Så hanterar du Dell Threat Defense

Dell Threat Defense-konsolen ger en djupgående utvärdering av "osäkra" eller "onormala" filer som hjälper administratörer att minska hoten ordentligt i miljön.

Så här evaluerar du en fil:

1. Klicka på fliken Skydd i konsolen.

2. Under Skydd klickar du på ett hot för att visa mer information.

Cylance-poäng: En poäng på 1 (begränsat) –100 (högt) tilldelas av Cylance baserat på hotattribut.

Karantän av användare i [klientorganisation]: Vilka åtgärder i filen har vidtagits av användare i miljön (klientorganisation).

I karantän av alla Cylance-användare: Vilka åtgärder i filen har vidtagits av användare i alla Cylance-miljöer.

Klassificering: Allmän identifiering av fil/hot.

Först påträffade: När filen först hittades i miljön

Senast påträffade: När filen senast hittades i miljön

Global karantän: Lägger till en fil i den globala karantänlistan för miljön. Varje gång filen identifieras på en enhet placeras den automatiskt i karantänmappen \q.

Säker: Lägger till en fil i den säkra listan för en miljö. Om en fil för närvarande är i karantän placeras den automatiskt tillbaka på sin ursprungliga plats.

SHA256: Den 256-bitars kryptografiska hash som används för att identifiera filen/hotet. En administratör kan klicka på hash för att göra en Google-sökning efter kända förekomster.

MD5: Den 128-bitars kryptografiska hash som används för att identifiera filen/hotet. En administratör kan klicka på hash för att göra en Google-sökning efter kända förekomster.

Hämta fil: Låter en administratör ladda ner filen för vidare utvärdering och testning.

Cylance-poäng: En poäng på 1 (begränsat) –100 (högt) tilldelas av Cylance baserat på hotattribut.

AV-branschen: Bestämmer om tredjeparts antivirusmotorer identifierar filen som ett hot genom att kontrollera virustotal.com index.

Sök på Google: Söker google efter hash-kommandon och filnamn för mer information om filen/hotet.

Filer i en miljö kan identifieras som hot av misstag. Administratörer kan lägga till dem i den globala säkra listan så att de inte kan sättas i karantän. Alla filer som är i karantän innan de sätts på säkra listan återgår till sin ursprungliga plats.

Så här sätter du en fil på säkra listan:

1. Klicka på fliken Skydd i konsolen.

2. Kontrollera hotet som ska listas på säkra listan under Skydd och klicka sedan på Säker.

3. Välj en Kategori filer i popupfönstret Bekräfta åtgärd. Det här underlättar klassificeringen av filen/hotet.

4. Fyll i en Orsak till registreringen på säkra listan. Det här ger bättre insyn i miljön.
5. Klicka på Yes (ja ) för att bekräfta säkra listan.

En administratör kan proaktivt förhindra att en fil ska utsätta enheter för risk genom att sätta upp filen på den globala karantänslistan.

Så här placerar du en fil i karantän globalt:

1. Klicka på fliken Skydd i konsolen.

2. Kontrollera hotet som ska listas på säkra listan under Skydd och klicka sedan på Global Karantän.

3. Fyll i en Orsak till karantänen i popupfönstret Bekräfta åtgärd. Det här ger andra administratörer och zonansvariga insyn.
4. Klicka på Ja för att bekräfta den globala karantänen.

Installationsprogrammet för Dell Threat Defense finns tillgängligt direkt via klientorganisationen. Information om hur du hämtar Dell Threat Defense finns i Så laddar du ner Dell Threat Defense.

För att kunna installera Dell Threat Defense på en enhet måste du skaffa en giltig installationstoken via klientorganisationen. Information om hur du skaffar en installationstoken finns i Så skaffar du en installationstoken för Dell Threat Defense.

Som standard används kortfattad loggning för Dell Threat Defense. Vi rekommenderar starkt att du aktiverar detaljerad loggning på en enhet innan du felsöker eller kontaktar Dell Data Security ProSupport. Mer information finns i Dell Data Security telefonnummer till internationell support. Mer information om hur du aktiverar detaljerad loggning finns i Aktivera detaljerad loggning i Dell Threat Defense.

