Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Article Number: 000126398

如何管理 Dell Threat Defense

Summary: 本文包含如何管理 Dell Threat Defense 的相關資訊。

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

注意:

Dell Threat Defense 主控台負責管理一個環境的 Dell Threat Defense 部署的原則、威脅、組建和組織。

此環境需要使用中的訂用方案才能存取。如需進一步瞭解如何取得訂用方案,請參閱 Dell Threat Defense 產品頁面。

購買 Dell Threat Defense 後,內含 Threat Defense 主控台登入資訊的電子郵件會傳送給購買者。Dell Threat Defense 的主控台網站如下:

受影響的產品:

Dell Threat Defense

Cause

不適用。

Resolution

Threat Defense 主控台分為六個區段:

  • 儀表板
  • 保護
  • 區域
  • 裝置
  • 報告
  • 設定

按一下一個區段以取得更多資訊。

儀表板會在登入 Dell Threat Defense 主控台時顯示。「儀表板」提供環境中的威脅概觀,並提供從一個頁面存取不同主控台資訊的權限。

儀表板

威脅統計資料

威脅統計資料

「威脅統計資料」會提供過去 24 小時內發現的威脅數目,以及貴組織的總數。按一下「威脅統計資料」會帶您進入保護頁面,並顯示與該統計資料相關的威脅清單。

  • 執行中的威脅:目前正在貴組織裝置上執行且經識別為威脅的檔案。
  • 自動執行威脅:設定為自動執行的威脅。
  • 已隔離的威脅:在過去 24 小時內隔離的威脅和總計。
  • Cylance 獨有:由 Cylance 識別但非由其他防毒軟體來源識別的威脅。
保護百分比

保護百分比會顯示威脅保護裝置保護的概觀。

威脅保護

  • 威脅保護:您對威脅所採取動作的百分比 (隔離、全域隔離、免除和安全清單)。

裝置保護

  • 裝置保護:與已啟用自動隔離的原則相關聯的裝置百分比。
依優先順序排列的威脅

依優先順序排列的威脅會顯示需要採取行動的威脅總數 (隔離、全域隔離、免除及安全清單)。威脅會依優先順序 (高、中、低) 分組。

依優先順序排列的威脅

根據威脅具有的下列屬性數目,可將其歸類為低、中或高:

  • 檔案的 Cylance 分數高於 80。
  • 檔案目前正在執行中。
  • 檔案先前已執行。
  • 檔案設定為自動執行。
  • 發現威脅的區域其優先順序。

威脅分類

威脅事件

威脅事件會顯示一個折線圖,其中包含過去 30 天內探索到的威脅數目。線條會針對「不安全」、「異常」、「已隔離」、「已免除」和「已清除」檔案進行色彩編碼。

威脅事件

威脅分類

威脅分類會顯示環境中發現的威脅類型熱度圖。按一下項目會將系統管理員跳至「保護」區段,並顯示該類型的威脅清單。

威脅分類

前五大清單

前五大清單會顯示尚未處理過的環境中的不安全威脅。大多數時候,這些清單應為空白。

前五大清單

「保護」區段可用來評估和管理影響使用 Dell Threat Defense 之裝置的威脅。如需詳細資訊,請選取以下適當的步驟。

保護

評估威脅

Dell Threat Defense 主控台針對「不安全」或「異常」檔案提供深入評估,以協助系統管理員適當減輕其環境中的威脅。

若要評估檔案:

