Anbefalinger til Dell Threat Defense-politik
Oversigt: Få mere at vide om anbefalede politikker og politikdefinitioner for Dell Threat Defense.
Denne artikel gælder for
Denne artikel gælder ikke for
Denne artikel er ikke knyttet til et bestemt produkt.
Det er ikke alle produktversioner, der er identificeret i denne artikel.
Instruktioner
Bemærk:
- Fra maj 2022 har Dell Threat Defense nået afslutningen for sin vedligeholdelse. Dette produkt og dets artikler opdateres ikke længere af Dell. Du kan få flere oplysninger i Politik for produktets levetid (slutdato for og slutdato for support) for Dell Data Security. Hvis du har spørgsmål til alternative artikler, kan du kontakte din salgsafdeling eller endpointsecurity@dell.com.
- Se Slutpunktssikkerhed for at få yderligere oplysninger om aktuelle produkter.
Dell Threat Defense bruger politikker til at:
- Definere, hvordan trusler håndteres
- Bestemme, hvad der skal ske med filer, der er sat i karantæne
- Konfigurere script-styring
Berørte produkter:
- Dell Threat Defense
Klik på Anbefalede politikker eller Politikdefinitioner for at få flere oplysninger.
Det anbefales at konfigurere politikker i Learning Mode (Læringstilstand) eller Protect Mode (Beskyttelsestilstand). Læringstilstand er den måde, hvorpå Dell Technologies anbefaler at teste Dell Threat Defense i et miljø. Dette er mest effektivt, når Dell Threat Defense er implementeret på slutpunkter med standardfirmabilledet.
Det kan være nødvendigt med flere ændringer for programservere på grund af højere I/O end normalt.
Når alle advarsler er blevet håndteret i administrationskonsollen til Dell Threat Defense af administratoren, anbefaler Dell Technologies, at du skifter til politikanbefalingerne for beskyttelsestilstand. Dell Technologies anbefaler et par ugers test eller mere i indlæringstilstand, før du skifter til politikker for beskyttet tilstand.
Klik på Application Server Recommendations, Learning Mode eller Protect Mode for at få flere oplysninger.
Anbefalinger til programserver
I tilstandene Learning og Protect kan programservere opleve yderligere faste og ulige adfærd i forhold til klientoperativsystemer. Auto Quarantine (AQT) (Automatisk karantæne) har i sjældne tilfælde forhindret visse filer i at køre, indtil en score kan beregnes. Dette er blevet set, når et program registrerer låsningen af sine filer som manipulation, eller en proces muligvis ikke fuldføres med succes inden for en forventet tidsramme.
Hvis Se efter nye filer er aktiveret, kan det gøre enhedens drift langsommere. Når en ny fil genereres, analyseres den. Selvom denne proces er let, kan en stor mængde filer ad gangen påvirke ydeevnen.
Foreslåede politikændringer til Windows Server-operativsystemer:
- Aktivér registrering af trusler i baggrunden , og få det til at køre én gang.
- Sørg for, at Udførelseskontrol er aktiveret.
- Deaktiver Se efter nye filer.
Med disse anbefalinger foreslås det typisk også at indeholde enheder, der kører serveroperativsystemer, i separate zoner. Du kan finde oplysninger om generering af zoner i Sådan administrerer du zoner i Dell Threat Defense.
