Uppdatering 2024-06-19: Vi kommer att aktivera funktionen Accepted Behavior globalt från och med den 26 juni 2024. Vänligen se avsnittet nedan "Accepterat beteende efter 26 juni 2024" för mer information
Med introduktionen av Accepted Behavior är det nu möjligt att skapa undertryckningsregler som kan acceptera beteendet hos en användare eller en process. Detta kan vara till stor hjälp när det gäller att tysta BCD:er för förväntat beteende.
Detta krävs av många partners och kunder eftersom WithSecure skapar en EDR -lösning som passar många olika miljöer, vilket innebär att det kan finnas specifika detekteringsanvändningsfall där du på grund av din miljö vill "tillåta" eller acceptera beteende. dvs. du kanske använder en programvara som heter "ABC" och du kan med säkerhet lita på att processen "XYZ" är legitim och därför vill undertrycka detekteringen så att en liknande BCD inte genereras.
Under en period har vi accepterat ad hoc-begäran om att tillåta listning, men nu har vi skapat en guide på Elements Security Center där du själv kan skapa regler för undertryckande.
Hur fungerar Accepted Behavior?
En "Broad Context Detection" (BCD) är en samling upptäckter som visar på skadligt eller misstänkt beteende. Varje BCD har en eller flera "nyckeldetektioner". En "nyckeldetektion" är en fristående detektion som på egen hand skulle producera en ny BCD. För att förhindra att liknande BCD:er återkommer måste varje nyckeldetektering i en BCD undertryckas. En undertryckningsregel skapas per nyckeldetektering.
Accepted Behavior krävs om din organisations specifika omständigheter innebär att en upptäckt bör undertryckas. Elements användare bör vara försiktiga när de undertrycker upptäckter, för att säkerställa att de inte undertrycker för brett och tystar beteende som, även om det är vanligt, också kan vara en del av en legitim attack.
Vilka begränsningar av den första utgåvan?
- Vi kommer att möjliggöra "accepterat beteende" för en liten grupp partners inledningsvis, för att samla in feedback och förbättra bekämpningsmekanismerna.
- Vid lanseringen kommer denna funktion att vara tillgänglig för BCD:er med upp till 5 nyckeldetekteringar. Vi arbetar för att göra den tillgänglig för alla BCD:er genom att minska det totala antalet nyckeldetektioner utan att ta bort någon unik information från BCD:en.
- Det kan finnas fall där identiska regler skapas på grund av upprepad nyckelavkänning med samma parametrar, detta kommer att tas upp under kommande veckor.
Hur vet man om man övertrycker BCD:er?
När du tillämpar en undertryckningsregel kommer alla nya BCD:er som skapas att stängas automatiskt med resolutionen "Auto Accepted Behavior". För att ge dig en indikation på hur många BCD:er som tystas ner, detekteringsmotorn genererar högst en ny BCD var 24:e timme per undertryckningsregelom undertryckningskriterierna är uppfyllda. När 24 timmar har gått genereras en ny BCD om regeln om undertryckande utlöses. WithSecure rekommenderar att partner regelbundet granskar de undertryckta BCD:erna för att säkerställa att skadlig aktivitet inte undertrycks.
Obs: Accepterat beteende krävs i fall där BCD:er som orsakar återkommande falska positiva resultat har liknande men inte identiska BCD-fingeravtryck. Om en BCD har stängts med "Falskt positivt" stängs identiska BCD:er med ett identiskt fingeravtryck automatiskt med resolutionen "Auto-Falskt positivt".
Hur gör jag en BCD tyst?
Första steget skulle vara att hitta en BCD som du vill tysta.
När utredningen är klar, statusen ändras till avslutad och lösningen till "Accepterat beteende", kommer ett popup-fönster att fråga dig om du vill skapa en "suppression rule".
Klicka på Ja för att komma till guiden för undertryckningsregler och sedan kan du välja vilka endpoints som ska påverkas.
Det finns 7 olika parametrar som kan användas för BCD-undertryckning. Parametrarna är förifyllda med data som samlats in från BCD. Dessa undertryckningsparametrar förklaras nedan.
