Come gestire Dell Threat Defense

La console di Dell Threat Defense fornisce una valutazione approfondita dei file "non sicuri" o "anomali" per aiutare gli amministratori a mitigare correttamente le minacce nel loro ambiente.

Per valutare un file:

1. Nella console cliccare sulla scheda Protection.

2. In Protection, cliccare su una minaccia per ottenere ulteriori informazioni.

Cylance Score: tramite Cylance viene assegnato un punteggio compreso tra 1 (limitato) e 100 (alto) in base agli attributi delle minacce.

Quarantined by users in [Tenant]: quali azioni sul file sono state intraprese dagli utenti all'interno dell'ambiente (tenant).

Quarantined by all Cylance users: quali azioni sul file sono state eseguite dagli utenti all'interno di tutti gli ambienti Cylance.

Classification: identificazione generale di un file/minaccia.

First Found: quando il file è stato trovato per la prima volta nell'ambiente

Last Found: quando il file è stato trovato per l'ultima volta nell'ambiente

Global Quarantine: aggiunge un file all'elenco dei file in quarantena globale per l'ambiente. Ogni volta che il file viene visualizzato su un dispositivo verrà automaticamente messo in quarantena nella cartella \q.

Safe: aggiunge un file all'elenco dei file sicuri per un ambiente. Se un file è attualmente in quarantena, viene riportato automaticamente nella sua posizione originale.

SHA256: hash di crittografia 256 utilizzato per identificare il file o la minaccia. Un amministratore può cliccare sull'hash per eseguire su Google una ricerca delle occorrenze note.

MD5: hash di crittografia 128 utilizzato per identificare il file o la minaccia. Un amministratore può cliccare sull'hash per eseguire su Google una ricerca delle occorrenze note.

Download File: consente a un amministratore di scaricare il file per ulteriori valutazioni e test.

Cylance Score: tramite Cylance viene assegnato un punteggio compreso tra 1 (limitato) e 100 (alto) in base agli attributi delle minacce.

AV Industry: determina se i motori antivirus di terze parti identificano il file come minaccia attraverso il controllo dell'indice virustotal.com.

Search Google: ricerca su Google gli hash e il nome del file per ulteriori informazioni sul file o sulla minaccia.

È possibile che alcuni file vengano erroneamente identificati come minacce all'interno di un ambiente. Gli amministratori possono aggiungerli all'elenco dei file sicuri globale per evitare che vangano messi in quarantena. Ogni file messo in quarantena prima di essere inserito nell'elenco dei file sicuri viene riportato nella sua posizione originale.

Per inserire un elemento nell'elenco file sicuri:

1. Nella console cliccare sulla scheda Protection.

2. In Protection verificare la minaccia da inserire nell'elenco dei file sicuri, quindi cliccare su Safe.

3. Nella finestra pop-up di conferma dell'azione, in Category selezionare una categoria di file dal menu a discesa. In questo modo si agevola la classificazione del file/della minaccia.

4. In Reason inserire il motivo dell'inserimento nell'elenco file sicuri. In questo modo si fornisce visibilità per tutto l'ambiente.
5. Cliccare su Yes per confermare l'inserimento.

Un amministratore può mettere in quarantena un file in modo proattivo aggiungendolo all'elenco dei file in quarantena globale per evitare che raggiunga i dispositivi.

Per mettere in quarantena un file a livello globale:

1. Nella console cliccare sulla scheda Protection.

2. In Protection verificare la minaccia da inserire nell'elenco, quindi cliccare su Global Quarantine.

3. Nella finestra pop-up di conferma dell'azione, in Reason inserire il motivo della messa in quarantena. Questa azione conferisce visibilità ad altri amministratori e responsabili di zona.
4. Cliccare su Yes per confermare la messa in quarantena globale.

Il programma di installazione di Threat Defense di Dell è disponibile direttamente all'interno del tenant. Per la procedura di download di Dell Threat Defense, consultare l'articolo Come scaricare Dell Threat Defense.

Per installare Dell Threat Defense su un dispositivo, è necessario ottenere un token di installazione valido tramite il tenant. Per istruzioni su come ottenere un token di installazione, consultare l'articolo Come ottenere un token di installazione per Dell Threat Defense (in inglese).

Per impostazione predefinita, i dispositivi prevedono una registrazione limitata per Dell Threat Defense. Si consiglia di abilitare la registrazione dettagliata su un dispositivo prima di eseguire la risoluzione dei problemi o contattare Dell Data Security ProSupport. Per ulteriori informazioni, fare riferimento a Numeri di telefono internazionali del supporto di Dell Data Security. Per ulteriori informazioni su come abilitare la registrazione dettagliata, consultare Come abilitare la registrazione dettagliata per Dell Threat Defense (in inglese).

