Aktualizacje metody wykrywania programu Dell Endpoint Security Suite Enterprise Advanced Threat Protection
Summary: Aktualizacje rozwiązania Dell Endpoint Security Suite Enterprise lub Programu Dell Threat Defense mogą spowodować zmiany w sposobie szacowania zagrożeń.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Uwaga:
- Od maja 2022 r. oprogramowanie Dell Endpoint Security Suite Enterprise osiągnęło koniec konserwacji. Ten artykuł nie jest już aktualizowany przez firmę Dell. Aby uzyskać więcej informacji, należy zapoznać się z zasadami dotyczącymi cyklu eksploatacji produktu (zakończenie wsparcia/zakończenie eksploatacji) w celu rozwiązania Dell Data Security. Jeśli masz pytania dotyczące innych artykułów, skontaktuj się z działem sprzedaży lub napisz wiadomość na adres endpointsecurity@dell.com.
- W maju 2022 r. oprogramowanie Dell Threat Defense osiągnęło koniec konserwacji. Ten artykuł nie jest już aktualizowany przez firmę Dell. Aby uzyskać więcej informacji, należy zapoznać się z zasadami dotyczącymi cyklu eksploatacji produktu (zakończenie wsparcia/zakończenie eksploatacji) w celu rozwiązania Dell Data Security. Jeśli masz pytania dotyczące innych artykułów, skontaktuj się z działem sprzedaży lub napisz wiadomość na adres endpointsecurity@dell.com.
- Aby uzyskać dodatkowe informacje na temat obecnych produktów, zapoznaj się z artykułem Endpoint Security.
Dotyczy produktów:
- Dell Endpoint Security Suite Enterprise
- Dell Threat Defense
Dotyczy wersji:
- 1,2,137x
- 1.2.139x
- 2,0,145x
Cause
Produkty Dell Data Protection Advanced Threat Protection; Programy Dell Threat Defense i Dell Endpoint Security Suite Enterprise mogą mieć okazjonalne aktualizacje, które zmieniają sposób oceny zagrożeń. Aktualizacje te są powszechnie używane jako aktualizacje "modelu", ponieważ są aktualizacjami modelu zagrożenia.
Resolution
Aby ułatwić użytkownikom wpływ nowego modelu na jego organizację, na stronie Ochrona znajdują się dwie kolumny w konsoli. Można skorzystać z porównania stanu produkcji i nowego stanu, aby sprawdzić, które pliki na urządzeniach, których model zmienia się jako zagrożony.
Użytkownicy powinni przetestować nowe modele przed pełnym wdrożeniem produkcji. Powinno to zminimalizować wszelkie niezamierzone przerwy w pracy spowodowane zmianami modelu.
Scenariusze, o których należy pamiętać:
- Plik, który w bieżącym modelu został uznany za bezpieczny, może zmienić się na niebezpieczny w nowym modelu. Jeśli Twoja organizacja potrzebuje tego pliku, możesz dodać go do listy bezpiecznych plików.
- Plik, który bieżący model nigdy nie widział lub nie został oceniony, a nowy model uznaje go za niebezpieczny. Jeśli Twoja organizacja potrzebuje tego pliku, możesz dodać go do listy bezpiecznych plików.
Nowe kolumny ochrony
Te dwie kolumny: Stan produkcji i nowy stan:
- Stan produkcji: Wyświetla bieżący stan modelu (bezpieczny, nietypowy lub niebezpieczny) dla pliku
- Nowy stan: Wyświetla stan modelu pliku w nowym modelu
Wyświetlane są tylko pliki znalezione na urządzeniach w organizacji, na których dokonano zmian w wynikach zagrożeń. Niektóre pliki mogą mieć zmianę wyniku zagrożenia, ale pozostają w ich obecnym stanie.
Przykłady:
Ocena zagrożenia dla pliku wzrasta z 10 do 20, stan pliku pozostanie nieprawidłowy, a plik pojawi się na zaktualizowanej liście modeli (jeśli ten plik istnieje na urządzeniach w organizacji).
Uwaga: Informacje na temat porównania modeli pochodzą z bazy danych, a nie z twoich urządzeń. Dlatego nie przeprowadzono ponownej analizy dla porównania modelu. Jeśli jednak dostępny jest nowy model i zainstalowano odpowiedniego agenta, w organizacji zostanie wykonana ponowna analiza i zostaną zastosowane wszelkie zmiany modelu.
Aby wyświetlić kolumny Bieżący model i nowy model:
- Zaloguj się do konsoli Dell Data Protection Remote Management Console, wybierz opcję Populations -> Enterprise -> Advanced Threats, a następnie wybierz kartę Ochrona.
