Como gerenciar o Dell Threat Defense

O console do Dell Threat Defense mostra uma avaliação detalhada sobre arquivos "inseguros" ou "anormais" para ajudar os administradores a reduzir adequadamente as ameaças em seu ambiente.

Para avaliar um arquivo:

1. No console, clique na guia Proteção.

2. Em Proteção, clique em uma ameaça para ver mais informações.

Pontuação da Cylance: A pontuação 1 (limitada) -100 (alta) é atribuída pela Cylance com base nos atributos da ameaça.

Em quarentena por usuários em [grupo de usuários]: Quais medidas no arquivo foram tomadas pelos usuários dentro do ambiente (grupo de usuários).

Em quarentena por todos os usuários da Cylance: Quais medidas no arquivo foram tomadas pelos usuários dentro de todos os ambientes da Cylance.

Classificação: Identificação geral do arquivo/ameaça.

Encontrado pela primeira vez: Quando o arquivo foi encontrado pela primeira vez no ambiente

Encontrado pela última vez: Quando o arquivo foi encontrado pela última vez no ambiente

Quarentena global: Adiciona um arquivo à lista de quarentena global para o ambiente. Sempre que o arquivo aparecer em um dispositivo, ele será colocado automaticamente em quarentena na pasta \q.

Seguro: Adiciona um arquivo à lista de segurança para o ambiente. Se um arquivo estiver atualmente em quarentena, ele o colocará automaticamente de volta em seu local original.

SHA256: O hash criptográfico 256 usado para identificar o arquivo/ameaça. Um administrador pode clicar no hash para fazer uma pesquisa no Google de ocorrências conhecidas.

MD5: O hash criptográfico 128 usado para identificar o arquivo/ameaça. Um administrador pode clicar no hash para fazer uma pesquisa no Google de ocorrências conhecidas.

Fazer download do arquivo: Permite que o administrador faça download do arquivo para avaliação e teste adicionais.

Pontuação da Cylance: A pontuação 1 (limitada) -100 (alta) é atribuída pela Cylance com base nos atributos da ameaça.

Setor de antivírus: Determina se mecanismos antivírus de terceiros identificam o arquivo como uma ameaça verificando o índice virustotal.com.

Pesquisar no Google: Pesquisa no Google os hashes e o nome do arquivo para obter mais informações sobre o arquivo/ameaça.

Pode acontecer de os arquivos serem incorretamente identificados como ameaças dentro de um ambiente. Os administradores podem adicioná-los à lista global de segurança para evitar que sejam colocados em quarentena. Todo arquivo que estiver em quarentena antes de ser listado como seguro retornará ao seu local original.

Para listar um arquivo como seguro:

1. No console, clique na guia Proteção.

2. Em Proteção, verifique a ameaça a ser listada como segura e clique em Seguro.

3. Na janela pop-up Confirmação de ação, selecione uma Categoria de arquivo no menu suspenso. Isso ajuda na classificação de arquivo/ameaça.

4. Preencha um Motivo para a listagem segura. Isso proporciona visibilidade em todo o ambiente.
5. Clique em Sim para confirmar a listagem segura.

Para o administrador colocar um arquivo em quarentena de forma proativa e impedir que ele atinja seus dispositivos, ele precisa adicioná-lo à lista de quarentena global.

Para colocar um arquivo em quarentena global:

1. No console, clique na guia Proteção.

2. Em Proteção, verifique a ameaça a ser listada como segura e clique em Quarentena global.

3. Na janela pop-up Confirmação de ação, preencha o Motivo da quarentena. Isso ajuda a fornecer visibilidade a outros administradores e gerentes de zonas.
4. Clique em Sim para confirmar a Quarentena global.

O instalador do Dell Threat Defense está disponível diretamente no locatário. Para ver as etapas sobre como fazer download do Dell Threat Defense, consulte Como fazer o download do Dell Threat Defense.

Para instalar o Dell Threat Defense em um dispositivo, um token de instalação válido deve ser obtido do locatário. Para ver as etapas de como obter um token de instalação, consulte Como obter um token de instalação do Dell Threat Defense.