WithSecure har genomdrivit användningen av minst 2 parametrar för varje nyckeldetektering för att säkerställa att det "accepterade omfånget" minimeras.
Parametrar som är aktiverade som standard har en grön toggle som indikerar att parametern kommer att användas i regeln. Klicka på "Visa mer" för att visa ytterligare parametrar, dessa är inaktiverade som standard, dvs. de parametrar som inte används i den befintliga regeln. Du kan välja att inaktivera/aktivera dem genom att växla mellan parametrarna. De flesta parametrar är förifyllda med information från BCD.
För BCD:er med flera nyckeldetekteringar kommer det att finnas ett dragspel och en uppsättning parametrar för varje nyckeldetektering. Varje nyckeldetektering i en BCD måste undertryckas av en regel för att tysta BCD:n.
I tabellen nedan visas de parametrar som kan användas
Accepterat beteende Parameter | Exempel | Beskrivning |
|---|
exe_väg | c:\path\admin\support_service.exe | Detta kommer att undertrycka kombinationen av nyckeldetektering och namngiven körbar fil. |
Exe_namn | support_service.exe | Detta kommer att undertrycka denna kombination av nyckeldetektering och process. |
cmdl | "c:\windows\system32\net localgroup group_name /add /domain | Den kommer att undertrycka den körbara filen endast när de exakta argumenten matchas för denna nyckeldetektering... |
parent_exe_path | c:\path\admin\support.exe | Detta kommer att undertrycka den här kombinationen av nyckeldetektering och förälder. Var försiktig när du endast undertrycker en överordnad process. Vi rekommenderar att detta används tillsammans med en annan parameter som inte är överordnad. |
förälder_exe_namn | support.exe | Detta kommer att undertrycka den här kombinationen av nyckeldetektering och förälder. |
förälder_cmdl | c:\windows\system32\net localgroup group_name /add /domain | Detta kommer att undertrycka nyckelavkänningen som skapas från alla processer som skapas från den exakta matchningen av denna överordnade kommandorad. WithSecure rekommenderar att detta används i tillägg till barnparametrarna. Om man bara accepterar beteendet från den överordnade (utan andra parametrar) innebär det att omfattningen av undertryckandet blir mycket större, vilket kan vara farligt. |
Användarnamn | john_doe | Detta kommer att undertrycka kombinationen av nyckeldetektering och användarnamn. Alla processer som skulle ha utlöst nyckeldetektering kommer att tystas för det angivna användarnamnet. WithSecure rekommenderar starkt att detta används tillsammans med andra parametrar. |
Vilka operatörer kan jag använda när jag konfigurerar parametrar i en nyckeldetektering?
Med undertryckningsregler kan du ställa in två operatorer: "Equals", som gäller för alla parametrar när deras längd är mindre än 1024 tecken, och "Contains", som gäller för alla parametrar.
Träder den tillåtna listningen i kraft omedelbart?
Du kan kontrollera undertryckningsregler i området Automatiserade åtgärder, se fliken "Undertryckningsregler".
Du kan klicka på regeln och klicka på Antal BCD:er som har tystats. Då kommer du till BCD-vyn, där motsvarande BCD:er som har tystats av den här regeln listas.
Vi kommer inte att stänga redan befintliga BCD:er när en ny regel implementeras. Alla nya BCD:er som skapas efter att regeln har implementerats kommer att stängas med resolutionen "Auto Accepted Behavior".
OBS: Våra partners/kunder kommer att kunna skapa en undertryckningsregel för nyskapade BCD efter att funktionen har släppts.
Varför kan jag inte se regler som stämmer överens med mina befintliga begäran om tillåtande av listning?
WithSecure Detection and Response Team (DRT) har implementerat allow-listing på en annan nivå i WithSecure:s detektionsmotor, vilket innebär att BCD:er inte skapas för allow-listing som utförs av DRT. Därför är reglerna inte tillgängliga i vyn "Suppression Rules".
Vad gör WithSecure för att minska antalet falska positiva resultat?
Vi arbetar för närvarande med att förbättra detektionskvaliteten genom att öka förhållandet mellan True Positive och totalt antal rapporterade incidenter. Lösningen består av tre delar, och vi har fått lovande resultat från en simulering som tyder på att BCD-volymerna kan minska med 40%.