Enheter tas inte bort automatiskt från Dell Threat Defense-konsolen vid avinstallationen. En administratör måste ta bort enheten manuellt från klientkonsolen. Mer information finns i Ta bort en enhet från administrationskonsolen för Dell Threat Defense.

Här får du en översiktlig sammanfattning av organisationens användning av Dell Threat Defense, från antalet zoner och enheter till procentandelen enheter som täcks av automatisk karantän, hothändelser, agentversioner och offlinedagar för enheter.

Zoner: Visar antalet zoner i organisationen.

Enheter: Visar antalet enheter i organisationen. En enhet är en slutpunkt med en registrerad Threat Defense-agent.

Policyer: Visar antalet principer som skapas i organisationen.

Analyserade filer: Visar antalet filer som analyseras i organisationen (över alla enheter i organisationen).

Hothändelser: Visar ett stapeldiagram med osäkra, onormala och karantänsatta hothändelser grupperade efter dag under de senaste 30 dagarna. Om du hovrar över en stapel i diagrammet visas det totala antalet hothändelser som rapporteras den dagen.

Hoten grupperas efter datumvärdet för Rapporterades den, vilket är när konsolen tog emot information från enheten om hotet. Datumvärdet för Rapporterades den kan vara ett annat än det faktiska händelsedatumet om enheten inte var online när händelsen inträffade.

Enheter – versioner av Dell Threat Defense-agenten: Visar ett stapeldiagram som representerar det antal enheter som kör en version av Threat Defense-agenten. Om du hovrar över en stapel i diagrammet visas det antal enheter som kör den specifika versionen av Threat Defense-agenten.

Dagar i offlineläge: Visar antalet enheter som har varit offline i ett intervall av dagar (från 0–15 dagar, upp till 61+ dagar). Dessutom visas ett färgkodat stapeldiagram för varje intervall av dagar.

Enheter – versioner av Dell Threat Defense-agenten: Visar ett stapeldiagram som representerar det antal enheter som kör en version av Threat Defense-agenten. Om du hovrar över en stapel i diagrammet visas det antal enheter som kör den specifika versionen av Threat Defense-agenten.

I rapporten Threat Event Summary visas antalet filer som identifieras i två av Cylances hotklassificeringar: skadliga program och PUP:er (potentiellt oönskade program) och innehåller en uppdelning i specifika underkategorier för varje familj. Dessutom visas topp 10-listorna Filägare och Enheter med hot, och där ser du antalet förekomster av hot i familjerna Skadligt program, Potentiellt oönskat program eller Båda.

Totalt antal skadligt program-händelser: Visar det totala antalet skadligt program-händelser som identifierats i organisationen.

Totalt antal PUPs-händelser: Visar det totala antalet Oupptappade händelser som identifieras i organisationen.

Osäkra/onormala skadligt program-händelser: Visar det totala antalet osäkra och onormala skadligt program-händelser som har hittats i organisationen.

Osäkra/onormala pup-händelser: Visar det totala antalet osäkra och onormala PUP-händelser som har hittats i organisationen.

Klassificering av skadlig kod-händelser: Visar ett stapeldiagram med varje typ av klassificering av skadlig kod för hothändelser som finns på enheter i organisationen. Om du hovrar över en stapel i diagrammet visas det totala antalet skadligt program-händelser för den aktuella klassificeringen.

Klassificering av PUP-händelser: Visar ett stapeldiagram med varje typ av Oönskat program-klassificering för hothändelser som finns på enheter i organisationen. Om du hovrar över en stapel i diagrammet visas det totala antalet Oskyddade händelser för den aktuella klassificeringen.

10 filägare med flest hothändelser: Visar en lista över de tio filägare som har flest hothändelser. I den här widgeten visas händelser från alla filbaserade Cylance-hotfamiljer, inte bara skadliga program eller potentiellt oönskade program.

