Este artigo explica como configurar a solução de Proteção de Endpoint (EPP) da Cato para proteger seus endpoints.
A solução EPP da Cato inclui três tipos de motores EPP: Proteção de Arquivos, que verifica arquivos no endpoint; Análise Comportamental, que verifica processos em execução no endpoint; e Anti-Exploit, que protege vulnerabilidades de software. Suas configurações de EPP são configuradas no Aplicativo de Gerenciamento Cato, proporcionando uma maneira centralizada de gerenciar a segurança em toda sua superfície de ataque. No Perfil de Proteção de Endpoint, você pode configurar o nível de proteção de cada motor para definir como ele responde a ameaças potenciais. Use a Política de Proteção de Endpoint para aplicar os Perfis de Proteção de Endpoint a um usuário final ou endpoint.
Você pode adicionar um arquivo ou processo à Lista de Permissão para evitar que arquivos ou processos legítimos sejam identificados como maliciosos e, para proteção adicional, pode executar uma verificação sob demanda em um endpoint específico.
Nota
Nota: Dispositivos localizados na China não podem registrar seu EPP no Cato devido a restrições regionais.
Para proteger seus endpoints de malwares conhecidos e desconhecidos, a solução EPP da Cato fornece três camadas de proteção para uma solução de segurança completa. Cada camada utiliza diferentes técnicas de detecção para identificar e prevenir diferentes tipos de ataques.
O motor de Proteção de Arquivos suporta a verificação de mais de 300 tipos de arquivos, incluindo arquivos arquivados, arquivos ZIP e RAR. Um arquivo é verificado uma vez que é baixado ou copiado em um endpoint, bem como quando um usuário final tenta acessá-lo. Você também pode verificar todos os arquivos em um endpoint a qualquer momento com uma verificação sob demanda.
O motor de Análise Comportamental usa métodos heurísticos para proteger contra ameaças desconhecidas e de dia zero. Aplicações e processos são continuamente monitorados para indicações de atividade maliciosa baseadas em seu comportamento. Exemplos de comportamento malicioso incluem:
-
Executando ou injetando código no espaço de outro processo para executar com privilégios mais elevados
-
Acessar ou executar operações ilegais em locais do registro que exigem privilégios elevados
-
Copiar ou mover arquivos em pastas do Sistema ou do Windows
Nota
Nota: Suportado a partir da versão 1.1 do EPP e superior
O motor Anti Exploit usa aprendizado de máquina para proteger contra ameaças conhecidas e desconhecidas que aproveitam vulnerabilidades de software. Os processos de sistema, navegadores, Microsoft Office e Adobe Reader são continuamente monitorados para detectar técnicas usadas para explorar vulnerabilidades de software. Exemplos de técnicas detectadas incluem:
-
Escalação de Privilégios: Processos tentando obter privilégios não autorizados e acesso a recursos
-
Introspecção de Processo: Tentativas de coletar informações detalhadas sobre processos em execução, recursos do sistema, uso de memória e outros dados críticos
-
Dumping de credenciais LSASS: Tentativas de acessar a memória do processo LSASS e extrair credenciais de autenticação sensíveis
Após um motor EPP identificar uma atividade potencialmente maliciosa, as configurações de Proteção definem a ação que o EPP realiza. Além disso, para o motor de Análise Comportamental, você pode definir quão sensível ele é para identificar ameaças desconhecidas.
A tabela a seguir descreve cada nível de Proteção e um caso de uso exemplo para ele.
