Как управлять Dell Threat Defense

Консоль Dell Threat Defense предоставляет углубленную оценку «небезопасных» или «аномальных» файлов, чтобы помочь администраторам должным образом ослабить угрозы в своей инфраструктуре.

Чтобы оценить файл, выполните следующие действия.

1. На консоли нажмите вкладку Защита.

2. В разделе «Защита» выберите угрозу, чтобы получить дополнительную информацию.

Рейтинг Cylance. Cylance присваивает уровень от 1 (ограниченный) до 100 (высокий) на основе атрибутов угроз.

Помещено в карантин пользователями в [пользователь]. Какие действия с файлом предпринимали пользователи в пределах инфраструктуры (пользователя).

Помещено в карантин всеми пользователями Cylance. Какие действия с файлом предпринимались пользователями во всех инфраструктурах Cylance.

Классификация. Общая идентификация файла/угрозы.

Первое обнаружение. Когда файл впервые был обнаружен в инфраструктуре.

Последнее обнаружение. Когда файл был в последний раз обнаружен в инфраструктуре.

Глобальный карантин. Добавление файла в список глобального карантина инфраструктуры. Каждый раз, когда файл появляется на устройстве, он автоматически помещается в карантин в папку \q.

Безопасный. Добавление файла в список безопасных файлов для инфраструктуры. Если файл в данный момент помещен в карантин, он автоматически возвращается в исходное местоположение.

SHA256. 256-битный криптографический хэш, используемый для идентификации файла/угрозы. Администратор может нажать на хэш, чтобы выполнить поиск известных экземпляров в Google.

MD5. 128-битный криптографический хэш, используемый для идентификации файла/угрозы. Администратор может нажать на хэш, чтобы выполнить поиск известных экземпляров в Google.

Скачать файл. Позволяет администратору скачать файл для дальнейшей оценки и тестирования.

Рейтинг Cylance. Cylance присваивает уровень от 1 (ограниченный) до 100 (высокий) на основе атрибутов угроз.

Отрасль AV. Определяет, идентифицируют ли антивирусные системы сторонних производителей данный файл как угрозу, проверяя указатель virustotal.com.

Поиск Google. Поиск в Google хэшей и имени файла для получения дополнительной информации о файле/угрозе.

В инфраструктуре могут присутствовать файлы, ошибочно идентифицированные как угрозы. Администраторы могут добавлять их в глобальный безопасный список, чтобы предотвратить помещение в карантин. Любой файл, помещенный в карантин до занесения в список безопасных файлов, возвращается в исходное местонахождение.

Чтобы поместить файл в список безопасности, выполните следующие действия.

1. На консоли нажмите вкладку Защита.

2. В разделе «Защита» отметьте угрозу, которую необходимо переместить в безопасный список, затем нажмите Безопасный.

3. Во всплывающем окне подтверждения действия выберите Категорию файла в раскрывающемся меню. Это помогает классифицировать файлы и угрозы.

4. Укажите Причину помещения в безопасный список. Она будет доступна для просмотра в пределах инфраструктуры.
5. Нажмите Да, чтобы подтвердить помещение в безопасный список.

Администратор может заранее поместить файл в карантин, чтобы предотвратить атаку на устройства, добавив его в список глобального карантина.

Чтобы поместить файл в карантин на глобальном уровне, выполните следующие действия.

1. На консоли нажмите вкладку Защита.

2. В разделе «Защита» проверьте, чтобы угроза была в безопасном списке, и нажмите Глобальный карантин.

3. Во всплывающем окне «Подтверждение действия» укажите Причину помещения в карантин. Ее смогут просматривать другие администраторы и менеджеры зоны.
4. Нажмите Да, чтобы подтвердить помещение в глобальный карантин.

Установщик Dell Threat Defense доступен непосредственно в пределах клиента. Инструкции по загрузке Dell Threat Defense см. в разделе Как загрузить Dell Threat Defense.

Для установки Dell Threat Defense на устройство клиент должен предоставить действующий токен установки. Инструкции по получению токена установки см. в разделе Получение токена установки для Dell Threat Defense.

