Principrekommendationer för Dell Threat Defense
Summary: Läs mer om rekommenderade policyer och policydefinitioner för Dell Threat Defense.
Instructions
- Från och med maj 2022 har Dell Threat Defense nått slutet på underhåll. Den här produkten och dess artiklar uppdateras inte längre av Dell. Mer information finns i Policy för produktlivscykel (slut på support och slut på livslängd) för Dell Data Security. Om du har frågor om alternativa artiklar kan du kontakta ditt försäljningsteam eller endpointsecurity@dell.com.
- Mer information om aktuella produkter finns i Endpoint Security.
Dell Threat Defense använder principer för att:
- Definiera hur hot ska åtgärdas
- Ta reda på vad som görs med filer i karantän
- Konfigurera skriptkontroll
Berörda produkter:
- Dell Threat Defense
Klicka på Rekommenderade principer eller Principdefinitioner om du vill ha mer information.
Det rekommenderas att principer anges i Inlärningsläge eller Skyddsläge. Dell Technologies rekommenderar att du testar Dell Threat Defense i inlärningsläge. Detta är mest effektivt när Dell Threat Defense distribueras på slutpunkter med den standardmässiga företagsavbildningen.
Fler ändringar kan krävas för programservrar på grund av högre disk-I/O än normalt.
När alla varningar har åtgärdats av administratören i administrationskonsolen för Dell Threat Defense rekommenderar Dell Technologies att du byter till policyrekommendationerna för skyddsläge. Dell Technologies rekommenderar ett par veckors testning i inlärningsläge innan du växlar till policyer för skyddsläge.
Klicka på Programserverrekommendationer, Inlärningsläge eller Skyddsläge om du vill ha mer information.
Rekommendationer för programserver
I både inlärnings- och skyddsläge kan programservrar se ytterligare omkostnader och liknande beteende som klientoperativsystem. Automatisk karantän (AQT) har i sällsynta fall förhindrat att vissa filer körs tills en poäng kan beräknas. Detta har setts när ett program upptäcker låsning av sina filer som manipulering, eller så kanske en process inte kan slutföras inom en förväntad tidsram.
Om Bevaka nya filer är aktiverat kan det göra enheten långsammare. När en ny fil genereras analyseras den. Även om den här processen är enkel kan en stor mängd filer samtidigt påverka prestandan.
Föreslagna principändringar för Windows Server-operativsystem:
- Aktivera Background Threat Detection och låt det köras en gång.
- Kontrollera att Körningskontroll är aktiverat.
- Inaktivera Håll utkik efter nya filer.
Med dessa rekommendationer rekommenderas det vanligtvis också att innehålla enheter som kör serveroperativsystem i separata zoner. Information om hur du genererar zoner finns i Hantera zoner i Dell Threat Defense.
Inlärningsläge
| Politik | Rekommenderad inställning |
|---|---|
| Automatisk karantän med körningskontroll för osäkra | Disabled (avaktiverad) |
| Automatisk karantän med körningskontroll för onormala | Disabled (avaktiverad) |
| Aktivera automatisk borttagning av filer i karantän | Disabled (avaktiverad) |
| Automatisk överföring | Aktiverad |
| Principlista för säkra | Miljöberoende |
| Politik | Rekommenderad inställning |
|---|---|
| Förhindra att tjänsten stängs av från enheten | Disabled (avaktiverad) |
| Avsluta osäkra processer som körs och deras underprocesser | Disabled (avaktiverad) |
| Bakgrundsidentifiering av hot | Disabled (avaktiverad) |
| Kör en gång/kör återkommande | Gäller inte när Background Threat Protection är inställt på Inaktiverat |
| Håll utkik efter nya filer | Disabled (avaktiverad) |
| Kopiera filexempel | Miljöberoende |
| Politik | Rekommenderad inställning |
|---|---|