I dispositivi non vengono rimossi automaticamente dalla console di Dell Threat Defense durante la disinstallazione. È quindi necessario che un amministratore rimuova manualmente il dispositivo dalla console del tenant. Per ulteriori informazioni, consultare Come rimuovere un dispositivo dalla console di amministrazione di Dell Threat Defense.

Viene fornito un riepilogo dell'utilizzo di Dell Threat Defense da parte di un'organizzazione, dal numero di zone e dispositivi, alla percentuale di dispositivi coperti da quarantena automatica, eventi di minaccia, versioni dell'agente e giorni offline dei dispositivi.

Zones: visualizza il numero di zone dell'organizzazione.

Devices: visualizza il numero di dispositivi dell'organizzazione. Un dispositivo è un endpoint con un Threat Defense Agent registrato.

Policies: visualizza il numero di policy create nell'organizzazione.

Files Analyzed: visualizza il numero di file analizzati nell'organizzazione (su tutti i dispositivi dell'organizzazione).

Threat Events: mostra un grafico a barre con gli eventi di minaccia relativi a file non sicuri, anomali e messi in quarantena, raggruppati per giorno, per gli ultimi 30 giorni. Passando il mouse su una barra del grafico viene visualizzato il numero totale di eventi di minaccia segnalati in quel giorno.

Le minacce vengono raggruppate secondo la data di segnalazione, ovvero la data in cui la console ha ricevuto dal dispositivo informazioni circa una minaccia. La data di segnalazione può differire dalla data effettiva dell'evento se il dispositivo non era online al momento dell'evento.

Devices - Dell Threat Defense Agent Versions: visualizza un grafico a barre che rappresenta il numero di dispositivi che eseguono una versione di Threat Defense Agent. Passando il mouse su una barra del grafico viene visualizzato il numero di dispositivi che eseguono la versione specifica di Threat Defense Agent.

Offline Days: visualizza il numero di dispositivi che sono stati offline per un certo intervallo di giorni (da 0 a 15 giorni, fino a più di 61 giorni). Visualizza inoltre un grafico a barre con codifica colore con ciascun intervallo di giorni.

Devices - Dell Threat Defense Agent Versions: visualizza un grafico a barre che rappresenta il numero di dispositivi che eseguono una versione di Threat Defense Agent. Passando il mouse su una barra del grafico viene visualizzato il numero di dispositivi che eseguono la versione specifica di Threat Defense Agent.

Il report Threat Event Summary mostra la quantità di file identificati in due delle classificazioni delle minacce di Cylance, ovvero malware e PUP (Potentially Unwanted Program), e include una vista dettagliata delle classificazioni di sottocategoria relative a ciascuna famiglia. Inoltre, negli elenchi Top 10 File Owners e Top 10 Devices with Threats vengono visualizzati i conteggi degli eventi di malware, PUP e Dual Use.

Total Malware Events: visualizza il numero totale di eventi di malware identificati nell'organizzazione.

Total PUPs Events: visualizza il numero totale di eventi di PUP identificati nell'organizzazione.

Unsafe/Abnormal Malware Events: visualizza il numero totale di eventi di malware non sicuri e anomali rilevati nell'organizzazione.

Unsafe/Abnormal PUP Events: visualizza il numero totale di eventi di PUP non sicuri e anomali rilevati nell'organizzazione.

Malware Event Classifications: visualizza un grafico a barre con ciascun tipo di classificazione di malware per gli eventi di minaccia rilevati sui dispositivi nell'organizzazione. Passando il mouse su una barra del grafico viene visualizzato il numero totale di eventi di malware rilevati per la determinata classificazione.

PUP Event Classifications: visualizza un grafico a barre con ciascun tipo di classificazione di PUP per gli eventi di minaccia rilevati sui dispositivi nell'organizzazione. Passando il mouse su una barra del grafico viene visualizzato il numero totale di eventi di PUP rilevati per la determinata classificazione.

Top 10 File Owners with the Most Threat Events: visualizza un elenco dei primi 10 proprietari di file con il maggior numero di eventi di minaccia. Questo widget mostra gli eventi relativi a tutte le famiglie di minacce Cylance basate su file, non solo gli eventi di malware o PUP.

