Gestion de Dell Threat Defense

La console Dell Threat Defense fournit une évaluation détaillée sur les fichiers « dangereux » ou « anormaux » afin d’aider les administrateurs à réduire suffisamment les menaces dans leur environnement.

Pour évaluer un fichier :

1. Dans la console, cliquez sur l’onglet Protection.

2. Sous Protection, cliquez sur une menace pour obtenir des informations supplémentaires.

Indice Cylance : un indice compris entre 1 (limité) et 100 (élevé) est attribué par Cylance en fonction des attributs de la menace.

Mise en quarantaine par des utilisateurs dans [tenant] : les actions effectuées sur le fichier ont été effectuées par des utilisateurs au sein de l’environnement (tenant).

Mise en quarantaine par tous les utilisateurs Cylance : les actions effectuées sur le fichier ont été effectuées par des utilisateurs au sein de tous les environnements Cylance.

Classification : identification générale du fichier/de la menace.

Première détection : la première fois où le fichier a été détecté dans l’environnement

Dernière détection : la dernière fois où le fichier a été détecté dans l’environnement

Quarantaine globale : ajoute un fichier à la liste de quarantaine globale de l’environnement. Chaque fois que le fichier apparaît sur un appareil, il est automatiquement mis en quarantaine dans le dossier \q.

Sécurité : ajoute un fichier à la liste des menaces identifiées par erreur d’un environnement. Si un fichier est actuellement en quarantaine, il est automatiquement déplacé vers son emplacement d’origine.

SHA256 : le hachage cryptographique 256 utilisé pour identifier le fichier/la menace. L’administrateur peut cliquer sur le hachage pour effectuer une recherche Google des occurrences connues.

MD5 : le hachage cryptographique 128 utilisé pour identifier le fichier/la menace. L’administrateur peut cliquer sur le hachage pour effectuer une recherche Google des occurrences connues.

Télécharger le fichier : permet à l’administrateur de télécharger le fichier à des fins d’évaluation et de test.

Indice Cylance : un indice compris entre 1 (limité) et 100 (élevé) est attribué par Cylance en fonction des attributs de la menace.

Secteur antivirus : détermine si les moteurs antivirus tiers identifient le fichier comme une menace en vérifiant l’index virustotal.com.

Rechercher dans Google : recherche dans Google les hachages et le nom de fichier afin d’obtenir plus d’informations sur le fichier/la menace.

Des fichiers peuvent être identifiés de façon incorrecte comme des menaces au sein d’un environnement. Les administrateurs peuvent les ajouter à la liste globale des menaces identifiées par erreur pour les empêcher d’être mis en quarantaine. Tous les fichiers mis en quarantaine avant d’être ajoutés à cette liste reviennent à leur emplacement d’origine.

Pour ajouter un fichier à la liste des fichiers identifiés par erreur :

1. Dans la console, cliquez sur l’onglet Protection.

2. Sous Protection, cherchez la menace à ajouter à la liste de menaces identifiées par erreur, puis cliquez sur Safe.

3. Dans la fenêtre contextuelle Confirmation de l’action, sélectionnez une Catégorie de fichiers dans le menu déroulant. Cela facilite la classification du fichier / de la menace.

4. Renseignez le Motif de l’ajout à la liste. Cela permet une visibilité au sein de l’environnement.
5. Cliquez sur Yes pour confirmer l’ajout à la liste.

L’administrateur peut mettre en quarantaine un fichier de façon proactive afin de l’empêcher de cibler ses appareils en l’ajoutant à la liste de quarantaine globale.

Pour mettre un fichier en quarantaine globale :

1. Dans la console, cliquez sur l’onglet Protection.

2. Sous Protection, cherchez la menace à mettre en quarantaine, puis cliquez sur Global Quarantine.

3. Dans la fenêtre contextuelle Confirmation de l’action, renseignez le Motif de la mise en quarantaine. Cela permet de fournir une visibilité aux autres administrateurs et gestionnaires de zone.
4. Cliquez sur Oui pour confirmer la mise en quarantaine globale.

Le programme d’installation Dell Threat Defense est disponible directement dans le tenant. Pour connaître la procédure à suivre pour télécharger Dell Threat Defense, consultez Télécharger Dell Threat Defense.

Pour installer Dell Threat Defense sur un appareil, un jeton d’installation valide doit être obtenu auprès du tenant. Pour plus d’informations sur l’obtention d’un jeton d’installation, consultez Obtenir un jeton d’installation pour Dell Threat Defense (en anglais).

