Рекомендации по политикам Dell Threat Defense
Summary: Узнайте о рекомендуемых политиках и определениях политик для Dell Threat Defense.
Instructions
- По состоянию на май 2022г., обслуживание Dell Threat Defense прекращено. Этот продукт и статьи по нему больше не обновляются Dell. Подробнее см. в статье Политика жизненного цикла продукта (окончание поддержки и окончание срока эксплуатации) для Dell Data Security. Если у вас возникли вопросы по альтернативным статьям, обратитесь в отдел продаж или по адресу endpointsecurity@dell.com.
- Дополнительные сведения о текущих продуктах см. в разделе Endpoint Security.
Dell Threat Defense использует политики для следующего:
- определение способов устранения угроз;
- определение действий с файлами, помещенными в карантин;
- настройка управления сценариями.
Затронутые продукты:
- Dell Threat Defense
Для получения дополнительной информации нажмите Рекомендуемые политики или Определения политик .
Рекомендуется настраивать политики в режиме обучения или в режиме защиты. Режим обучения — это способ, в котором Dell Technologies рекомендует тестировать Dell Threat Defense в среде. Это наиболее эффективно, если Dell Threat Defense развертывается на конечных устройствах со стандартным корпоративным образом.
Для серверов приложений могут потребоваться дополнительные изменения из-за более высокого объема ввода-вывода по сравнению с обычным диском.
После того как администратор рассмотрит все оповещения в консоли администрирования Dell Threat Defense, Dell Technologies рекомендует переключиться на рекомендации политики Режим защиты. Dell Technologies рекомендует провести тестирование в режиме обучения не менее двух недель, прежде чем переходить в режим защиты.
Для получения дополнительной информации нажмите Рекомендации сервера приложений, Режим обучения или Режим защиты .
Рекомендации по серверу приложений
В режимах обучения и защиты серверы приложений могут видеть дополнительные издержки и разнородное поведение для клиентских операционных систем. В редких случаях функция автоматического карантина (AQT) не позволяет запускать некоторые файлы до тех пор, пока не будет рассчитана оценка. Это происходит, когда приложение обнаруживает блокировку файлов из-за несанкционированного доступа, или процесс может не завершиться успешно в ожидаемый период времени.
Если функция «Просмотр новых файлов» включена, это может замедлить работу устройства. При создании нового файла выполняется его анализ. Хотя этот процесс не требует много ресурсов, одновременный анализ большого объема файлов может привести к снижению производительности.
Рекомендуемые изменения политик для операционных систем Windows Server:
- Включите Background Threat Detection и запустите его один раз.
- Убедитесь, что параметр Execution Control включен.
- Отключить просмотр новых файлов.
В соответствии с этими рекомендациями обычно также рекомендуется размещать устройства под управлением серверных операционных систем в отдельных зонах. Подробнее о создании зон см. в статье Управление зонами в Dell Threat Defense.