|
Proteção |
Descrição |
Caso de Uso de Exemplo |
|---|---|---|
|
Desligado |
Verificações EPP não são executadas, nenhum evento é criado. |
Você não quer usar este motor EPP. |
|
Monitorar |
Um evento é criado se uma atividade maliciosa for identificada, mas nenhuma ação adicional é tomada. |
Você deseja coletar dados sobre arquivos ou processos maliciosos, sem impedir sua execução. |
|
Bloquear |
Um arquivo ou processo malicioso não pode ser executado. O arquivo não é modificado ou movido de sua localização. Esta é a configuração padrão para os motores de Análise Comportamental e Anti Exploit. |
Você quer identificar e bloquear arquivos ou processos maliciosos. |
|
Bloquear e Remediar |
O arquivo ou processo malicioso não pode ser executado. O arquivo é criptografado e colocado em quarentena ou, se isso não for possível, o arquivo é excluído. Esta é a configuração padrão para o Anti-malware. |
Você quer identificar, bloquear e colocar em quarentena arquivos ou processos maliciosos. |
|
Encerrar |
Terminate o processo de aplicação infectada. |
Deseja encerrar o processo malicioso para evitar que ele continue em execução. |
|
Encerrar e Remediar
|
Encerre o processo infectado e, se obtiver êxito, limpe os vestígios de malware. |
Você deseja encerrar o processo e garantir que remove qualquer persistência. |
| Encerrar Processo |
Encerre o processo da aplicação explorada e quaisquer processos possivelmente vinculados |
Encerre processos que injetaram código no processo explorado. |
O motor de Análise Comportamental detecta ameaças potenciais com base em um modelo preditivo e em heurísticas de aprendizado. O Nível de Sensibilidade do motor determina o nível de confiança que identifica as ameaças potenciais. Por exemplo, a configuração Agressivo identificará processos com um baixo nível de certeza de que o processo é malicioso. Esta configuração pode resultar em mais correspondências falso-positivas.
A tabela de opções a seguir descreve o Nível de Sensibilidade e um caso de uso de exemplo para ele.
|
Nível de Sensibilidade |
Descrição |
Caso de Uso de Exemplo |
|---|---|---|
|
Permissivo |
Detecte apenas processos que são determinados como maliciosos com um nível muito alto de certeza. Esta é a configuração com a sensibilidade mais baixa. |
Você só quer detectar processos que são certamente maliciosos. |
|
Equilibrado |
Detecte processos que são determinados como maliciosos com um alto nível de certeza. |
Você deseja detectar processos que são provavelmente maliciosos. |
|
Agressivo |
Detecte processos que são determinados como maliciosos com um baixo nível de certeza. Esta é a configuração com a sensibilidade mais alta. |
Você deseja detectar processos que são provavelmente mas não certamente maliciosos. |
Para definir como o EPP protege os endpoints na sua conta, use o Perfil EPP para definir o nível de Proteção para cada motor. Em seguida, use as regras na Política EPP para definir o escopo dos endpoints aos quais o Perfil se aplica. Um Perfil pode ser aplicado a usuários finais específicos, endpoints específicos ou ambos.
As políticas EPP são uma base de regras ordenada. As regras na sua política são aplicadas em arquivos e processos sequencialmente para verificar se uma regra é correspondida. As regras que estão no topo da base de regras têm uma prioridade mais alta porque são aplicadas antes das regras mais abaixo. Por exemplo, se a regra nº 1 tem uma resposta de Bloquear Proteção de Arquivo e se aplica a um endpoint onde um arquivo malicioso é identificado, o arquivo é bloqueado. Nenhuma outra regra é aplicada ao arquivo. A regra padrão final aplica o Perfil Padrão a todos os endpoints e não pode ser editada.
O Perfil do EPP define as configurações de Proteção do mecanismo de Análise Comportamental e Proteção de Arquivos. Você pode definir perfis diferentes com base nos requisitos para a sua Política EPP.
Defina as regras na Política EPP com a Fonte e o Perfil. A Fonte pode ser uma identidade de usuário final ou um dispositivo de endpoint baseado no ID do Endpoint. Você também pode definir o nível de proteção (Perfil) que é aplicado a cada usuário final ou endpoint (Fonte). Isso permite que você personalize como cada motor EPP é usado em cada endpoint em seu ambiente.
Para criar uma Política de Proteção de Endpoint:
-
No menu de navegação, clique em Segurança > Proteção de Endpoint.
-
Clique em Novo.
O painel Criar nova Regra de Política de Proteção de Endpoint é aberto.
-
Defina o Nome, Descrição, Fonte e Perfil para esta regra.
-
(Opcional) Configure opções de rastreamento para gerar Eventos e Enviar Notificação
Para mais informações sobre notificações, consulte o artigo relevante para Grupos de Assinatura, Listas de Email e Integrações de Alerta na seção de Alertas.
-
Clique em Aplicar.
-
Repita os passos 2-5 para cada regra na Política EPP.