  1. 在主控台中,按一下保護標籤。

保護

  1. 在保護下,按一下威脅以取得更多資訊。

評估威脅統計資料

Cylance 分數:Cylance 會根據威脅屬性指派分數 1 (有限) 至 100 (高)。

在 [租戶] 中由使用者隔離:使用者在環境中 (租戶) 已在檔案上採取哪些動作。

由所有 Cylance 使用者隔離:使用者在所有 Cylance 環境中對檔案採取的動作。

分類:檔案/威脅的一般識別。

威脅時間戳記

初次找到:初次在環境中找到檔案的時間

上次找到:上次在環境中找到檔案的時間

威脅動作

全域隔離:將檔案新增至環境的全域隔離清單。任何時候該檔案出現在裝置上時,即會被自動隔離在 \q 資料夾中。

安全:將檔案新增至環境的安全清單。如果檔案目前已隔離,則會自動將其放回原本的位置。

SHA256:用來識別檔案/威脅的 256 密碼編譯雜湊。系統管理員可以按一下雜湊,以執行已知發生事件的 Google 搜尋。

MD5:用來識別檔案/威脅的 128 密碼編譯雜湊。系統管理員可以按一下雜湊,以執行已知發生事件的 Google 搜尋。

注意:檔案/威脅可能只有已知的 SHA256 或 MD5 發生事件。兩者皆會列出,以確保提供對檔案/威脅完整的檢視。

下載檔案:可讓系統管理員下載檔案以進一步評估和測試。

威脅信任等級

Cylance 分數:Cylance 會根據威脅屬性指派分數 1 (有限) 至 100 (高)。

防毒軟體產業:藉由檢查 virustotal.com 索引,判斷第三方防毒軟體引擎是否將檔案識別為威脅。

搜尋 Google:搜尋 Google 的雜湊和檔案名稱,以取得檔案/威脅的詳細資訊。

將檔案列至安全清單

環境中可能有未正確識別為威脅的檔案。系統管理員可以將其新增至全域安全清單,以防止其被隔離。在將檔案列至安全清單之前已隔離的任何檔案會返回其原始位置。

注意:在將項目列至安全清單之前,強烈建議您先評估威脅。

若要安全列出檔案:

  1. 在主控台中,按一下保護標籤。

保護

  1. 在「保護」底下,檢查要列至安全清單的威脅,然後按一下安全

安全

  1. 從「動作確認」彈出式視窗中,選取下拉式功能表中的檔案類別。這有助於檔案/威脅分類。

動作確認

  1. 填入將檔案列至安全清單的原因。這可提供您在整個環境中的可見度。
  2. 按一下以確認列至安全清單。
注意:
  • 您可以在 Dell Threat Defense 主控台的「設定 > 全域清單」區段底下,隨時檢閱及修改先前列至安全清單的項目。
  • 檔案可以全域、原則或裝置層級列至安全清單。在我們的範例中,我們以全域層級列至安全清單。
全域隔離檔案

系統管理員可將檔案新增至全域隔離清單來主動隔離該檔案,使其無法鎖定裝置目標。

若要全域隔離檔案:

  1. 在主控台中,按一下保護標籤。

保護

  1. 在「保護」底下,檢查要列至安全清單的威脅,然後按一下全域隔離

全域隔離

  1. 在「動作確認」彈出式視窗中,填入隔離的原因。這有助於提供對其他系統管理員和區域管理員的能見度。
  2. 按一下確認全域隔離。
注意:
  • 您可在 Dell Threat Defense 主控台的「設定 > 全域清單」區段底下,隨時檢閱及修改先前的隔離項目。
  • 檔案可以全域或裝置層級列至安全清單。在我們的範例中,我們以全域層級進行隔離。

區域可用來建立容器,負責裝置的管理和組織。如需詳細資訊,請參閱如何在 Dell Threat Defense 中管理區域

區域

「裝置」區段可用來在環境中使用 Dell Threat Defense 新增、管理和報告裝置 (代理程式)。本區段中最常見的動作是下載安裝程式取得安裝權杖啟用詳細資料記錄移除裝置。如需詳細資訊,請按一下適當的步驟。

裝置

下載安裝程式

Dell Threat Defense 安裝程式可直接在租戶內取得。如需有關如何下載 Dell Threat Defense 的步驟,請參閱如何下載 Dell Threat Defense

取得安裝權杖

若要在裝置上安裝 Dell Threat Defense,必須向租戶取得有效的安裝權杖。如需取得安裝權杖的詳細資訊,請參閱如何取得 Dell Threat Defense 的安裝權杖

啟用詳細資料記錄

根據預設,裝置包含 Dell Threat Defense 的有限紀錄。強烈建議您在故障診斷或聯絡 Dell Data Security ProSupport 前先啟用裝置上的詳細資料記錄。如需更多資訊,請參閱 Dell Data Security 國際支援電話號碼。如需有關如何啟用 verbose 記錄的資訊,請參閱如何在 Dell Threat Defense 中啟用 verbose 記錄

移除裝置

裝置在解除安裝期間不會自動從 Dell Threat Defense 主控台中移除。系統管理員必須從租戶主控台中手動移除裝置。如需詳細資訊,請參閱如何從 Dell Threat Defense 管理主控台中移除裝置

