Aggiornamenti del metodo di rilevamento di Dell Endpoint Security Suite Enterprise Advanced Threat Protection (in inglese)

Summary: Gli aggiornamenti di Dell Endpoint Security Suite Enterprise o Dell Threat Defense possono causare modifiche nella valutazione delle minacce.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Nota:

Prodotti interessati:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Versioni interessate:

  • 1.2.137 volte 
  • 1.2.139 volte
  • 2,0,145 volte

Cause

prodotti Dell Data Protection Advanced Threat Protection; Dell Threat Defense e Dell Endpoint Security Suite Enterprise possono avere aggiornamenti occasionali che modificano la modalità di valutazione delle minacce. Questi aggiornamenti sono comunemente indicati come aggiornamenti del "modello", in quanto sono aggiornamenti del modello di minaccia.

Resolution

Per aiutare gli utenti a sapere in che modo un nuovo modello potrebbe influire sulla propria organizzazione, nella pagina Protezione della Console sono presenti due colonne. È possibile utilizzare il confronto stato di produzione e nuovo stato per visualizzare i file sui dispositivi che il modello cambia in base all'impatto.

Gli utenti devono testare i nuovi modelli prima di un roll-out di produzione completo. Ciò dovrebbe ridurre al minimo eventuali interruzioni impreviste provocate da modifiche del modello.

Gli scenari di cui occorre essere consapevoli sono:

  • Un file considerato sicuro nel modello corrente potrebbe passare a Non sicuro nel nuovo modello. Se l'organizzazione necessita di tale file, è possibile aggiungerlo all'elenco file sicuri.
  • Un file che il modello corrente non ha mai visto o con punteggio e il nuovo modello lo considera non sicuro. Se l'organizzazione necessita di tale file, è possibile aggiungerlo all'elenco file sicuri.

Nuove colonne di protezione

Le due colonne sono: Stato di produzione e nuovo stato:

  • Stato di produzione: Visualizza lo stato del modello corrente (sicuro, anomalo o non sicuro) per il file
  • Nuovo stato: Visualizza lo stato del modello per il file nel nuovo modello

Vengono visualizzati solo i file trovati sui dispositivi dell'organizzazione che hanno modificato il punteggio della minaccia. Alcuni file potrebbero avere una modifica del punteggio della minaccia, ma rimangono nel loro stato corrente.

Esempi:

Il punteggio di minaccia per un file passa da 10 a 20, lo stato del file rimane Anomalo e il file viene visualizzato nell'elenco del modello aggiornato (se questo file esiste sui dispositivi dell'organizzazione).

Nota: Le informazioni per il confronto dei modelli provengono dal database, non dai dispositivi. Pertanto, non viene eseguita alcuna ri-analisi per il confronto dei modelli. Tuttavia, quando è disponibile un nuovo modello e viene installato l'agent corretto, viene eseguita una nuova analisi sull'organizzazione e vengono applicate eventuali modifiche al modello.

Per visualizzare le colonne Modello corrente e Nuovo modello:

  1. Accedere alla Remote Management Console di Dell Data Protection, selezionare Popolamenti -> Azienda -> Minacce avanzate, quindi selezionare la scheda Protezione.
  2. Fare clic sulla freccia giù su un'intestazione di colonna.
  3. Selezionare le colonne Stato di produzione e Nuovo stato.
  4. Fare clic sulla freccia giù o su un punto qualsiasi della pagina per chiudere il menu delle opzioni delle colonne.

È ora possibile esaminare le differenze tra i due modelli di minaccia.

I due scenari di cui occorre essere consapevoli sono:

  • Modello corrente = Sicuro, Nuovo modello = Anomalo o Non sicuro
  • L'organizzazione considera il file sicuro o la classificazione è Trusted Local.
  • L'organizzazione ha un valore anomalo o non sicuro impostato su Auto Quarantine (AQT).
  • Modello corrente = Null (non visibile o con punteggio), Nuovo modello = Anomalo o Non sicuro
  • L'organizzazione considera il file sicuro o la classificazione è Trusted Local.
  • L'organizzazione ha un valore anomalo o non sicuro impostato su Auto Quarantine (AQT).

Negli scenari precedenti, si consiglia di inserire nell'elenco file sicuri i file che si desidera consentire nell'organizzazione.

Identificare le classificazioni

Per identificare le classificazioni che potrebbero influire sull'organizzazione, consigliamo il seguente approccio:

  • Applicare un filtro alla colonna Nuovo modello per visualizzare tutti i file non sicuri, anomali e in quarantena. Se il criterio è impostato su Quarantena automatica, non è possibile visualizzare file non sicuri o anomali perché queste minacce sono state messi in quarantena.
  • Applicare un filtro alla colonna Stato di produzione per visualizzare tutti i file sicuri.
  • Applicare un filtro alla colonna Classificazione per mostrare solo le minacce attendibili - locali. Attendibili: i file locali vengono analizzati con l'ATP di Dell e risultano sicuri (inserimento di questi elementi nell'elenco file sicuri dopo la revisione). Se nell'elenco filtrato sono presenti molti file, è possibile assegnare priorità utilizzando più attributi. Esempio: Aggiungere un filtro alla colonna Rilevamento in background per esaminare le minacce rilevate dal controllo delle esecuzioni. Queste sono state rilevate quando un utente ha tentato di eseguire un'applicazione e richiedono un'attenzione più urgente rispetto ai file inattivi rilevati dal rilevamento delle minacce in background o dall'watcher di file.

Advanced Threats 
Figura 1. (solo in inglese) Minacce avanzate 

Roll-out di produzione consigliato

Questa sezione descrive le strategie per aiutare gli utenti a eseguire l'aggiornamento a un modello predittivo più nuovo. Si consiglia vivamente di assegnare gli agent a una policy con quarantena automatica abilitata per i file non sicuri e anomali.

Aggiornamenti automatici con quarantena automatica

Se gli agent sono impostati su Aggiornamento automatico, è necessario disabilitare gli aggiornamenti automatici per gli agent quando vengono rilasciati nuovi modelli predittivi. Se non è possibile disabilitare la quarantena automatica o testare il nuovo agent, avvisare gli amministratori di Dell Data Protection. Potrebbero voler inserire elementi nell'elenco file sicuri non classificati in modo errato per sbloccare gli utenti.

Aggiornamenti manuali con quarantena automatica

Se si aggiornano manualmente gli agent, l'aggiornamento automatico non è un problema. Si consiglia di utilizzare le seguenti istruzioni prima di aggiornare gli agent.

  1. Testare il nuovo agent (con il nuovo modello) su un set rappresentativo di computer. Idealmente, questi computer di test verrebbero inseriti in un criterio di quarantena automatica. Se un'applicazione sicura viene bloccata, aggiungere il file all'elenco file sicuri.
  2. Al termine del test, implementare il nuovo agent su tutti i computer.

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

 

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126632
Article Type: Solution
Last Modified: 02 Oct 2023
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.