Grupos de reglas de detección de comportamiento

  • EF
 Prev Next

El complemento Endpoint Detection and Response es necesario para usar grupos de reglas de detección de comportamiento.

¿Qué son los grupos de reglas de detección de comportamiento?

Los grupos de reglas de detección de comportamiento le brindan un control preciso sobre sus detecciones de comportamiento de EDR. Piense en ello como una forma de personalizar qué reglas de seguridad vigilan su entorno; Puede aumentar los niveles de protección cuando sea necesario o atenuarlos para reducir el ruido de alerta.

Descripción de los niveles de detección

Fuera de la caja, las detecciones de comportamiento se ejecutan en modo Cauteloso , lo que significa que solo las amenazas más graves activan alertas. Esto mantiene las falsas alarmas al mínimo mientras atrapa a los peores actores. Puede aumentar la seguridad eligiendo niveles más completos:

  • Cauteloso : se centra en la actividad maliciosa clara con muy pocos falsos positivos.

  • Moderado : lanza una red más amplia para detectar más amenazas potenciales sin dejar de ser manejable.

  • Agresivo: emplea una cobertura de detección integral con la máxima sensibilidad (espere más alertas).

Grupos de reglas

Las detecciones de comportamiento se dividen en ocho categorías enfocadas, cada una de las cuales detecta diferentes tipos de comportamiento sospechoso. Puede establecer cada grupo en Cauteloso, Moderado o Agresivo de forma independiente.

  • Descubrimiento y recopilación de información: Detecta comandos de sondeo sospechosos, como los que identifican instalaciones de software de seguridad o máquinas virtuales.

  • Detección de exploits: Detecta intentos de explotación de vulnerabilidades conocidas públicamente o descubiertas de forma patentada.

  • Detección de ofuscación y cifrado: Detecta el uso de cifrado y ofuscación para ocultar datos o comandos.

  • Mecanismos de persistencia: Supervisa la creación o modificación de agentes de lanzamiento y demonios destinados a establecer persistencia en un host macOS.

  • Detección de escalada de privilegios: Monitorea las señales de que alguien está tratando de obtener acceso de nivel superior, como jugar con los permisos de los archivos o acceder a archivos de configuración confidenciales.

  • Monitoreo de uso de scripts y comandos: Identifica la ejecución de comandos y scripts sospechosos.

  • Alteraciones de la herramienta de seguridad y la configuración del sistema: Detecta la alteración o desactivación de configuraciones y herramientas de seguridad diseñadas para proteger macOS, como Gatekeeper, Transparency Consent and Control (TCC) y productos de seguridad de endpoints.

  • Alteraciones de la cuenta de usuario: Detecta la creación o manipulación de cuentas de usuario destinadas a permanecer ocultas de las interacciones normales del usuario o de la administración del sistema.

Configuración de grupos de reglas

  1. Abra la página Amenazas en el panel de navegación de la izquierda.

  2. Seleccione la pestaña Reglas .

  3. Para establecer reglas globalmente, seleccione el nivel de detección de reglas.

  4. Para establecer reglas basadas en el grupo de reglas, establezca el nivel de detección por grupo de reglas.

  5. En cada tipo de grupo de reglas, seleccione el nivel de detección deseado.

  6. Cuando termine, guarde la configuración de detección.

Control de excepciones de reglas

Las excepciones de reglas solo están disponibles para las reglas que no se dirigen a comportamientos altamente malintencionados. Las reglas de seguridad críticas no se pueden deshabilitar individualmente.

Es posible que ocasionalmente deba deshabilitar una regla específica que genere alertas excesivas sin afectar la configuración de todo el grupo de reglas. Para hacer esto:

  1. Vaya a la pestaña Detecciones de la página Amenazas.

  2. Seleccione las detecciones que generan alertas no deseadas mediante la casilla de verificación situada a la izquierda de la amenaza.

  3. Seleccione los puntos suspensivos en la esquina inferior izquierda.

  4. Elija Deshabilitar reglas sospechosas.

Administrar sus excepciones

Las reglas que deshabilite se mostrarán automáticamente en la lista Excepciones de reglas en la pestaña Reglas de la configuración de EDR.

Desde allí, puedes:

  • Ver todas las reglas que has desactivado

  • Vuelva a activar las reglas si cambian las circunstancias

  • Realice un seguimiento de lo que no se está monitoreando.