De tio enheter som har flest hothändelser: Visar en lista över de tio enheter som har flest hothändelser. I den här widgeten visas händelser från alla filbaserade Cylance-hotfamiljer, inte bara skadliga program eller potentiellt oönskade program.

I rapporten Enhetssammanfattning visas flera viktiga, enhetsspecifika mått. Under Täckning för automatisk karantän ser du det förebyggande skyddets täckning, och det här kan användas till att visa på framsteg. Enheter – Versionsinformation för Threat Defense kan identifiera äldre Threat Defense-agenter. Dagar i offlineläge kan visa på enheter som inte längre checkar in hos Threat Defense-konsolen och som eventuellt kan tas bort.

Totalt antal enheter: Visar totalt antal enheter i organisationen. En enhet är en slutpunkt med en registrerad Threat Defense-agent.

Täckning för automatisk karantän: Visar antalet enheter med en policy som har både Osäkra och Onormalt valt för automatisk karantän; dessa enheter anses vara aktiverade. Avaktiverade enheter är tilldelade en policy där ett eller båda av de här alternativen är avaktiverade. I cirkeldiagrammet visas procentandelen enheter som är tilldelade till en policy med automatisk karantän inaktiverad för osäkra, onormala eller båda.

Enheter – versioner av Dell Threat Defense-agenten: Visar ett stapeldiagram som representerar det antal enheter som kör en version av Threat Defense-agenten. Om du hovrar över en stapel i diagrammet visas det antal enheter som kör den specifika versionen av Threat Defense-agenten.

Dagar i offlineläge: Visar antalet enheter som har varit offline i ett intervall av dagar (från 0–15 dagar, upp till 61+ dagar). Dessutom visas ett färgkodat stapeldiagram för varje intervall av dagar.

I rapporten Hothändelser finns data om hothändelser som hittas i organisationen. Hoten grupperas efter datumvärdet för Rapporterades den, vilket är när konsolen tog emot information från enheten om hotet. Datumvärdet för Rapporterades den kan vara ett annat än det faktiska händelsedatumet om enheten inte var online när händelsen inträffade.

Antal hothändelser: Visar ett stapeldiagram med de hothändelser som har rapporterats i organisationen. Om du hovrar över en stapel i diagrammet visas det totala antalet hothändelser som rapporteras den dagen. Stapeldiagrammet täcker de senaste 30 dagarna.

Tabell över hothändelser: Visar information om hothändelser.

I enhetsrapporten visas hur många enheter du har för en operativsystemsserie (Windows och macOS).

Antal enheter efter operativsystem: Visar ett stapeldiagram med enheter som är ordnade efter större operativsystemgrupper (Windows och macOS). Om du hovrar över en stapel i diagrammet visas det totala antalet enheter i den operativsystemgruppen.

Tabell över enheter: Visar en lista över enhetsnamn och enhetsinformation för enheter i organisationen.

Som ett extra säkerhetslager kan en administratör för Dell Threat Defense tvinga Threat Defense-enheter att kräva ett lösenord för att avinstallera programmet. Mer information finns i Lägga till eller ta bort ett lösenord för avinstallation i Dell Threat Defense.

I baskonfigurationen är endast den ursprungliga köparen angiven som administratör för Dell Threat Defense-konsolen. Mer information finns i Så lägger du till användare i administrationskonsolen för Dell Threat Defense.

Enhetspolicyer är en central funktion i Dell Threat Defense. I baskonfigurationen är avancerade förebyggande funktioner inaktiverade i policyn "standard". Det är viktigt att ändra policyn "standard" eller skapa en ny policy innan du distribuerar Threat Defense. Mer information finns i Så ändrar du policyer i Dell Threat Defense.

Det finns ett enkelt sätt att skapa rapporter om statusen för hot i miljön via Dell Threat Defense. Mer information finns i Så genererar du rapporter i Dell Threat Defense.

Baskonfigurationen för Dell Threat Defense-konsolen uppdaterar automatiskt enheter till den senaste versionen. En Threat Defense-administratör kan installera versioner till test- och pilotzoner före produktion som tillval. Mer information finns i Konfigurera uppdateringar i Dell Threat Defense.