De tre delar som beskrivs nedan kommer att leda till att färre medelhöga, höga och allvarliga BCD:er skapas med en mer korrekt riskklassificering;
- Förbättring av mekanismer för bullerdämpning - Vi håller på att omarbeta vår mekanism för att undertrycka detektioner som avviker från normalt beteende.
- Förbättrad BCD-riskbedömningsalgoritm - Vi håller på att implementera en ny algoritm som kommer att beräkna en riskpoäng för en BCD baserat på fördelningen av allvarlighetsgrader över de upptäckter som ingår i BCD samt använda tidigare och aktuella data för att förbättra poängsättningens noggrannhet.
- Integrering av ML-modellen för BCD-klustring - Denna modell kommer att gruppera incidenter baserat på deras likhet med andra som redan har bedömts som FPs eller bekräftats av kunder och partners.
Vem kan redigera undertryckningsreglerna?
Om du är en skrivskyddad användare ska du inte kunna lägga till eller redigera regler.
Om du är en användare med full åtkomst till ett företag kan du göra följande;
- Skapa regler
- Redigera regler som skapats för ditt företag.
Om du är en partner med Full Access bör du kunna göra det:
- Skapa regler
- Redigera de regler som du eller dina kollegor har skapat på partnernivå.
- Redigera de regler som skapats av dina kunder i de företag du hanterar.
Är reglerna företagsspecifika?
Ja, för närvarande kan en regel endast gälla för ett företag. Vi har fått feedback om att partners vill att regler ska gälla för flera företag, så vi har lagt till detta i vår färdplan.
Vems ansvar är det att validera undertryckningsreglerna?
Partnern är ansvarig för att säkerställa att deras analytiker och slutanvändare förstår och kan konfigurera och hantera undertryckningsregler. Partnern måste acceptera att de förstår att regler som är alltför undertryckande kan leda till missade kompromisser eftersom BCD:er är dolda. Därför rekommenderar vi att partnern/slutanvändaren regelbundet granskar reglerna och deras effektivitet.
Upplösningskoder ny
- Godkänt beteende - Incidenten har avslutats och övervakas inte längre. Upptäckten bekräftades som ett acceptabelt beteende.
- Auto Accepted Behavior - Incidenten har stängts automatiskt som ett accepterat beteende baserat på befintliga regler för undertryckande.
Obs: att stänga en BCD som Accepterat beteende innebär inte att liknande BCD:er tystas, en regel måste skapas.
Accepterat beteende efter 26 juni 2024
Från och med den 26 juni 2024 kommer "Accepted Behavior" att finnas tillgänglig globalt för alla kunder.
Det blir möjligt att skapa regler för undertryckande som accepterar en användares eller process beteende. Den här funktionen hjälper till att tysta "Broad Context Detections" (BCD) för förväntat beteende. Partners och kunder som använder WithSecure:s lösning EDR kan använda den här funktionen för att tillåta specifika beteenden i sina miljöer. Om du t.ex. litar på en process som heter "XYZ" och som är kopplad till programvaran "ABC" kan du undertrycka liknande BCD:er för att undvika onödiga varningar.
Accepted Behavior fungerar genom att undertrycka nyckeldetekteringar inom en BCD. Varje BCD innehåller en eller flera nyckeldetektioner som belyser misstänkt beteende. Organisationer kan skapa regler för undertryckande baserat på deras specifika omständigheter. Användare bör dock vara försiktiga så att de inte undertrycker för mycket, eftersom legitimt beteende också kan påverkas.
Begränsningarna i den här versionen omfattar aktivering av "accepterat beteende" för BCD:er med upp till 5 nyckeldetekteringar. Vi kommer snart att ta itu med fall där identiska regler skapas på grund av upprepade nyckeldetekteringar.
Dessutom kan en partner skapa en undertryckningsregel som gäller för alla företag som de hanterar. För närvarande finns det en begränsning som innebär att de kan tillämpa regeln på en organisation eller alla organisationer som de hanterar. Vi hoppas kunna möjliggöra en mer finkornig kontroll av detta i framtiden.