, että BCD-tiedot jäävät huomaamatta, koska BCD-tiedot jäävät piiloon. Siksi suosittelemme, että kumppani/loppukäyttäjä tarkistaa säännöt ja niiden tehokkuuden säännöllisesti.
Ratkaisukoodit uusi
- Hyväksytty käyttäytyminen - Tapaus on suljettu, eikä sitä enää seurata. Havainto vahvistettiin hyväksyttäväksi käytökseksi.
- Auto Accepted Behavior - Tapahtuma on suljettu automaattisesti hyväksytyn käyttäytymisen mukaisesti olemassa olevien torjuntasääntöjen perusteella.
Huomautus: BCD:n sulkeminen Hyväksytyksi käytökseksi ei hiljennä samankaltaisia BCD:tä, vaan on luotava sääntö.
Hyväksytty käyttäytyminen 26. kesäkuuta 2024 jälkeen
Accepted Behavior on 26. kesäkuuta 2024 alkaen kaikkien asiakkaiden saatavilla maailmanlaajuisesti.
On mahdollista luoda tukahduttamissääntöjä, jotka hyväksyvät käyttäjän tai prosessin käyttäytymisen. Tämä ominaisuus auttaa vaimentamaan odotetun käyttäytymisen "Broad Context Detections" (BCD). Kumppanit ja asiakkaat, jotka käyttävät WithSecure's EDR -ratkaisua, voivat käyttää tätä toimintoa salliakseen tietyn käyttäytymisen ympäristöissään. Jos esimerkiksi luotat prosessiin nimeltä "XYZ", joka liittyy ohjelmistoon "ABC", voit tukahduttaa samanlaiset BCD:t tarpeettomien hälytysten välttämiseksi.
Accepted Behavior toimii tukahduttamalla avaintunnistukset BCD:n sisällä. Kukin BCD sisältää yhden tai useamman avainhavainnon, jotka korostavat epäilyttävää käyttäytymistä. Organisaatiot voivat luoda tukahdutussääntöjä omien erityisolosuhteidensa perusteella. Käyttäjien on kuitenkin varottava tukahduttamasta havaintoja liian laajasti, sillä se voi vaikuttaa myös lailliseen käyttäytymiseen.
Tämän julkaisun rajoituksiin kuuluu "hyväksytyn käyttäytymisen" mahdollistaminen BCD:ille, joilla on enintään 5 avaintunnistusta. Käsittelemme pian tapauksia, joissa identtiset säännöt luodaan toistuvien avaintunnistusten vuoksi.
Lisäksi yhteistyökumppani voi luoda tukahduttamissäännön, joka koskee kaikkia hänen hallinnoimiaan yrityksiä. Tällä hetkellä rajoituksena on, että he voivat soveltaa sääntöä yhteen organisaatioon tai kaikkiin hallinnoimiinsa organisaatioihin. Toivomme, että voimme tulevaisuudessa mahdollistaa tämän hienojakoisemman hallinnan.