Sophos Intercept X : Bloquer l’abus

Produit et environnement

Cette fonctionnalité a été introduite dans Sophos Intercept X version 2023.2.

Information

Cette fonction de protection est un composant de la fonctionnalité de protection contre les comportements malveillants de Sophos Endpoint.

Il peut être activé/désactivé via la politique de protection contre les menaces, dans la section « Protection adaptative contre les attaques ».

Activité bloquée

Si l’option de stratégie ci-dessus est activée, les tentatives de programmation suspectes visant à activer le mode sans échec sur un point de terminaison Windows seront bloquées comme Prevent_1a (T1562.009).

Interface utilisateur du point de terminaison :

Interface utilisateur centrale :

Remarque : Il n’y a pas d’étapes de « nettoyage » explicites effectuées par la règle Prevent_1a. Il empêche simplement l’activation du mode sans échec.

Atténuation

Parfois, les administrateurs voudront intentionnellement activer le mode sans échec sur un appareil. Si une telle activité administrative bénigne est bloquée par cette fonctionnalité, il est recommandé que l’administrateur utilise l’une des deux options décrites ci-dessous.

(A) Désactiver temporairement la fonctionnalité sur l’appareil cible
  1. Dans l’interface utilisateur du point de terminaison, sélectionnez/cochez cette option pour remplacer la stratégie centrale.
  2. Désactivez l’option « Protection contre les attaques adaptatives : paramètres permanents »
  3. Effectuer les actions administratives
  4. Une fois cela fait, décochez l’option de remplacement. Si cette étape est oubliée, l’appareil reviendra automatiquement à la politique centrale après 4 heures.

Une autre approche basée sur des stratégies consiste pour l’administrateur à désactiver la fonctionnalité spécifique « Bloquer l’abus en mode sans échec » dans Central pour l’appareil en question et à la réactiver une fois le travail d’administration terminé.


(B) Activer le mode sans échec à partir d’une session Live Response

Une autre approche qui ne nécessite aucune modification de stratégie consiste à effectuer l’activation du mode sans échec à partir d’une session de réponse en direct sur le point de terminaison cible.

1. Depuis Sophos Central, démarrez une session Live Response sur le point de terminaison cible (voir les instructions ici).

2. Activez le mode sans échec si nécessaire à partir de la ligne de commande (par exemple, à l’aide de l’utilitaire système bcdedit.exe).

3. Mettez fin à la session Live Response.

4. Il n’est pas recommandé d’autoriser des déclenchements individuels Prevent_1a règle car cela affaiblirait la protection future (si un attaquant utilisait exactement la même technique pour activer le mode sans échec).

Parlez à un expert pour découvrir comment Sophos Intercept X peut sécuriser vos terminaux.


    
Améliorations de la protection adaptative contre les attaques