-
Habilite a Política EPP e clique em Salvar.
O slider (
) fica verde quando o EPP está ativado e cinza quando o EPP está desativado.
Às vezes, um motor EPP pode considerar um processo de negócio legítimo como malicioso. Para evitar que a Proteção de Endpoint interrompa processos de negócio legítimos, você pode permitir um Objeto para um usuário final ou em um endpoint (Fonte). Isso significa que não é escaneado, bloqueado ou movido. Para verificações sob demanda, um evento pode ser acionado com a ação de mitigação Ignorar. Nenhum evento é criado para escaneamentos de arquivos.
Os seguintes objetos podem ser permitidos para execução para um usuário final, em um endpoint ou ambos:
Nota
Nota: Caminhos de Arquivo são permitidos tanto pelos motores Anti-Malware quanto de Análise Comportamental. Outros objetos são permitidos apenas pelo motor Anti-Malware.
-
Caminho do Arquivo
-
Caminho da Pasta
-
Tipo de Arquivo
-
Hash de Arquivo SHA256
Para definir um Objeto para a Lista de Permissão:
-
No menu de navegação, clique em Segurança > Proteção de Endpoint.
-
Clique na aba Lista de Permissão.
-
Clique em Novo.
O painel Nova Lista de Permissão é aberto.
-
Defina o Nome, Descrição, Objeto e Fonte que devem ser permitidos.
-
Clique em Aplicar.
-
Repita os passos 3-5 para cada Objeto que você está permitindo.
-
Clique em Salvar.
Escaneamentos de Proteção de Arquivos são executados quando um arquivo é baixado ou copiado para um endpoint, bem como quando um usuário final tenta acessá-lo. Além disso, você pode executar um escaneamento Sob Demanda de Proteção de Arquivos em um endpoint a qualquer momento. Ao executar um escaneamento Sob Demanda de Proteção de Arquivos, você pode identificar malwares existentes em um endpoint antes que o usuário final tente acessá-lo.
Scans Sob Demanda comparam o hash SHA256 de todos os arquivos salvos no endpoint com uma lista de assinaturas de malware conhecidas. Se um arquivo malicioso for detectado, o EPP segue a ação definida pela Política.
Você pode identificar arquivos maliciosos em um endpoint a qualquer momento executando um scan Sob Demanda. Esses scans não são executados após a instalação do agente, eles são executados apenas após serem acionados pela Aplicação de Gerenciamento Cato.
Para executar um scan Sob Demanda de Proteção de Arquivos
-
No menu de navegação, clique em Acesso > Endpoints Protegidos.
A tela Endpoints Protegidos é exibida.
-
Clique nos três pontos (
) no endpoint que deseja verificar.
-
Clique em Escanear Endpoint.
Um scan de Proteção de Arquivo é executado no endpoint.
Após instalar o agente EPP nos seus endpoints, você pode testar a solução para garantir que impeça atividades maliciosas com base na sua configuração de políticas.
Para testar a solução EPP:
-
Em um endpoint com o agente instalado, baixe e tente executar um arquivo de teste EICAR.
-
Tente abrir e executar o arquivo.
Nota: Se o download do arquivo for bloqueado pela sua solução de segurança de rede ou navegador, copie o texto no arquivo EICAR, cole-o em um novo arquivo .txt e salve.
-
Se a solução EPP estiver instalada e habilitada corretamente, o comportamento do arquivo estará de acordo com suas políticas configuradas e um evento será criado.
Quando um motor EPP escaneia um arquivo ou processo, ele é comparado a um banco de dados de atividades maliciosas conhecidas. Esses bancos de dados são atualizados automaticamente regularmente para garantir que os motores EPP protejam contra as ameaças mais recentes.
O status da atualização do banco de dados é visível na aba Status do agente EPP.
A frequência das atualizações do banco de dados é:
-
Malware DB: A cada 1 hora
-
CTC DB: A cada 24 horas (este banco de dados é usado para correções entre motores)
-
Comportamental DB: A cada 2 horas
-
Exploit DB: A cada 2 horas
Uma base de dados contendo uma lista de arquivos legítimos conhecidos que não requerem verificação é atualizada a cada 4 horas.
0 comentário
Por favor, entre para comentar.