Læringstilstand
| Politik | Anbefalet indstilling |
|---|---|
| Automatisk karantæne med udførselskontrol for Usikker | Disabled |
| Automatisk karantæne med udførselskontrol for Unormal | Disabled |
| Aktivér automatisk sletning for filer, der er sat i karantæne | Disabled |
| Upload automatisk | Aktiveret |
| Liste over sikre politikker | Miljøafhængigt |
| Politik | Anbefalet indstilling |
|---|---|
| Undgå lukning af service fra enhed | Disabled |
| Afbryd usikre kørende processer og deres underprocesser | Disabled |
| Background Threat Detection | Disabled |
| Kør en gang/kør tilbagevendende | Ikke relevant, når Background Threat Protection er indstillet til Deaktiveret |
| Hold øje med nye filer | Disabled |
| Kopiér fileksempler | Miljøafhængigt |
| Politik | Anbefalet indstilling |
|---|---|
| Aktivér automatisk upload af logfiler | Miljøafhængigt |
| Aktivér skrivebordsmeddelelser | Miljøafhængigt |
| Politik | Anbefalet indstilling |
|---|---|
| Script-styring | Aktiveret |
| 1370 og derunder Active Script og PowerShell | Kvik |
| 1380 og derover Aktivt script | Kvik |
| 1380 og derover PowerShell | Kvik |
| Bloker brugen af PowerShell-konsollen | Ikke relevant, når PowerShell er indstillet til advarsel |
| 1380 og derover Makroer | Kvik |
| Deaktiver script-styring Aktivt script | Disabled |
| Deaktiver scriptstyring PowerShell | Disabled |
| Deaktiver script-styring Makroer | Disabled |
| Mappeundtagelser (omfatter undermapper) | Miljøafhængigt |
Beskyttelsestilstand
| Politik | Anbefalet indstilling |
|---|---|
| Automatisk karantæne med udførselskontrol for Usikker | Aktiveret |
| Automatisk karantæne med udførselskontrol for Unormal | Aktiveret |
| Aktivér automatisk sletning for filer, der er sat i karantæne | Miljøafhængigt |
| Upload automatisk | Miljøafhængigt |
| Liste over sikre politikker | Miljøafhængigt |
| Politik | Anbefalet indstilling |
|---|---|
| Undgå lukning af service fra enhed | Aktiveret |
| Afbryd usikre kørende processer og deres underprocesser | Aktiveret |
| Background Threat Detection | Aktiveret |
| Kør en gang/kør tilbagevendende | Kør en gang |
| Hold øje med nye filer | Aktiveret |
| Kopiér fileksempler | Miljøafhængigt |
| Politik | Anbefalet indstilling |
|---|---|
| Aktivér automatisk upload af logfiler | Miljøafhængigt |
| Aktivér skrivebordsmeddelelser | Miljøafhængigt |
| Politik | Anbefalet indstilling |
|---|---|
| Script-styring | Aktiveret |
| 1370 og derunder Active Script og PowerShell | Bloker |
| 1380 og derover Aktivt script | Bloker |
| 1380 og derover PowerShell | Bloker |
| Bloker brugen af PowerShell-konsollen | Bloker |
| 1380 og derover Makroer | Bloker |
| Deaktiver script-styring Aktivt script | Disabled |
| Deaktiver scriptstyring PowerShell | Disabled |
| Deaktiver script-styring Makroer | Disabled |
| Mappeundtagelser (omfatter undermapper) | Miljøafhængigt |
Politikdefinitioner i Threat Defense:
Filhandlinger
Automatisk karantæne med udførselskontrol for Usikker
Denne politik bestemmer, hvad der sker med filer, der registreres, mens de køres. Som standard, selv når en usikker fil registreres som kørende, blokeres truslen. Usikker er kendetegnet ved en kumulativ score for den bærbare eksekverbare fil, der overstiger 60 i Advanced Threat Preventions scoringssystem, der er baseret på trusselsindikatorer, der er blevet evalueret.
Automatisk karantæne med udførselskontrol for Unormal
Denne politik bestemmer, hvad der sker med filer, der registreres, mens de køres. Som standard, selv når en unormal fil registreres som kørende, blokeres truslen. Unormal er kendetegnet ved en kumulativ score for den bærbare eksekverbare fil, der overstiger 0, men ikke overstiger 60 i Advanced Threat Preventions scoringssystem. Pointsystemet er baseret på trusselsindikatorer, der er blevet evalueret.
Aktivér automatisk sletning for filer, der er sat i karantæne
Når usikre eller unormale filer sættes i karantæne baseret på karantæner på enhedsniveau, globale karantænelister eller politikker for automatisk karantæne, opbevares de i en lokal karantænecache i sandkassen på den lokale enhed. Når Aktivér automatisk sletning for filer i karantæne er aktiveret, angiver det antallet af dage (mindst 14 dage, maksimalt 365 dage) til at beholde filen på den lokale enhed, før filen slettes permanent. Når dette er aktiveret, bliver det muligt at ændre antallet af dage.
Upload automatisk
Markerer trusler, der ikke blev registreret af Threat Defense SaaS-miljøet (software as a Service), til yderligere analyse. Når en fil markeres som en potentiel trussel af den lokale model, tages der en SHA256-hash af den bærbare eksekverbare fil, og dette sendes op til SaaS. Hvis SHA256-hashen, der blev sendt, ikke kan matches med en trussel, og automatisk upload er aktiveret, kan truslen sikkert uploades til SaaS til evaluering. Disse data gemmes på en sikker måde og er ikke tilgængelig for Dell eller dennes partnere.