Par défaut, les appareils contiennent une journalisation limitée pour Dell Threat Defense. Il est vivement recommandé d’activer la journalisation détaillée sur un appareil avant de procéder au dépannage ou de contacter Dell Data Security ProSupport. Pour plus d’informations, consultez l’article Numéros de téléphone du support international Dell Data Security. Pour plus d’informations sur l’activation de la journalisation détaillée, consultez Activer la journalisation détaillée dans Dell Threat Defense (en anglais).

Les appareils ne sont pas automatiquement supprimés de la console Dell Threat Defense lors de la désinstallation. L’administrateur doit retirer manuellement l’appareil de la console des tenants. Pour plus d’informations, consultez Comment supprimer un appareil de la console d’administration Dell Threat Defense.

Fournit un résumé analytique de l’utilisation de Dell Threat Defense par une entreprise, allant du nombre de zones et d’appareils au pourcentage d’appareils couverts par la mise en quarantaine automatique, en passant par les événements de menace, les versions de l’agent et les jours hors ligne pour les appareils.

Zones : affiche le nombre de zones au sein de l’entreprise.

Appareils : affiche le nombre d’appareils au sein de l’entreprise. Un appareil est un point de terminaison doté d’une version de Dell Threat Defense Agent inscrite.

Stratégies : affiche le nombre de stratégies créées dans l’entreprise.

Fichiers analysés : affiche le nombre de fichiers analysés dans l’entreprise (sur tous les appareils de l’entreprise).

Événements de menace : affiche un graphique à barres contenant les événements de menace Dangereux, Anormaux et En quarantaine, regroupés par jour, pour les 30 derniers jours. Lorsque vous placez le pointeur de la souris sur une barre du graphique, le nombre total d’événements de menace signalés ce jour-là s’affiche.

Les menaces sont regroupées par Date de reporting, qui correspond à la date à laquelle la console a reçu les informations liées à la menace par l’appareil. La Date de reporting peut ne pas correspondre à la date réelle de l’événement si l’appareil n’était pas en ligne au moment de l’événement.

Appareils – Versions de Dell Threat Defense Agent : affiche un graphique à barres représentant le nombre d’appareils exécutant une version de Dell Threat Defense Agent. Placez le pointeur de la souris sur une barre du graphique pour afficher le nombre d’appareils exécutant cette version de Dell Threat Defense Agent.

Jours hors ligne : affiche le nombre d’appareils qui ont été hors ligne sur une plage de jours (de 0 à 15 jours à 61 jours et plus). Affiche également un graphique à barres avec un code couleur pour chaque plage de jours.

Appareils – Versions de Dell Threat Defense Agent : affiche un graphique à barres représentant le nombre d’appareils exécutant une version de Dell Threat Defense Agent. Placez le pointeur de la souris sur une barre du graphique pour afficher le nombre d’appareils exécutant cette version de Dell Threat Defense Agent.

Le Rapport récapitulatif des événements de menace affiche la quantité de fichiers identifiés dans deux catégories de classification des menaces de Cylance, les logiciels malveillants et les PUP (programmes potentiellement indésirables), et répartit les menaces en sous-catégories spécifiques pour chaque famille. En outre, les listes des 10 propriétaires et appareils avec le plus de menaces affichent le nombre d’événements de menace pour les logiciels malveillants, les PUP et les menaces à double usage.

Total des événements de logiciels malveillants : affiche le nombre total d’événements de logiciels malveillants détectés au sein de l’entreprise.

Total des événements de PUP : affiche le nombre total d’événements de PUP détectés au sein de l’entreprise.

Événements de logiciels malveillants dangereux/anormaux : affiche le nombre total d’événements de logiciels malveillants dangereux et anormaux détectés au sein de l’entreprise.

Événements de PUP dangereux/anormaux : affiche le nombre total d’événements de PUP dangereux et anormaux détectés au sein de l’entreprise.

Catégories d’événements de logiciels malveillants : affiche un graphique à barres avec chaque type de catégorie de logiciel malveillant pour les événements de menace détectés sur les appareils de l’entreprise. Placez le pointeur de la souris sur une barre du graphique pour afficher le nombre total d’événements de logiciels malveillants détectés pour cette catégorie.

Catégories d’événements de PUP : affiche un graphique à barres avec chaque type de catégorie de PUP (programme potentiellement indésirable) pour les événements de menace détectés sur les appareils de l’entreprise. Placez le pointeur de la souris sur une barre du graphique pour afficher le nombre total d’événements de PUP détectés pour cette catégorie.

10 propriétaires de fichiers avec le plus de menaces : affiche la liste des 10 propriétaires de fichiers qui ont le plus d’événements de menace. Ce widget affiche les événements de toutes les familles de menaces basées sur les fichiers de Cylance, et pas seulement les événements de logiciels malveillants ou de PUP.