Режим обучения
| Политика | Рекомендуемая настройка |
|---|---|
| Автоматический карантин с контролем выполнения для небезопасных | Disabled |
| Автоматический карантин с контролем выполнения для аномальных | Disabled |
| Включить автоудаление для файлов в карантине | Disabled |
| Автоматическая выгрузка | Enabled |
| Список безопасных политик | Зависит от среды |
| Политика | Рекомендуемая настройка |
|---|---|
| Prevent Service Shutdown from Device | Disabled |
| Kill unsafe running processes and their sub processes | Disabled |
| Background Threat Detection | Disabled |
| Запустить однократно/Запускать регулярно | Не применяется, если для параметра «Защита от угроз в фоновом режиме» установлено значение «Отключено» |
| Просмотр новых файлов | Disabled |
| Copy File Samples | Зависит от среды |
| Политика | Рекомендуемая настройка |
|---|---|
| Включить автоматическую отправку файлов журналов | Зависит от среды |
| Включить уведомление на рабочем столе | Зависит от среды |
| Политика | Рекомендуемая настройка |
|---|---|
| Script Control | Enabled |
| 1370 и ниже: Active Script и PowerShell | Alert |
| 1380 и выше: Active Script | Alert |
| 1380 и выше: PowerShell | Alert |
| Блокировать использование консоли PowerShell | Не применяется, если для PowerShell задано значение «Alert». |
| 1380 и выше: макросы | Alert |
| Отключить Active Script управления сценариями | Disabled |
| Отключить PowerShell управления сценариями | Disabled |
| Отключить макросы управления сценариями | Disabled |
| Folder Exclusions (includes subfolders) | Зависит от среды |
Режим защиты
| Политика | Рекомендуемая настройка |
|---|---|
| Автоматический карантин с контролем выполнения для небезопасных | Enabled |
| Автоматический карантин с контролем выполнения для аномальных | Enabled |
| Включить автоудаление для файлов в карантине | Зависит от среды |
| Автоматическая выгрузка | Зависит от среды |
| Список безопасных политик | Зависит от среды |
| Политика | Рекомендуемая настройка |
|---|---|
| Prevent Service Shutdown from Device | Enabled |
| Kill unsafe running processes and their sub processes | Enabled |
| Background Threat Detection | Enabled |
| Запустить однократно/Запускать регулярно | Run Once |
| Просмотр новых файлов | Enabled |
| Copy File Samples | Зависит от среды |
| Политика | Рекомендуемая настройка |
|---|---|
| Включить автоматическую отправку файлов журналов | Зависит от среды |
| Включить уведомление на рабочем столе | Зависит от среды |
| Политика | Рекомендуемая настройка |
|---|---|
| Script Control | Enabled |
| 1370 и ниже: Active Script и PowerShell | Заблокировать |
| 1380 и выше: Active Script | Заблокировать |
| 1380 и выше: PowerShell | Заблокировать |
| Блокировать использование консоли PowerShell | Заблокировать |
| 1380 и выше: макросы | Заблокировать |
| Отключить Active Script управления сценариями | Disabled |
| Отключить PowerShell управления сценариями | Disabled |
| Отключить макросы управления сценариями | Disabled |
| Folder Exclusions (includes subfolders) | Зависит от среды |
Определения политик Threat Defense
Действия с файлами
Автоматический карантин с контролем выполнения для небезопасных
Эта политика определяет, что происходит с файлами, которые обнаруживаются во время их запуска. По умолчанию: даже если небезопасный файл определяется как выполняющийся, угроза будет заблокирована. Небезопасный характеризуется совокупной оценкой переносимого исполняемого файла, превышающей 60 баллов в системе оценки Advanced Threat Prevention, основанной на оцененных индикаторах угроз.
Автоматический карантин с контролем выполнения для аномальных
Эта политика определяет, что происходит с файлами, которые обнаруживаются во время их запуска. По умолчанию: даже если аномальный файл определяется как выполняющийся, угроза будет заблокирована. «Аномальный» характеризуется совокупной оценкой для переносимого исполняемого файла, которая превышает 0, но не превышает 60 в системе оценки Advanced Threat Prevention. Система скоринга основана на показателях угроз, которые были оценены.
Включить автоудаление для файлов в карантине
Если небезопасные или аномальные файлы помещаются в карантин на основе карантина на уровне устройства, глобальных списков карантина или политик автоматического карантина, они будут храниться в локальном изолированном кэше карантина на локальном устройстве. Если параметр Включить автоматическое удаление для файлов, помещенных в карантин, указано количество дней (минимум 14 дней, максимум 365 дней), в течение которых файл должен храниться на локальном устройстве, прежде чем файл будет окончательно удален. Когда эта функция включена, можно менять количество дней.