| Aktivera automatisk överföring av loggfiler | Miljöberoende |
| Aktivera skrivbordsvarning | Miljöberoende |
| Politik | Rekommenderad inställning |
|---|---|
| Skriptkontroll | Aktiverad |
| 1370 och tidigare Aktivt skript och PowerShell | Varning |
| 1380 och senare aktivt skript | Varning |
| 1380 och senare PowerShell | Varning |
| Blockera PowerShell-konsolanvändning | Gäller inte när PowerShell är inställt på Avisering |
| 1380 och senare makron | Varning |
| Avaktivera skriptkontroll – aktiva skript | Disabled (avaktiverad) |
| Inaktivera skriptkontroll PowerShell | Disabled (avaktiverad) |
| Avaktivera skriptkontroll – makron | Disabled (avaktiverad) |
| Mappundantag (inklusive undermappar) | Miljöberoende |
Skyddsläge
| Politik | Rekommenderad inställning |
|---|---|
| Automatisk karantän med körningskontroll för osäkra | Aktiverad |
| Automatisk karantän med körningskontroll för onormala | Aktiverad |
| Aktivera automatisk borttagning av filer i karantän | Miljöberoende |
| Automatisk överföring | Miljöberoende |
| Principlista för säkra | Miljöberoende |
| Politik | Rekommenderad inställning |
|---|---|
| Förhindra att tjänsten stängs av från enheten | Aktiverad |
| Avsluta osäkra processer som körs och deras underprocesser | Aktiverad |
| Bakgrundsidentifiering av hot | Aktiverad |
| Kör en gång/kör återkommande | Kör en gång |
| Håll utkik efter nya filer | Aktiverad |
| Kopiera filexempel | Miljöberoende |
| Politik | Rekommenderad inställning |
|---|---|
| Aktivera automatisk överföring av loggfiler | Miljöberoende |
| Aktivera skrivbordsvarning | Miljöberoende |
| Politik | Rekommenderad inställning |
|---|---|
| Skriptkontroll | Aktiverad |
| 1370 och tidigare Aktivt skript och PowerShell | Blockera |
| 1380 och senare aktivt skript | Blockera |
| 1380 och senare PowerShell | Blockera |
| Blockera PowerShell-konsolanvändning | Blockera |
| 1380 och senare makron | Blockera |
| Avaktivera skriptkontroll – aktiva skript | Disabled (avaktiverad) |
| Inaktivera skriptkontroll PowerShell | Disabled (avaktiverad) |
| Avaktivera skriptkontroll – makron | Disabled (avaktiverad) |
| Mappundantag (inklusive undermappar) | Miljöberoende |
Principdefinitioner för Threat Defense:
Filåtgärder
Automatisk karantän med körningskontroll för osäkra
Den här principen avgör vad som händer med filer som identifieras när de körs. Som standard blockeras hotet även när en osäker fil identifieras som körs. Osäker kännetecknas av en kumulativ poäng för den portabla körbara filen som överskrider 60 i bedömningssystemet för Advanced Threat Prevention som baseras på hotindikatorer som har utvärderats.
Automatisk karantän med körningskontroll för onormala
Den här principen avgör vad som händer med filer som identifieras när de körs. Som standard blockeras hotet även när en onormal fil identifieras som körs. Onormal kännetecknas av en kumulativ poäng för den portabla körbara filen som överskrider 0 men inte överstiger 60 i bedömningssystemet för Advanced Threat Prevention. Poängsystemet baserar sig på hotindikatorer som har utvärderats.
Aktivera automatisk borttagning av filer i karantän
När osäkra eller onormala filer sätts i karantän baserat på karantäner på enhetsnivå, globala karantänlistor eller av principer för automatisk karantän lagras de i en lokal karantäncache i begränsat läge på den lokala enheten. När Aktivera automatisk borttagning för filer i karantän är aktiverat anger det antalet dagar (minst 14 dagar, högst 365 dagar) för att behålla filen på den lokala enheten innan filen tas bort permanent. När detta är aktiverat blir det möjligt att ändra antalet dagar.