Por padrão, os dispositivos contêm registro limitado para o Dell Threat Defense. É recomendável ativar o log detalhado em um dispositivo antes de solucionar problemas ou entrar em contato com o Dell Data Security ProSupport. Para obter mais informações, consulte Números de telefone do suporte internacional do Dell Data Security. Para obter mais informações sobre como ativar o log detalhado, consulte Como ativar o log detalhado no Dell Threat Defense.

Os dispositivos não são removidos automaticamente do console do Dell Threat Defense durante a desinstalação. Um administrador deve remover manualmente o dispositivo do console do locatário. Para obter mais informações, consulte Como remover um dispositivo do console de administração do Dell Threat Defense.

Fornece um resumo executivo do uso do Dell Threat Defense de uma organização, desde o número de zonas e dispositivos até a porcentagem de dispositivos cobertos pela Quarentena automática, Eventos de ameaça, Versões do agente e Dias offline para dispositivos.

Zonas: Exibe o número de zonas na organização.

Dispositivos: Exibe o número de dispositivos na organização. Um dispositivo é um endpoint com um agente do Threat Defense registrado.

Políticas: Exibe o número de políticas criadas na organização.

Arquivos analisados: Exibe o número de arquivos analisados na organização (em todos os dispositivos da organização).

Eventos de ameaças: Exibe um gráfico de barras com eventos de ameaças Inseguros, Anormais e em Quarentena, agrupados por dia, pelos últimos 30 dias. Passar o mouse sobre uma barra no gráfico exibe o número total de eventos de ameaças relatados nesse dia.

As ameaças são agrupadas pela data informada, que é quando o console recebeu informações do dispositivo sobre uma ameaça. A data informada pode diferir da data real do evento se o dispositivo não estava on-line no momento do evento.

Dispositivos — versões do agente do Dell Threat Defense: Exibe um gráfico de barras que representa o número de dispositivos que executam uma versão do agente do Threat Defense. Passar o mouse sobre uma barra no gráfico exibe o número de dispositivos que executam essa versão específica do Threat Defense Agent.

Dias off-line: Exibe o número de dispositivos que estão off-line por um intervalo de dias (de 0 a 15 dias, até 61 dias ou mais). Também exibe um gráfico de barras codificado por cores com cada intervalo de dias.

Dispositivos — versões do agente do Dell Threat Defense: Exibe um gráfico de barras que representa o número de dispositivos que executam uma versão do agente do Threat Defense. Passar o mouse sobre uma barra no gráfico exibe o número de dispositivos que executam essa versão específica do Threat Defense Agent.

O relatório Resumo de eventos de ameaças mostra a quantidade de arquivos identificados em duas classificações de ameaças da Cylance: malware e PUPs (programas potencialmente indesejados) e inclui uma divisão das classificações de subcategoria específicas de cada família. Além disso, as listas com os 10 principais eventos relacionam os Proprietários de arquivos e Dispositivos com ameaças exibem contagens de eventos de ameaças para Malware, PUPs e famílias de ameaças de uso duplo.

Total de eventos de malware: Exibe o número total de eventos de malware identificados na organização.

Total de eventos de PUPs: Exibe o número total de eventos de PUP identificados na organização.

Eventos de malware inseguros/anormais: Exibe o número total de eventos de malware Inseguros e Anormais identificados na organização.

Eventos de PUP inseguros/anormais: Exibe o número total de eventos de PUP Inseguros e Anormais encontrados na organização.

Classificações de eventos de malware: Exibe um gráfico de barras com cada tipo de classificação de malware para eventos de ameaças encontrados em dispositivos da organização. Passar o mouse sobre uma barra no gráfico exibe o número total de eventos de malware encontrados nessa classificação.

Classificações de eventos de PUP: Exibe um gráfico de barras com cada tipo de classificação do Programa potencialmente indesejado (PUP) para eventos de ameaças encontrados em dispositivos da organização. Passar o mouse sobre uma barra no gráfico exibe o número total de eventos de PUP encontrados nessa classificação.

10 principais proprietários de arquivos com a maioria dos eventos de ameaça: Exibe uma lista dos 10 principais proprietários de arquivos que têm a maioria dos eventos de ameaça. Esse widget exibe eventos de todas as famílias de ameaças baseadas em arquivos da Cylance, não apenas eventos de Malware ou PUP.

