Defender / AV Exclusions

Hallo, ich wollte mal fragen ob jemand ein Best Practise zur Konfiguration von Sicherheitslösungen hat. Also ob es bestimmte Exlusions gibt, die man ausrollen sollte?
Seit wir PSADT Pakete ausrollen dreht unser Windows Defender durch.

Danke schonmal.

Guten Morgen,

das würde mich auch interessieren. Uns geht es da genauso.

Gruß
Michael

Hallo zusammen,

uns ist bekannt, dass es zu Meldungen seitens MSDefender gibt. Um Ihre Frage direkt zu beantworten: Uns ist keine Kombination an Exklusions bekannt, die nicht andere Sicherheitsbedenken schüren würden.

Zur guten Nachricht: Beginnend Anfang April wurden Schritte in die Wege geleitet, die Meldungen unterbinden sollten. Auslöser ist nach unseren Erkenntnissen eine Komponente welche das Starten von Applikationen während der Installation unterbinden soll. Diese ist mit dem Start der PSADT Pakete dazugekommen und nicht zwingend notwendig. Bei neuen Paketen ist diese Komponente, bis auf weiteres, standardmäßig deaktiviert.

Ich würde Sie bitten zu verifizieren, ob „Image File Execution Options“ (kurz IFEO) teil der Erkennung sind.

Sollte dies der Fall sein, ist es empfehlenswert aktuelle Updates einzuspielen. Ist dies nicht möglich, lässt sich diese Komponenten in den Paketen auch manuell deaktivieren. Innerhalb der Pakete liegt eine „neo42PackageConfig.json“. In dieser kann der Wert „BlockExecution“ auf „false“ gesetzt werden.
Dies sollte bereits reichen um keine weiteren Meldungen zu erhalten.
Implementationen in die Import Pipeline sind auch realisierbar.

Danke fürs Feedback. Das IFEO ist nur vereinzelt in den Incidents erwähnt. Andere Incidents berichten „Suspicious sequence of exploration activities“, „Suspicous system hardware discovery“, „suspicious application windows discovery“ und sehr viele „Suspicious LDAP query“ (was ich nicht ganz nachvollziehen kann) usw. Also sehr viele Scan-Vorgänge die verdächtig sind.

Offenbar hilft es auch nicht den ausführenden Matrix42.Platform.Service.Host als Trusted Installer zu hinterlegen oder zu whitelisten, da auch mit „Suspicious Task Planner Tasks“ und anderen Prozessen gearbeitet wird, die dann laut Defender nicht über den Matrix42 Service laufen…

Wenn ich keine Lösung dazu finde muss ich wieder zu den „klassischen“ Paketen ohne ADT zurück… :frowning:

Hallo Sven,

danke für Info. Gerne möchten wir Ihnen weiterhelfen.
Es würde uns immens helfen, wenn Sie uns einige ihrer Meldungen zukommen lassen könnten. Entweder per PM oder noch besser als Ticket.

Hallo @Sven
Ich schließe mich da @JBR.neo42 an. Bitte eröffne ein Ticket über neosupport@neo42.de damit wir uns das Thema einmal ansehen können.

Nach unserer Erfahrung sind die Zusammenhänge in den Defender EDR Meldungen nicht immer eindeutig einem Event zuzuordnen und bisher ließ es sich dann immer auf das genannte BlockExecution Thema zurückführen.

Gruß
Marco

Moin,
wir führen gerade den Defender (vorher McAfee) ein, aber Config Manager, kein Matrix.
Derzeit schärfen wir noch, aber bisher sind uns keine Meldungen aufgekommen. Wäre also am Ende interessant, was wir nicht anschalten sollten :wink:

Hallo @APCuser,

wie aus meinem ersten Beitrag ersichtlich empfiehlt es sich aktuell nicht das „BlockExecution“ Feature zu nutzen. Dieses bei aktuellen Paketen aber standardmäßig deaktiviert. Es gibt keine grafische Möglichkeit dieses Feature zu aktivieren, weshalb ich mir hier keine Sorgen machen würde. Es müsst für jedes Paket in der Konfigurationsdatei „neo42PackageConfig.json“ der Wert geändert werden.

Also bisher scheint erstmal Ruhe zu sein, nachdem ich jedes Paket rausgesucht und angepasst habe, in dem noch BlockExecution: true aktiv war