Автоматическая выгрузка
Помечает угрозы, которые не были обнаружены SaaS-средой Threat Defense, для дальнейшего анализа. Когда файл помечен локальной моделью как потенциальная угроза, хэш SHA256 берется из переносимого исполняемого файла и отправляется в SaaS. Если отправленный хэш SHA256 не может быть сопоставлен с угрозой, и включена автоматическая отправка, это позволяет безопасно отправить угрозу в SaaS для оценки. Эти данные хранятся в безопасном месте и недоступны для компании Dell и ее партнеров.
Список безопасных политик
Список безопасных файлов в политике — это список файлов, которые были признаны безопасными в среде и были отклонены вручную путем отправки хэша SHA256 и любой дополнительной информации в этот список. Когда хэш SHA256 помещается в этот список, файл при запуске не будет оцениваться локальной или облачной моделью угроз. Это «абсолютные» пути к файлам.
Примеры исключений:
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Protection Settings
Kill unsafe running processes and their sub processes
Если включен параметр Завершать небезопасные запущенные процессы и их подпроцессы , это определяет, порождает ли угроза дочерние процессы или приложение взяло на себя другие процессы, которые в данный момент выполняются в памяти. Если есть предположение, что процесс был захвачен угрозой, первичная угроза и все процессы, которые она породила или которыми она владеет в настоящее время, немедленно завершаются.
Background Threat Detection
При включении функции фонового обнаружения угроз все устройство сканируется на наличие любых портативных исполняемых файлов, а затем оценивается этот исполняемый файл с помощью локальной модели угроз и запрашивается подтверждение для оценки исполняемого файла с помощью облачного SaaS на основе индикаторов угроз исполняемого файла. При использовании функции фонового обнаружения угроз возможны два варианта: Запуск один раз и запуск повторения. Запустить один раз выполняет фоновое сканирование всех физических накопителей, подключенных к устройству, в момент установки и активации Threat Defense. Повторяющийся запуск выполняет фоновое сканирование всех устройств, подключенных к устройству, в момент установки и активации Threat Defense. Сканирование повторяется каждые девять дней (не настраивается).
Просмотр новых файлов
Если включена функция «Отслеживание новых файлов », любой портативный исполняемый файл, который появляется на устройстве, немедленно оценивается с помощью индикаторов угроз, которые отображаются с использованием локальной модели, и эта оценка подтверждается с помощью облачного SaaS.
Copy File Samples
Copy File Samples позволяет автоматически депонировать любые угрозы, обнаруженные на устройстве, в определенный репозиторий на основе UNC-пути. Это рекомендуется только для исследования внутренних угроз или для содержания безопасного репозитория запакованных угроз в среде. Все файлы, хранящиеся в Copy File Samples , заархивируются с паролем infected.
Agent Settings
Включить автоматическую отправку файлов журналов
Включение автоматической загрузки файлов журналов позволяет конечным точкам загружать свои файлы журналов для Dell Threat Defense каждую ночь в полночь или когда размер файла достигает 100 Мбайт. Журналы отправляются каждую ночь независимо от размера файла. Все переданные журналы сжимаются перед выходом из сети.
Включить уведомление на рабочем столе
Включение уведомлений на рабочем столе позволяет пользователям устройств разрешать отправку запросов, если файл помечен как ненормальный или небезопасный. Этот пункт содержится в контекстном меню значка Dell Threat Defense на панели задач конечных устройств с включенной политикой.
Script Control
Script Control
Управление сценариями работает с помощью решения на основе фильтра памяти для выявления сценариев, выполняемых на устройстве, и предотвращения их, если для этого типа сценариев задано значение «Block». Настройки оповещений в этих политиках содержат только те сценарии, которые были заблокированы в журналах и на консоли Dell Threat Defense.
1370 и ниже
Эти политики применяются к клиентам до версии 1370, которые были выпущены до июня 2016 года. С этими версиями работают только сценарии на основе Active Script и PowerShell.
1380 и выше
Эти политики применяются к клиентам версии 1370 и выше, которые были выпущены после июня 2016 года.
Active Script
Сценарии Active Script включают любой сценарий, интерпретируемый хостом сценариев Windows, включая JavaScript, VBScript, пакетные файлы и многое другое.