10 appareils avec le plus d’événements de menace : affiche la liste des 10 appareils avec le plus d’événements de menace. Ce widget affiche les événements de toutes les familles de menaces basées sur les fichiers de Cylance, et pas seulement les événements de logiciels malveillants ou de PUP.

Le Rapport récapitulatif des appareils présente plusieurs mesures d’importance centrées sur les appareils. La Couverture de quarantaine automatique révèle la Couverture de prévention des menaces et peut être utilisée pour afficher la progression. Appareils – Statistiques de la version de Dell Threat Defense peut identifier des versions plus anciennes de Dell Threat Defense Agent. Jours hors ligne peut indiquer des appareils qui ne sont plus en cours de vérification dans la console Dell Threat Defense et qui sont susceptibles d’être retirés.

Nombre total d’appareils : affiche le nombre total d‘appareils au sein de l’entreprise. Un appareil est un point de terminaison doté d’une version de Dell Threat Defense Agent inscrite.

Couverture de mise en quarantaine automatique : affiche le nombre d’appareils dont la stratégie est définie avec les états Dangereux et Anormal sélectionnés pour la mise en quarantaine automatique. Ces appareils sont considérés comme Activés. Les appareils Désactivés sont affectés à une stratégie pour laquelle l’une des deux options ou les deux options sont désactivées. Le graphique à secteurs affiche le pourcentage d’appareils affectés à une stratégie avec la mise en quarantaine automatique désactivée pour l’état Dangereux, Anormal ou les deux.

Appareils – Versions de Dell Threat Defense Agent : affiche un graphique à barres représentant le nombre d’appareils exécutant une version de Dell Threat Defense Agent. Placez le pointeur de la souris sur une barre du graphique pour afficher le nombre d’appareils exécutant cette version de Dell Threat Defense Agent.

Jours hors ligne : affiche le nombre d’appareils qui ont été hors ligne sur une plage de jours (de 0 à 15 jours à 61 jours et plus). Affiche également un graphique à barres avec un code couleur pour chaque plage de jours.

Le Rapport des événements de menace fournit des données pour les événements de menace qui se trouvent dans l’entreprise. Les menaces sont regroupées par Date de reporting, qui correspond à la date à laquelle la console a reçu les informations liées à la menace par l’appareil. La Date de reporting peut ne pas correspondre à la date réelle de l’événement si l’appareil n’était pas en ligne au moment de l’événement.

Nombre d’événements de menace : affiche un graphique à barres affichant les événements de menace signalés au sein de l’entreprise. Lorsque vous placez le pointeur de la souris sur une barre du graphique, le nombre total d’événements de menace signalés ce jour-là s’affiche. Le graphique à barres affiche les 30 derniers jours.

Tableau des événements de menace : affiche des informations sur les événements de menace.

Le Rapport des appareils indique le nombre d’appareils dont vous disposez pour une famille de systèmes d’exploitation (Windows et macOS).

Nombre d’appareils par système d’exploitation : affiche un graphique à barres avec les appareils organisés par groupes de systèmes d’exploitation principaux (Windows et macOS). Placez le pointeur de la souris sur une barre du graphique pour afficher le nombre total d’appareils dans ce groupe de systèmes d’exploitation.

Tableau des appareils : affiche la liste des noms d’appareils et des informations sur les appareils de l’entreprise.

Pour ajouter une sécurité supplémentaire, l’administrateur Dell Threat Defense peut forcer Dell Threat Defense à exiger un mot de passe pour la désinstallation de l’application. Pour plus d’informations, voir Ajout ou suppression d’un mot de passe de désinstallation dans Dell Threat Defense.

La configuration de base ne définit que l’acheteur initial comme administrateur de la console Dell Threat Defense. Pour plus d’informations, consultez Ajouter des utilisateurs à la console Dell Threat Defense Administration (en anglais).

Les stratégies d’appareil sont essentielles dans les fonctionnalités de Dell Threat Defense. Dans la configuration de base, les fonctionnalités de prévention contre les menaces avancées sont désactivées dans la stratégie « par défaut ». Il est important de modifier la stratégie « par défaut » ou de créer une nouvelle stratégie avant de déployer Dell Threat Defense. Pour plus d’informations, consultez Modifier des stratégies dans Dell Threat Defense (en anglais).

La console Dell Threat Defense offre un moyen simple de générer un rapport sur l’état des menaces au sein d’un environnement. Pour plus d’informations, consultez Générer des rapports dans Dell Threat Defense (en anglais).

La configuration de base de la console Dell Threat Defense met automatiquement à jour les appareils vers la dernière version. L’administrateur de Dell Threat Defense peut, s’il le souhaite, déployer des versions pour tester et piloter des zones avant la production. Pour plus d’informations, consultez Configurer les mises à jour dans Dell Threat Defense (en anglais).