Liste over sikre politikker
Listen over sikre politikker er en liste over filer, der er fastlagt til at være sikre i miljøet, og som er manuelt blevet set bort fra ved at sende deres SHA256-hash og alle yderligere oplysninger til denne liste. Når en SHA256-hash placeres på denne liste, og filen køres, evalueres den ikke af de lokale trusselsmodeller eller cloud-trusselsmodellerne. Disse er "absolutte" filstier.
Eksempler på udelukkelse:
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Indstillinger for beskyttelse
Afbryd usikre kørende processer og deres underprocesser
Når Dræb usikre kørende processer og deres underprocesser er aktiveret, bestemmer dette, om en trussel genererer underordnede processer, eller om applikationen har overtaget andre processer, der i øjeblikket kører i hukommelsen. Hvis der er en tro på, at en proces er blevet overtaget af en trussel, afsluttes den primære trussel og eventuelle processer, som den har genereret eller i øjeblikket ejer, straks.
Background Threat Detection
Når registrering af baggrundstrusler er aktiveret, scanner hele enheden for en bærbar eksekverbar fil og evaluerer den derefter eksekverbare fil med den lokale trusselsmodel og anmoder om bekræftelse af scoringen af den eksekverbare fil med den skybaserede SaaS baseret på trusselsindikatorerne for den eksekverbare fil. To muligheder er mulige med registrering af baggrundstrusler: Kør én gang , og kør tilbagevendende. Kør én gang udfører en baggrundsscanning af alle fysiske drev, der er tilsluttet enheden i det øjeblik, Threat Defense installeres og aktiveres. Kør tilbagevendende udfører en baggrundsscanning af alle enheder, der er tilsluttet enheden i det øjeblik, Threat Defense installeres og aktiveres. Den gentager scanningen hver niende dag (kan ikke konfigureres).
Hold øje med nye filer
Når Se efter nye filer er aktiveret, evalueres enhver bærbar eksekverbar, der introduceres til enheden, straks med de trusselindikatorer, den viser ved hjælp af den lokale model, og denne score bekræftes mod den skyhostede SaaS.
Kopiér fileksempler
Kopier fileksempler gør det muligt automatisk at deponere alle trusler, der findes på enheden, til et defineret lager baseret på UNC-sti. Dette anbefales kun til interne trusselsundersøgelser eller til at have et sikkert lager med pakkede trusler i miljøet. Alle filer, der gemmes af Copy File Samples , zippes med adgangskoden infected.
Agentindstillinger
Aktivér automatisk upload af logfiler
Aktivér automatisk upload af logfiler gør det muligt for slutpunkter at uploade deres logfiler til Dell Threat Defense hver nat ved midnat, eller når filen når 100 MB. Logfiler uploades hver nat uanset filstørrelse. Alle logfiler, der overføres, komprimeres, før de forlader netværket.
Aktivér skrivebordsmeddelelser
Aktivér skrivebordsmeddelelse giver enhedsbrugere mulighed for at tillade prompter på deres enhed, hvis en fil er markeret som unormal eller usikker. Dette er en indstilling i højrekliksmenuen på Dell Threat Defense-bakkeikonet på slutpunkter med denne politik aktiveret.
Script-styring
Script-styring
Scriptstyring fungerer via en hukommelsesfilterbaseret løsning til at identificere scripts, der kører på enheden, og forhindre dem, hvis politikken er indstillet til Bloker for den pågældende scripttype. Advarselsindstillinger for disse politikker noterer kun scripts, der ville være blevet blokeret i logfiler og på Dell Threat Defense-konsollen.
1370 og derunder
Disse politikker gælder for kunder før 1370, som var tilgængelige før juni 2016. Der reageres kun på aktive scripts og PowerShell-baserede scripts med disse versioner.
1380 og derover
Disse politikker gælder for klienter efter 1370, som var tilgængelige efter juni 2016.
Aktivt script
Aktive scripts omfatter ethvert script, der fortolkes af Windows-scriptværten, herunder JavaScript, VBScript, batchfiler og mange andre.