Top 10 Devices with the Most Threat Events: visualizza un elenco dei primi 10 dispositivi con il maggior numero di eventi di minaccia. Questo widget mostra gli eventi relativi a tutte le famiglie di minacce Cylance basate su file, non solo gli eventi di malware o PUP.

Il report Device Summary mostra varie misurazioni importanti riguardanti i dispositivi. Auto-Quarantine Coverage indica la copertura della prevenzione delle minacce e può essere utilizzata per visualizzarne l'avanzamento. Devices - Threat Defense Version Stats consente di identificare le versioni di Threat Defense Agent meno recenti. Offline Days può segnalare i dispositivi che non accedono più alla console di Threat Defense e che sono quindi candidati per la rimozione.

Total Devices: visualizza il numero totale di dispositivi dell'organizzazione. Un dispositivo è un endpoint con un Threat Defense Agent registrato.

Auto-quarantine Coverage: visualizza il numero di dispositivi la cui policy prevede la quarantena automatica sia per i file non sicuri che per quelli anomali. Questi dispositivi sono considerati abilitati. I dispositivi disabilitati sono assegnati a un criterio con una o entrambe queste opzioni disabilitate. Il grafico a torta mostra la percentuale di dispositivi assegnati a una policy con quarantena automatica disabilitata per i file non sicuri, anomali o entrambi.

Devices - Dell Threat Defense Agent Versions: visualizza un grafico a barre che rappresenta il numero di dispositivi che eseguono una versione di Threat Defense Agent. Passando il mouse su una barra del grafico viene visualizzato il numero di dispositivi che eseguono la versione specifica di Threat Defense Agent.

Offline Days: visualizza il numero di dispositivi che sono stati offline per un certo intervallo di giorni (da 0 a 15 giorni, fino a più di 61 giorni). Visualizza inoltre un grafico a barre con codifica colore con ciascun intervallo di giorni.

Il report Threat Events fornisce dati relativi agli eventi di minaccia rilevati nell'organizzazione. Le minacce vengono raggruppate secondo la data di segnalazione, ovvero la data in cui la console ha ricevuto dal dispositivo informazioni circa una minaccia. La data di segnalazione può differire dalla data effettiva dell'evento se il dispositivo non era online al momento dell'evento.

# of Threat Events: mostra un grafico a barre con gli eventi di minaccia rilevati nell'organizzazione. Passando il mouse su una barra del grafico viene visualizzato il numero totale di eventi di minaccia segnalati in quel giorno. Il grafico a barre mostra gli ultimi 30 giorni.

Threat Events Table: visualizza le informazioni sugli eventi di minaccia.

Il report Devices mostra il numero di dispositivi in base al sistema operativo (Windows e macOS).

# of Devices by OS: visualizza un grafico a barre con i dispositivi organizzati per gruppi di sistemi operativi principali (Windows e macOS). Passando il mouse su una barra del grafico viene visualizzato il numero totale di dispositivi nel determinato gruppo di sistema operativo.

Devices Table: visualizza un elenco dei nomi e delle informazioni dei dispositivi presenti nell'organizzazione.

Come ulteriore livello di sicurezza, un amministratore di Dell Threat Defense può imporre a un dispositivo Threat Defense la richiesta di una password per disinstallare l'applicazione. Per ulteriori informazioni, consultare l'articolo Come aggiungere una password per la disinstallazione in Dell Threat Defense.

Nella configurazione di base è elencato solo l'acquirente iniziale come amministratore della console di Dell Threat Defense. Per ulteriori informazioni, consultare l'articolo Come aggiungere utenti alla console di amministrazione di Dell Threat Defense (in inglese).

I criteri dei dispositivi sono fondamentali per la funzionalità di Dell Threat Defense. Nella configurazione di base le funzioni di prevenzione avanzata delle minacce sono disattivate come policy "predefinita". È importante modificare la policy "predefinita" o crearne una nuova prima di implementare Threat Defense. Per ulteriori informazioni, consultare l'articolo Come modificare i criteri in Dell Threat Defense (in inglese).

La console di Dell Threat Defense consente di generare con facilità un report sullo stato delle minacce nell'ambiente. Per ulteriori informazioni, consultare l'articolo Come generare report in Dell Threat Defense (in inglese).

La configurazione di base per la console di Dell Threat Defense prevede l'aggiornamento automatico dei dispositivi alla build più recente. L'amministratore di Threat Defense può, facoltativamente, implementare le build in zone pilota e di test prima di immetterle in produzione. Per ulteriori informazioni, consultare l'articolo Come configurare gli aggiornamenti in Dell Threat Defense (in inglese).