По умолчанию устройства ведут ограниченный журнал в Dell Threat Defense. Настоятельно рекомендуется включить ведение подробного журнала на устройстве перед устранением неполадок или обращением в службу Dell Data Security ProSupport. Для получения дополнительной информации см. номера телефонов международной службы поддержки Dell Data Security. Дополнительную информацию о том, как включить ведение подробного журнала, см. в разделе Как включить ведение подробного журнала в Dell Threat Defense.

Устройства не удаляются автоматически из консоли Dell Threat Defense во время деинсталляции. Администратор должен вручную удалить устройство из консоли клиента. Для получения дополнительной информации см. статью Как удалить устройство из консоли администратора Dell Threat Defense.

Содержит сводную информацию об использовании Dell Threat Defense в организации — от количества зон и устройств до процента устройств, на которые распространяется действие автоматического помещения в карантин, событий угроз, версий агентов и дней автономной работы для устройств.

Зоны: отображение количества зон в организации.

Устройства: отображение количества устройств в организации. Устройство — это конечная точка с зарегистрированным агентом Threat Defense.

Политики: отображение количества политик, созданных в организации.

Проанализированные файлы: отображение количества файлов, проанализированных в организации (для всех устройств в организации).

События угроз: отображение столбчатой диаграммы с небезопасными, аномальными и помещенными в карантин событиями угроз, сгруппированными по дням, за последние 30 дней. При наведении курсора на столбец диаграммы отображается общее количество событий угроз, о которых сообщалось в этот день.

Угрозы группируются по дате оповещения, когда консоль получила информацию об угрозе от устройства. Дата оповещения может отличаться от фактической даты события, если устройство не было подключено к сети во время события.

Устройства с версией агента Dell Threat Defense: отображение столбчатой диаграммы, представляющей количество устройств, на которых запущена версия агента Threat Defense. При наведении курсора на столбец диаграммы отображается количество устройств, использующих данную версию агента Threat Defense.

Дни автономной работы: отображение количества устройств, которые были отключены в течение нескольких дней (от 0 до 15 дней, до 61 дня и более). Отображается также столбчатая диаграмма, на которой каждый диапазон дней выделен цветом.

Устройства с версией агента Dell Threat Defense: отображение столбчатой диаграммы, представляющей количество устройств, на которых запущена версия агента Threat Defense. При наведении курсора на столбец диаграммы отображается количество устройств, использующих данную версию агента Threat Defense.

Сводный отчет по событиям угроз показывает количество файлов, разделенных на две группы в соответствии с классификацией угроз Cylance: вредоносное ПО и потенциально нежелательные программы (PUP), с дальнейшей разбивкой каждой группы на подкатегории. Кроме того, в списках «Топ 10» перечислены владельцы файлов и устройства с угрозами и отображается информация по количеству угроз для семейств «Вредоносное ПО» (Malware), «Потенциально нежелательные программы» (PUP) и «Инструменты двойного назначения» (Dual Use).

Общее количество событий вредоносного ПО: отображение общего количества событий вредоносного ПО, которые зафиксированы в организации.

Общее количество событий PUP: отображение общего количества событий PUP, которые зафиксированы в организации.

События небезопасного/аномального вредоносного ПО: отображение общего количества событий небезопасного/аномального вредоносного ПО, которые зафиксированы в организации.

События небезопасного/аномального PUP: отображение общего количества событий небезопасного/аномального PUP, которые зафиксированы в организации.

Классификация событий вредоносного ПО: отображение столбчатой диаграммы с классификацией типов вредоносного ПО для событий угроз, которые обнаружены на устройствах в организации. При наведении курсора на строку диаграммы отображается общее количество событий вредоносного ПО данного типа.

Классификация событий PUP: отображение столбчатой диаграммы с классификацией типов потенциально нежелательных программ (PUP) для событий угроз, которые обнаружены на устройствах в организации. При наведении курсора на строку диаграммы отображается общее количество событий PUP данного типа.

Список «Топ 10» владельцев файлов с наибольшим количеством событий угроз: отображение списка 10 владельцев файлов, имеющих наибольшее количество событий угроз. В этом виджете отображаются события всех семейств угроз Cylance на основе файлов, а не только события Malware или PUP.