Automatisk överföring
Markerar hot som inte har setts av Threat Defense SaaS-miljön (Software as a Service) för vidare analys. När en fil markeras som ett potentiellt hot av den lokala modellen tas en SHA256-hash från den portabla körbara filen och skickas upp till SaaS. Om den SHA256-hash som skickades inte kan matchas till ett hot och Automatisk överföring är aktiverat möjliggörs säker överföring av hotet till SaaS för utvärdering. Dessa data lagras på ett säkert sätt och kan inte kommas åt av Dell eller dess partners.
Principlista för säkra
Principlistan för säkra är en lista över filer som har identifierats som säkra i miljön och som har godkänts manuellt genom att deras SHA256-hash samt eventuell ytterligare information skickats till den här listan. När en SHA256-hash placeras i den här listan, när filen körs, utvärderas den inte av de lokala hotmodellerna eller molnhotmodellerna. Dessa är "absoluta" filsökvägar.
Exempel på undantag:
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Skyddsinställningar
Avsluta osäkra processer som körs och deras underprocesser
När Kill unsafe running processes and their sub processes är aktiverat avgör detta om ett hot genererar underordnade processer eller om programmet har tagit över andra processer som för närvarande körs i minnet. Om det finns en tro på att en process har tagits över av ett hot avslutas det primära hotet och alla processer som det har genererat eller för närvarande äger omedelbart.
Bakgrundsidentifiering av hot
Hotidentifiering i bakgrunden, när den är aktiverad, söker igenom hela enheten efter en portabel körbar fil och utvärderar sedan den körbara filen med den lokala hotmodellen och begär bekräftelse för bedömningen av den körbara filen med molnbaserad SaaS baserat på hotindikatorerna för den körbara filen. Två alternativ är möjliga med Background Threat Detection: Kör en gång och kör återkommande. Run Once utför en bakgrundsgenomsökning av alla fysiska enheter som är anslutna till enheten samtidigt som Threat Defense installeras och aktiveras. Kör återkommande utför en bakgrundsgenomsökning av alla enheter som är anslutna till enheten i samma ögonblick som Threat Defense installeras och aktiveras. Genomsökningen upprepas var nionde dag (kan inte konfigureras).
Håll utkik efter nya filer
När Leta efter nya filer är aktiverat utvärderas alla portabla körbara filer som introduceras för enheten omedelbart med hotindikatorerna som visas med hjälp av den lokala modellen, och den här poängen bekräftas mot den molnbaserade SaaS.
Kopiera filexempel
Kopiera filexempel gör att alla hot som hittas på enheten automatiskt kan deponeras på en definierad lagringsplats baserat på UNC-sökväg. Detta rekommenderas endast för intern hotforskning eller för att förvara en säker lagringsplats med bevarade hot i miljön. Alla filer som lagras av Kopiera filexempel zippas med ett lösenord på infected.
Agentinställningar
Aktivera automatisk överföring av loggfiler
Aktivera automatisk överföring av loggfiler gör att slutpunkter kan ladda upp sina loggfiler för Dell Threat Defense varje natt vid midnatt eller när filen når 100 MB. Loggar laddas upp varje natt oavsett filstorlek. Alla loggar som överförs komprimeras innan de lämnar nätverket.
Aktivera skrivbordsvarning
Aktivera skrivbordsaviseringar gör det möjligt för enhetsanvändare att tillåta uppmaningar på sin enhet om en fil är markerad som onormal eller osäker. Det här är ett alternativ i högerklicksmenyn för Dell Threat Defense-ikonen på slutpunkter med den här principen aktiverad.
Skriptkontroll
Skriptkontroll
Skriptkontroll fungerar via en minnesfilterbaserad lösning för att identifiera skript som körs på enheten och förhindra dem om principen är inställd på Blockera för den skripttypen. Varningsinställningarna för dessa policyer avser endast skript som skulle ha blockerats i loggar och i Dell Threat Defense-konsolen.
1370 och tidigare
Dessa policyer gäller för kunder före 1370, som var tillgängliga före juni 2016. Endast aktiva skript och PowerShell-baserade skript åtgärdas med dessa versioner.
1380 och senare
Dessa principer gäller för klienter efter 1370, som var tillgängliga efter juni 2016.