PowerShell
PowerShell-scripts omfatter ethvert script med flere linjer, der køres som en enkelt kommando. (Standardindstilling - Advarsel)
Bloker brug af PowerShell-konsol – (ikke til stede, når PowerShell er indstillet til advarsel)
I PowerShell v3 (introduceret i Windows 8.1) og nyere køres de fleste PowerShell-scripts som en enkeltlinjekommando. Selvom de kan indeholde flere linjer, køres de i rækkefølge. Dette kan omgå PowerShell-scriptfortolkeren. Bloker PowerShell-konsollen omgår dette ved at deaktivere muligheden for at få ethvert program til at starte PowerShell-konsollen. ISE (Integrated Scripting Environment) er ikke berørt af denne politik.
Makroer
Indstillingen Makro fortolker makroer, der findes i Office-dokumenter og PDF-filer, og blokerer skadelige makroer, der kan forsøge at downloade trusler.
Deaktiver script-styring
Disse politikker deaktiverer muligheden for endda at advare den scripttype, der er defineret inden for hver politik. Når den er deaktiveret, indsamles der ingen logfiler, og det er ikke muligt at detektere eller blokere potentielle trusler.
Aktivt script
Når afkrydsningsfeltet er markeret, forhindrer det indsamling af logfiler og blokerer eventuelle Active Script-baserede trusler. Aktive scripts omfatter ethvert script, der fortolkes af Windows-scriptværten, herunder JavaScript, VBScript, batchfiler og mange andre.
PowerShell
Når afkrydsningsfeltet er markeret, forhindrer det indsamling af logfiler og blokerer eventuelle potentielle PowerShell-baserede trusler. PowerShell-scripts omfatter ethvert script med flere linjer, der køres som en enkelt kommando.
Makroer
Når afkrydsningsfeltet er markeret, forhindrer det indsamling af logfiler og blokerer eventuelle makrobaserede trusler. Indstillingen Makro fortolker makroer, der findes i Office-dokumenter og PDF-filer, og blokerer skadelige makroer, der kan forsøge at downloade trusler.
Mappeundtagelser (omfatter undermapper)
Mappeundtagelser gør det muligt at definere mapper, som scripts kan køre i og som kan udelukkes. I dette afsnit anmodes der om udelukkelser i et relativt stiformat.
- Mappestier kan være til et lokalt drev, et tilknyttet netværksdrev eller en UNC-sti (Universal Naming Convention).
- Udeladelser af scriptmapper skal angive mappens eller undermappens relative sti.
- Enhver angivet mappesti omfatter også eventuelle undermapper.
- Udelukkelser med jokertegn skal bruge skråstreger i UNIX-typografien til Windows-computere. Eksempel:
/windows/system*/. - Det eneste tegn, der kan bruges til wildcards, er *.
- Mappeundtagelser med et wildcards skal have en skråstreg i slutningen af stien for at muliggøre adskillelse mellem en mappe og en fil.
- Udelukkelse af mapper:
/windows/system32/*/ - Udelukkelse af filer:
/windows/system32/*
- Udelukkelse af mapper:
- Der skal tilføjes et wildcard for hvert mappeniveau. F.eks.
/folder/*/script.vbsKampe\folder\test\script.vbseller\folder\exclude\script.vbsmen virker ikke for\folder\test\001\script.vbs. Dette ville kræve enten/folder/*/001/script.vbseller/folder/*/*/script.vbs. - Wildcards understøtter fuld og delvis udelukkelse.
- Eksempel på fuldt jokertegn:
/folder/*/script.vbs - Eksempel på delvist jokertegn:
/folder/test*/script.vbs
- Eksempel på fuldt jokertegn:
- Netværksstier understøttes også med wildcards.
//*/login/application//abc*/logon/application
Korrekt (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Korrekt (Windows): \Cases\ScriptsAllowed
Ukorrekt: C:\Application\SubFolder\application.vbs
Ukorrekt: \Program Files\Dell\application.vbs
Eksempler på jokertegn:
/users/*/temp vil omfatte:
\users\john\temp\users\jane\temp
/program files*/app/script*.vbs vil omfatte:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbs- \
program files(x64)\app\script3.vbs
For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.
Flere oplysninger
Videoer
Berørte produkter
Dell Threat DefenseArtikelegenskaber
Artikelnummer: 000124588
Artikeltype: How To
Senest ændret: 07 nov. 2024
Version: 13
Find svar på dine spørgsmål fra andre Dell-brugere
Supportservices
Kontrollér, om din enhed er dækket af supportservices.