Список «Топ 10» устройств с наибольшим количеством событий угроз: отображение списка 10 устройств с наибольшим количеством событий угроз. В этом виджете отображаются события всех семейств угроз Cylance на основе файлов, а не только события Malware или PUP.

В сводном отчете об устройстве представлены разнообразные критерии важности, относящиеся к устройству. Функция автоматического помещения в карантин позволяет выявлять угрозы и может быть использована для отображения хода выполнения. Статистика версий Threat Defense для устройств может выявлять устаревшие агенты Threat Defense. Дни автономной работы могут указывать на устройства, которые больше не регистрируются в консоли Threat Defense и которые можно удалить.

Всего устройств: отображение общего количества устройств в организации. Устройство — это конечная точка с зарегистрированным агентом Threat Defense.

Автоматическое помещение в карантин: отображение количества устройств с политикой, которая предусматривает автоматическое помещение в карантин при обнаружении как небезопасных, так и аномальных событий; эти устройства считаются включенными. Выключенные устройства подчиняются политике, в которой одна или обе эти опции отключены. На круговой диаграмме отображается процент устройств, подчиняющихся политике с отключенной функцией автоматического помещения в карантин: для небезопасных, аномальных или обоих типов событий.

Устройства с версией агента Dell Threat Defense: отображение столбчатой диаграммы, представляющей количество устройств, на которых запущена версия агента Threat Defense. При наведении курсора на столбец диаграммы отображается количество устройств, использующих данную версию агента Threat Defense.

Дни автономной работы: отображение количества устройств, которые были отключены в течение нескольких дней (от 0 до 15 дней, до 61 дня и более). Отображается также столбчатая диаграмма, на которой каждый диапазон дней выделен цветом.

Отчет о событиях угроз содержит данные о событиях угроз, обнаруженных в организации. Угрозы группируются по дате оповещения, когда консоль получила информацию об угрозе от устройства. Дата оповещения может отличаться от фактической даты события, если устройство не было подключено к сети во время события.

Число событий угроз: отображение столбчатой диаграммы, на которой показаны события угроз, обнаруженных в организации. При наведении курсора на столбец диаграммы отображается общее количество событий угроз, о которых сообщалось в этот день. Столбчатая диаграмма отображает данные за последние 30 дней.

Таблица событий угроз: отображение информации о событиях угроз.

Отчет об устройстве показывает, сколько устройств имеется в семействе операционных систем (Windows и macOS).

Количество устройств по ОС: отображение линейчатой диаграммы с устройствами, организованными по основным группам операционных систем (Windows и macOS). При наведении курсора на строку диаграммы отображается общее количество устройств в этой группе операционных систем.

Таблица устройств: отображение списка имен устройств и сведений об устройствах для устройств в организации.

В качестве дополнительной меры безопасности администратор Dell Threat Defense может настроить устройства Threat Defense на запрос пароля при удалении приложения. Дополнительную информацию см. в разделе Как добавить или удалить пароль на удаление в Dell Threat Defense.

В базовой конфигурации имеется только первоначальный покупатель, указанный в качестве администратора консоли Dell Threat Defense. Для получения дополнительной информации см. статью Как добавлять пользователей в консоль администратора Dell Threat Defense.

Политики устройств играют важную роль в функционировании Dell Threat Defense. В базовой конфигурации функции предотвращения угроз повышенной сложности отключены в политике «по умолчанию». Перед развертыванием Threat Defense важно изменить политику «по умолчанию» или создать новую политику. Для получения дополнительной информации см. статью Как изменять политики в Dell Threat Defense.

Консоль Dell Threat Defense предлагает простой способ создания отчета о состоянии угроз в инфраструктуре. Для получения дополнительной информации см. статью Как создавать отчеты в Dell Threat Defense.

Базовая конфигурация консоли Dell Threat Defense предусматривает автоматическое обновление устройств с установкой последних версий программ. Администратор Threat Defense может дополнительно разворачивать версии для тестирования и пилотных зон перед внедрением в инфраструктуру. Для получения дополнительной информации см. статью Как настраивать обновления в Dell Threat Defense.