Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Article Number: 000126632

Обновление метода обнаружения угроз Advanced Threat Protection в Dell Endpoint Security Suite Enterprise.

Summary: Обновления Dell Endpoint Security Suite Enterprise или Dell Threat Defense могут привести к изменениям при оценке угроз.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Примечание.:

Затронутые продукты:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Затронутые версии:

  • В 1,2,137 раза 
  • В 1,2,139 раза
  • В 2,0,145 раза

Cause

Продукты Dell Data Protection Advanced Threat Protection; Dell Threat Defense и Dell Endpoint Security Suite Enterprise могут иметь периодические обновления, которые меняют способ оценки угроз. Эти обновления обычно используются в качестве обновлений «модели», поскольку они являются обновлениями модели угроз.

Resolution

Чтобы помочь пользователям понять, как новая модель может повлиять на их организацию, на странице Protection в консоли имеются два столбца. Вы можете использовать сравнение состояния производства и нового состояния, чтобы узнать, какие файлы на устройствах меняются в зависимости от изменения модели.

Пользователям следует протестировать новые модели перед полным развертыванием в производственной среде. Это должно свести к минимуму любые непреднамеренные простои, вызванные изменениями модели.

Ниже приведены сценарии, о которых следует знать.

  • Файл, который в текущей модели считался безопасным, может измениться на Небезопасные в новой модели. Если вашей организации нужен этот файл, его можно добавить в безопасный список.
  • Файл, который текущая модель никогда не видели или не оформил, а новая модель считает небезопасным. Если вашей организации нужен этот файл, его можно добавить в безопасный список.

Новые столбцы защиты

Два столбца: Производственный статус и новое состояние:

  • Состояние производственной среды: Отображает текущее состояние модели (безопасный, аномальный или небезопасный) для файла
  • Новый статус: Отображение состояния модели для файла в новой модели

Отображаются только файлы, найденные на устройствах в вашей организации с изменениями в оценке угроз. Некоторые файлы могут иметь изменение оценки угроз, но остаются в текущем состоянии.

Примеры:

Оценка угроз для файла составляет от 10 до 20, состояние файла остается аномальным, и файл отображается в обновленном списке моделей (если этот файл существует на устройствах в вашей организации).

Примечание.: Информация для сравнения моделей предоставляется из базы данных, а не от ваших устройств. Поэтому для сравнения моделей повторная аналитика не выполняется. Однако, когда доступна новая модель и установлен соответствующий агент, в вашей организации выполняется повторная аналитика и применяются любые изменения в модели.

Для просмотра столбцов Текущая модель и Новая модель:

  1. Войдите в консоль удаленного управления Dell Data Protection, выберите Заполнения -> Enterprise -> Угрозы повышенной сложности, затем перейдите на вкладку Защита.
  2. Нажмите на стрелку вниз в заголовок столбца.
  3. Выберите столбцы Production Status и New Status.
  4. Нажмите на стрелку вниз или в любом месте страницы, чтобы закрыть меню параметров столбцов.

Теперь можно просмотреть различия между двумя моделями угроз.

Вам следует знать о двух сценариях:

  • Текущая модель = безопасная, новая модель = аномальная или небезопасные
  • Ваша организация считает этот файл надежным или его классификация является доверенным локальным.
  • В вашей организации установлены аномальные или небезопасные параметры автоматического карантина (AQT).
  • Текущая модель = Null (не отображается или не оверкнул), новая модель = аномальная или небезопасные
  • Ваша организация считает этот файл надежным или его классификация является доверенным локальным.
  • В вашей организации установлены аномальные или небезопасные параметры автоматического карантина (AQT).

В приведенных выше сценариях рекомендуется внесите в безопасный список файлы, которые вы хотите разрешить в вашей организации.

Определение классификаций

Чтобы определить классификации, которые могут повлиять на вашу организацию, рекомендуется использовать следующий подход:

  • Примените фильтр к столбцу «Новая модель», чтобы отобразить все небезопасные, аномальные и помещенные в карантин файлы. Если для вашей политики установлено значение Автоматический карантин, вы не увидите небезопасных или аномальных файлов, так как эти угрозы были помещены в карантин.
  • Примените фильтр к столбцу Production Status, чтобы отобразить все безопасные файлы.
  • Примените фильтр к столбцу «Classification», чтобы отобразить только доверенные локальные угрозы. Trusted — локальные файлы анализируются с помощью ATP Dell и находятся в безопасном состоянии (безопасный список этих элементов после проверки). Если в отфильтрововав списке много файлов, можно определить приоритет, используя дополнительные атрибуты. Пример. Добавьте фильтр в столбец Фоновое обнаружение для просмотра угроз, найденных управлением выполнением. Эти ошибки были выявлены, когда пользователь пытается запустить приложение и нуждается в более срочном доступе, чем к неавтерийным файлам, выявленным в результате обнаружения фоновых угроз или средства отслеживания файлов.

Advanced Threats 
Рис. 1. (только на английском языке) Угрозы повышенной сложности 

Рекомендуемый развертывание в производственной среде

В этом разделе описаны стратегии, которые помогут пользователям перейти на новую прогнозную модель. Настоятельно рекомендуется назначить агенты политике с автоматическим карантином, которые включены для небезопасных и аномальных файлов.

Автоматическое обновление с автоматическим карантином

Если для агентов установлено значение Автоматическое обновление, необходимо отключить автоматическое обновление для агентов при выпуске новых прогнозных моделей. Если отключить автоматический карантин или протестировать новый агент невозможно, оповещайте администраторов Dell Data Protection. Они могут захоть захоть в списке элементов, которые неправильно классифицировать для разблокиации пользователей.

Обновления вручную с помощью автоматического помещения в карантин

Если вы обновляете агенты вручную, автоматическое обновление не вызывает проблем. Перед обновлением агентов рекомендуется использовать следующие инструкции.

  1. Проверьте новый агент (с новой моделью) на типовом наборе компьютеров. В идеале эти тестовые компьютеры будут помещены в политику автоматического помещения в карантин. Если безопасное приложение блокируется, добавьте файл в безопасный список.
  2. После завершения тестирования разверните новый агент на всех компьютерах.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

 

Additional Information

   

Videos

   

Article Properties

Affected Product

Dell Threat Defense, Dell Endpoint Security Suite Enterprise

Last Published Date

02 Oct 2023

Version

11

Article Type

Solution

Back to Top