10 principais dispositivos com a maioria dos eventos de ameaça: Exibe uma lista dos 10 principais dispositivos que têm a maioria dos eventos de ameaça. Esse widget exibe eventos de todas as famílias de ameaças baseadas em arquivos da Cylance, não apenas eventos de Malware ou PUP.

O Relatório de resumo do dispositivo mostra várias medidas de importância centradas no dispositivo. A Cobertura de quarentena automática revela a cobertura contra ameaças e pode ser usada para mostrar o progresso. Dispositivos — as estatísticas da versão do Threat Defense podem identificar agentes do Threat Defense mais antigos. Dias Offline podem indicar dispositivos que não estão mais fazendo check-in no Threat Defense Console e são passíveis de remoção.

Total de dispositivos: Exibe o número total de dispositivos na organização. Um dispositivo é um endpoint com um agente do Threat Defense registrado.

Cobertura de quarentena automática: Exibe o número de dispositivos com uma política que não está segura e que está selecionada como Anormal para quarentena automática; esses dispositivos são considerados Ativados. Os dispositivos desabilitados são atribuídos a uma política que tem uma ou as duas opções desativadas. O gráfico de pizza exibe a porcentagem de dispositivos atribuídos a uma política com a Quarentena automática desativada para Inseguro, Anormal ou ambos.

Dispositivos — versões do agente do Dell Threat Defense: Exibe um gráfico de barras que representa o número de dispositivos que executam uma versão do agente do Threat Defense. Passar o mouse sobre uma barra no gráfico exibe o número de dispositivos que executam essa versão específica do Threat Defense Agent.

Dias off-line: Exibe o número de dispositivos que estão off-line por um intervalo de dias (de 0 a 15 dias, até 61 dias ou mais). Também exibe um gráfico de barras codificado por cores com cada intervalo de dias.

O Relatório de eventos de ameaças fornece dados para eventos de ameaças encontrados na organização. As ameaças são agrupadas pela data informada, que é quando o console recebeu informações do dispositivo sobre uma ameaça. A data informada pode diferir da data real do evento se o dispositivo não estava on-line no momento do evento.

Nº de eventos de ameaça: Exibe um gráfico de barras com os eventos de ameaça relatados na organização. Passar o mouse sobre uma barra no gráfico exibe o número total de eventos de ameaças relatados nesse dia. O gráfico de barras exibe os últimos 30 dias.

Tabela de eventos de ameaças: Exibe informações sobre eventos de ameaças.

O Relatório do dispositivo mostra quantos dispositivos você tem para uma família de sistemas operacionais (Windows e macOS).

Nº de dispositivos por sistema operacional: Exibe um gráfico de barras com dispositivos organizados por grupos de sistemas operacionais principais (Windows e macOS). Passar o mouse sobre uma barra no gráfico exibe o número total de dispositivos nesse grupo do sistema operacional.

Tabela de dispositivos: Exibe uma lista de nomes de dispositivos e informações de dispositivos para dispositivos na organização.

Como uma camada adicional de segurança, o administrador do Dell Threat Defense pode forçar os dispositivos do Threat Defense a exigir uma senha para desinstalar o aplicativo. Para obter mais informações, consulte Como adicionar ou remover uma senha de desinstalação no Dell Threat Defense.

A configuração básica só tem o comprador inicial listado como administrador do console do Dell Threat Defense. Para obter mais informações, consulte Como adicionar usuários ao Dell Threat Defense Administration Console.

As políticas de dispositivo são essenciais na funcionalidade do Dell Threat Defense. A configuração básica tem recursos de prevenção contra ameaça avançada desativados na política "padrão". É importante modificar a política "padrão" ou criar uma nova política antes de implementar o Threat Defense. Para obter mais informações, consulte Como modificar políticas no Dell Threat Defense.

O console do Dell Threat Defense oferece uma maneira fácil de gerar um relatório sobre o status das ameaças em um ambiente. Para obter mais informações, consulte Como gerar relatórios no Dell Threat Defense.

A configuração básica do console do Dell Threat Defense atualiza automaticamente os dispositivos para a compilação mais recente. O Administrador do Threat Defense pode, opcionalmente, implementar compilações para testes e zonas piloto antes da produção. Para obter mais informações, consulte Como configurar atualizações no Dell Threat Defense.