Aktivt skript
Aktiva skript omfattar alla skript som tolkas av Windows Script Host, inklusive JavaScript, VBScript, batchfiler och många andra.
PowerShell
PowerShell-skript innehåller alla flerradsskript som körs som ett enda kommando. (Standardinställning – varning)
Blockera PowerShell-konsolanvändning – (finns inte när PowerShell är inställt på Avisering)
I PowerShell v3 (introducerades i Windows 8.1) och senare körs de flesta PowerShell-skript som ett enradskommando. Även om de kan innehålla flera rader körs de i ordning. Detta kan kringgå PowerShell-skripttolken. Blockera PowerShell-konsolen kringgår detta genom att inaktivera möjligheten att låta ett program starta PowerShell-konsolen. Integrated Scripting Environment (ISE) påverkas inte av den här principen.
Makron
Makroinställningen tolkar makron som finns i Office-dokument och PDF-filer och blockerar skadliga makron som kan försöka ladda ned hot.
Avaktivera skriptkontroll
Dessa principer avaktiverar helt möjligheten att ens varna om den skripttyp som definieras i varje princip. När funktionen är avaktiverad samlas ingen loggning in, och det utförs inga försök att upptäcka eller blockera potentiella hot.
Aktivt skript
När det här alternativet är markerat förhindras insamling av loggar och eventuella Active Script-baserade hot blockeras. Aktiva skript omfattar alla skript som tolkas av Windows Script Host, inklusive JavaScript, VBScript, batchfiler och många andra.
PowerShell
När det här alternativet är markerat förhindras insamling av loggar och eventuella PowerShell-baserade hot blockeras. PowerShell-skript innehåller alla flerradsskript som körs som ett enda kommando.
Makron
När det här alternativet är markerat förhindras insamling av loggar och eventuella makrobaserade hot blockeras. Makroinställningen tolkar makron som finns i Office-dokument och PDF-filer och blockerar skadliga makron som kan försöka ladda ned hot.
Mappundantag (inklusive undermappar)
Mappundantag gör det möjligt att definiera vilka mappar som skript kan köras i som kan uteslutas. I det här avsnittet uppmanas undantag i ett relativt sökvägsformat.
- Mappsökvägar kan vara till en lokal enhet, en mappad nätverksenhet eller en UNC-sökväg (Universal Naming Convention).
- Undantag för skriptmappar måste ange den relativa sökvägen till mappen eller undermappen.
- En angiven mappsökväg omfattar även undermappar.
- Undantag med jokertecken måste använda snedstreck i UNIX-format för Windows-datorer. Exempel:
/windows/system*/. - Det enda tecken som stöds för jokertecken är *.
- Mappundantag med jokertecken måste ha ett snedstreck i slutet av sökvägen för att särskilja en mapp och en fil.
- Mappundantag:
/windows/system32/*/ - Uteslutning av filer:
/windows/system32/*
- Mappundantag:
- Ett jokertecken måste läggas till för varje mappdjupsnivå. Till exempel
/folder/*/script.vbständstickor\folder\test\script.vbseller\folder\exclude\script.vbsmen fungerar inte för\folder\test\001\script.vbs. Detta skulle kräva antingen/folder/*/001/script.vbseller/folder/*/*/script.vbs. - Jokertecken har stöd för fullständiga och partiella undantag.
- Exempel på fullständigt jokertecken:
/folder/*/script.vbs - Exempel på partiella jokertecken:
/folder/test*/script.vbs
- Exempel på fullständigt jokertecken:
- Nätverkssökvägar stöds även med jokertecken.
//*/login/application//abc*/logon/application
Rätt (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Rätt (Windows): \Cases\ScriptsAllowed
Felaktig: C:\Application\SubFolder\application.vbs
Felaktig: \Program Files\Dell\application.vbs
Exempel på jokertecken:
/users/*/temp skulle omfatta följande:
\users\john\temp\users\jane\temp
/program files*/app/script*.vbs skulle omfatta följande:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbs- \
program files(x64)\app\script3.vbs
Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.