- Kliknij strzałkę w dół w nagłówku kolumny.
- Wybierz kolumny Stan produkcji i Nowy stan.
- Kliknij strzałkę w dół lub kliknij dowolne miejsce na stronie, aby zamknąć menu opcji kolumn.
Teraz można sprawdzić różnice między dwoma modelami zagrożeń.
Oto dwa scenariusze, o których należy pamiętać:
- Bieżący model = bezpieczny, nowy model = nietypowy lub niebezpieczny
- Organizacja uważa plik za bezpieczny lub klasyfikacja jest zaufana lokalnie.
- W Organizacji ustawiono ustawienie Nietypowe lub Niebezpieczne na automatyczną kwarantannę (AQT).
- Bieżący model = null (niewidoczny lub oceniony), nowy model = nietypowy lub niebezpieczny
- Organizacja uważa plik za bezpieczny lub klasyfikacja jest zaufana lokalnie.
- W Organizacji ustawiono ustawienie Nietypowe lub Niebezpieczne na automatyczną kwarantannę (AQT).
W powyższych scenariuszach zaleca się wprowadzenie listy bezpiecznych plików, na które chcesz zezwolić w organizacji.
Identyfikacja klasyfikacji
Aby zidentyfikować klasyfikacje, które mogą wpłynąć na organizację, zalecamy następujące podejście:
- Zastosuj filtr do kolumny Nowy model, aby wyświetlić wszystkie pliki niebezpieczne, nietypowe i poddane kwarantannie. Jeśli zasady są ustawione na automatyczną kwarantannę, nie widzisz żadnych niebezpiecznych lub nietypowych plików, ponieważ zagrożenia te zostały poddane kwarantannie.
- Zastosuj filtr do kolumny Production Status, aby wyświetlić wszystkie bezpieczne pliki.
- Zastosuj filtr do kolumny Klasyfikacja, aby wyświetlać tylko zaufane – lokalne zagrożenia. Zaufane — pliki lokalne są analizowane za pomocą atp firmy Dell i uznane za bezpieczne (lista bezpiecznych tych elementów po przejrzeniu). Jeśli na liście filtrowanych znajduje się wiele plików, warto określić priorytet przy użyciu większej liczby atrybutów. Przykład: Dodaj filtr do kolumny Wykrywanie w tle, aby przejrzeć zagrożenia wykryte przez kontrolę wykonania. Zostały one uznany za zagrożenie, gdy użytkownik próbował uruchomić aplikację i wymaga pilniejszej uwagi niż pliki uznany za wykrywanie zagrożeń w tle lub narzędzie File Watcher.
Rysunek 1. (tylko w języku angielskim) Zaawansowane zagrożenia
Zalecane wdrożenie produkcji
W tej sekcji przedstawiono strategie, które pomagają użytkownikom w uaktualnieniu do nowszego modelu predykcyjnego. Zdecydowanie zaleca się przypisanie agentów do zasad z automatyczną kwarantanną włączoną dla plików niebezpiecznych i nietypowych.
Automatyczne aktualizacje z automatyczną kwarantanną
Jeśli agenty są ustawione na automatyczną aktualizację, należy wyłączyć automatyczne aktualizacje dla agentów po opublikowaniu nowych modeli predykcyjnych. Jeśli nie można wyłączyć automatycznej kwarantanny lub przetestować nowego agenta, należy powiadomić administratorów Dell Data Protection. Mogą chcieć odszyfikować elementy listy bezpiecznych, które są nieprawidłowo klasyfikowane do odblokowywanie użytkowników.
Ręczne aktualizacje z automatyczną kwarantanną
W przypadku ręcznej aktualizacji agentów automatyczna aktualizacja nie stanowi problemu. Zaleca się korzystanie z poniższych instrukcji przed aktualizacją agentów.
- Przetestuj nowego agenta (z nowym modelem) na reprezentatywnym zestawie komputerów. W idealnym przypadku te komputery testowe zostałyby umieszczone w zasadach automatycznej kwarantanny. Jeśli bezpieczna aplikacja zostanie zablokowana, dodaj plik do listy bezpiecznych plików.
- Po zakończeniu testów należy wdrożyć nowego agenta we wszystkich komputerach.
Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.
Additional Information
Videos
Affected Products
Dell Threat Defense, Dell Endpoint Security Suite EnterpriseArticle Properties
Article Number: 000126632
Article Type: Solution
Last Modified: 02 Oct 2023
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.