PowerShell
Сценарии PowerShell включают любой многострочный сценарий, который выполняется как одна команда. (Настройка по умолчанию — «Оповещение»)
Блокировать использование консоли PowerShell (отсутствует, если для PowerShell установлено значение «Оповещение»)
В PowerShell v3 (начиная с Windows 8.1) и более поздних версиях большинство сценариев PowerShell выполняются как одна команда; хотя они могут содержать несколько строк, они выполняются в порядке очереди. Это может обойти интерпретатор сценария PowerShell. Блокировка консоли PowerShell позволяет обойти такое поведение, отключая для любого приложения возможность запуска консоли PowerShell. Эта политика не влияет на интегрированную среду сценариев (ISE).
Macros
Параметр «Макрос» интерпретирует макросы, содержащиеся в документах Office и PDF, и блокирует вредоносные макросы, которые могут попытаться скачать угрозы.
Отключить управление сценариями
Эти политики полностью запрещают даже оповещение о типе сценария, определенном в каждой политике. Если эта функция отключена, сбор журналов не выполняется и попытки обнаружения или блокировки потенциальных угроз не предпринимаются.
Active Script
Если этот флажок установлен, предотвращает сбор журналов и блокирует любые потенциальные угрозы на основе активных сценариев. Сценарии Active Script включают любой сценарий, интерпретируемый хостом сценариев Windows, включая JavaScript, VBScript, пакетные файлы и многое другое.
PowerShell
Если этот флажок установлен, предотвращает сбор журналов и блокирует любые потенциальные угрозы на основе PowerShell. Сценарии PowerShell включают любой многострочный сценарий, который выполняется как одна команда.
Macros
Если этот флажок установлен, предотвращает сбор журналов и блокирует любые потенциальные угрозы на основе макросов. Параметр «Макрос» интерпретирует макросы, содержащиеся в документах Office и PDF, и блокирует вредоносные макросы, которые могут попытаться скачать угрозы.
Folder Exclusions (includes subfolders)
Исключения папок позволяют определять папки, в которых могут выполняться сценарии, доступные для исключения. В этом разделе исключения запрашиваются в формате относительного пути.
- Пути к папкам могут быть на локальных дисках, подключенных сетевых дисках или являться универсальным путем именования (UNC).
- Исключения папок сценариев должны указывать относительный путь к папке или подпапке.
- Любой указанный путь к папке также включает любые подпапки.
- В исключениях с подстановочными знаками для компьютеров Windows должны использоваться косые черты в стиле UNIX. Пример.
/windows/system*/. - Из подстановочных знаков поддерживается только символ *.
- Исключения папок с подстановочным знаком должны иметь косую черту в конце пути, чтобы различать папки и файлы.
- Исключение папки:
/windows/system32/*/ - Исключение файла:
/windows/system32/*
- Исключение папки:
- Для каждого уровня глубины папки необходимо добавлять подстановочный знак. Например:
/folder/*/script.vbsспички\folder\test\script.vbsили\folder\exclude\script.vbsно не работает для\folder\test\001\script.vbs. Для этого потребуется либо/folder/*/001/script.vbsили/folder/*/*/script.vbs. - Подстановочные знаки поддерживают полное и частичное исключение.
- Пример полного подстановочного знака:
/folder/*/script.vbs - Пример частичного подстановочного знака:
/folder/test*/script.vbs
- Пример полного подстановочного знака:
- Сетевые пути также поддерживаются подстановочными знаками.
//*/login/application//abc*/logon/application
Правильный (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Правильный (Windows): \Cases\ScriptsAllowed
Неправильно: C:\Application\SubFolder\application.vbs
Неправильно: \Program Files\Dell\application.vbs
Примеры подстановочных знаков:
/users/*/temp охватывает:
\users\john\temp\users\jane\temp
/program files*/app/script*.vbs охватывает:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbs- \
program files(x64)\app\script3.vbs
Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.