「報告」提供摘要和詳細資料報告,以提供組織中與裝置和威脅相關的概觀和詳細資料。

報告會以事件為基礎的方式顯示威脅。事件代表個別的威脅例項。例如,如果特定檔案 (特定雜湊) 位於相同裝置的三個不同的資料夾位置,則威脅事件計數等於 3。主控台的其他區域 (例如「威脅保護」頁面) 可能會根據找到檔案的裝置數目顯示特定檔案的威脅計數,無論任何特定裝置上有多少檔案例項。例如,如果特定檔案 (特定雜湊) 位於相同裝置的三個不同的資料夾位置,威脅計數將等於 1。

報告資料大約每三分鐘重新整理一次。如需詳細資訊,請按一下威脅防禦概觀威脅事件摘要裝置摘要威脅事件裝置

報告

威脅防禦概觀

提供組織 Dell Threat Defense 使用方式的執行摘要,包括區域和裝置的數量,以及裝置自動隔離、威脅事件、代理程式版本和離線天數所涵蓋的裝置百分比。

威脅防禦概觀

區域:顯示組織中的區域數目。

裝置:顯示組織中裝置的數目。裝置是具有已註冊威脅防禦代理程式的端點。

原則:顯示組織中建立的原則數目。

已分析檔案:顯示組織中 (組織中所有裝置) 中已分析的檔案數目。

威脅事件

威脅事件:顯示過去 30 天的長條圖,其中包含不安全、異常和已隔離的威脅事件,以天為單位分組。將滑鼠停留在圖表中的列上,會顯示當天回報的威脅事件總數。

威脅會依「報告日期」分組,也就是主控台從裝置收到威脅相關資訊的時間。如果裝置在活動時未連線,「報告日期」的日期可能與實際的事件日期有所不同。

裝置 - Dell Threat Defense 代理程式版本

裝置 - Dell Threat Defense 代理程式版本:顯示長條圖,說明執行威脅防禦代理程式版本的裝置數目。將滑鼠停留在圖表中的列上會顯示執行該特定威脅防禦代理程式版本的裝置數量。

離線天數

離線天數:顯示已離線特定天數範圍的裝置數量 (從 0 到 15 天,最多 61 天以上)。此外,也會顯示以各天數範圍色彩編碼的長條圖。

自動隔離涵蓋範圍

裝置 - Dell Threat Defense 代理程式版本:顯示長條圖,說明執行威脅防禦代理程式版本的裝置數目。將滑鼠停留在圖表中的列上會顯示執行該特定威脅防禦代理程式版本的裝置數量。

威脅事件摘要

威脅事件摘要報告會顯示 Cylance 兩種威脅分類中所識別的檔案數量:惡意軟體和 PUP (可能不需要的程式),並包含每個系列特定子類別分類的細目。此外,前 10 大列出有威脅的檔案擁有者和裝置,顯示惡意軟體、PUP 和雙用威脅系列的事件計數。

威脅事件摘要

惡意軟體事件總數:顯示組織中識別的惡意軟體事件總數。

PUP 事件總數:顯示組織中識別的 PUP 事件總數。

不安全/異常惡意軟體事件:顯示組織中找到的不安全和異常惡意軟體事件總數。

不安全/異常 PUP 事件:顯示組織中找到的不安全和異常 PUP 事件總數。

惡意軟體事件分類

惡意軟體事件分類:針對組織中裝置上發現的威脅事件,顯示各類型的惡意軟體分類長條圖。將滑鼠停留在圖表中的列上,會顯示針對該分類找到的惡意軟體事件總數。

PUP 事件分類

PUP 事件分類:針對組織中裝置上發現的威脅事件,顯示可能不需要的程式 (PUP) 分類各類型的長條圖。將滑鼠停留在圖表中的列上,會顯示為該分類找到的 PUP 事件總數。

有最多威脅事件的前 10 大檔案擁有者

有最多威脅事件的前 10 大檔案擁有者:顯示有最多威脅事件的前 10 大檔案擁有者的清單。這個小工具會顯示來自所有 Cylance 檔案式威脅系列的事件,而不只是惡意軟體或 PUP 事件。

有最多威脅事件的前 10 大裝置

有最多威脅事件的前 10 大裝置:顯示有最多威脅事件的前 10 大裝置的清單。這個小工具會顯示來自所有 Cylance 檔案式威脅系列的事件,而不只是惡意軟體或 PUP 事件。

裝置摘要

「裝置摘要報告」顯示多個以裝置為中心的重要性測量。自動隔離涵蓋範圍揭露了威脅預防涵蓋範圍,並可用於顯示進度。裝置 - 威脅防禦版本統計資料可以識別較舊的威脅防禦代理程式。離線天數可能表示裝置已不再登入威脅防禦主控台,且為移除的候選裝置。

裝置總數

裝置總數:顯示組織中的裝置總數。裝置是具有已註冊威脅防禦代理程式的端點。

自動隔離涵蓋範圍

自動隔離涵蓋範圍:顯示已針對自動隔離選取不安全、異常原則的裝置數量;這些裝置會視為已啟用。停用的裝置會指派給已停用這些選項其中一個或兩個的原則。圓餅圖會顯示指派給不安全、異常的自動隔離已停用或兩者皆停用原則的裝置百分比。

裝置 - Dell Threat Defense 代理程式版本

裝置 - Dell Threat Defense 代理程式版本:顯示長條圖,說明執行威脅防禦代理程式版本的裝置數目。將滑鼠停留在圖表中的列上會顯示執行該特定威脅防禦代理程式版本的裝置數量。

離線天數

離線天數:顯示已離線特定天數範圍的裝置數量 (從 0 到 15 天,最多 61 天以上)。此外,也會顯示以各天數範圍色彩編碼的長條圖。

威脅事件

「威脅事件報告」會針對組織中發現的威脅事件提供資料。威脅會依「報告日期」分組,也就是主控台從裝置收到威脅相關資訊的時間。如果裝置在活動時未連線,「報告日期」的日期可能與實際的事件日期有所不同。

威脅事件的數量

威脅事件的數量:顯示長條圖,其中顯示組織中回報的威脅事件。將滑鼠停留在圖表中的列上,會顯示當天回報的威脅事件總數。長條圖顯示過去 30 天。

威脅事件表格:顯示威脅事件資訊。

裝置

裝置報告會顯示作業系統系列 (Windows 和 macOS) 有多少個裝置。

裝置

依作業系統的裝置數量:顯示包含依主要作業系統群組 (Windows 和 macOS) 整理之裝置的長條圖。將滑鼠停留在圖表中的列上,會顯示該作業系統群組中的裝置總數。

裝置表:顯示組織中裝置的裝置名稱清單和裝置資訊。

「設定」區段可用來管理裝置原則、主控台存取、設定更新和產生稽核報告。本區段中最常見的動作是 新增解除安裝密碼新增主控台使用者新增裝置原則產生報告,以及設定更新。如需詳細資訊,請按一下適當的步驟。

設定

新增解除安裝密碼

作為額外的安全層,Dell Threat Defense 系統管理員可以強制威脅防禦裝置要求密碼才能解除安裝應用程式。如需更多資訊,請參閱如何在 Dell Threat Defense 中新增或移除解除安裝密碼

新增主控台使用者

基本組態僅會將初始購買者列為 Dell Threat Defense 主控台的系統管理員。如需詳細資訊,請參閱如何新增使用者至 Dell Threat Defense 管理主控台

新增裝置原則

裝置原則對於 Dell Threat Defense 的功能至關重要。基本組態在「預設」原則中已關閉進階威脅預防功能。部署 Threat Defense 之前,請務必先修改「預設」原則或建立新原則。如需詳細資訊,請參閱如何在 Dell Threat Defense 中修改原則

產生報告

Dell Threat Defense 主控台能讓您輕鬆產生環境中威脅狀態的報告。如需詳細資訊,請參閱如何在 Dell Threat Defense 中產生報告

設定更新

Dell Threat Defense 主控台的基本組態會自動將裝置更新至最新組建。Threat Defense 系統管理員可選擇在生產前部署組建以測試和試驗區域。如需詳細資訊,請參閱如何在 Dell Threat Defense 中設定更新

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

 

Article Properties

Affected Product

Dell Encryption, Dell Threat Defense

Last Published Date

19 Dec 2022

Version

10

Article Type

Solution

Back to Top