如何管理 Dell Threat Defense

Dell Threat Defense 控制台提供对“不安全”或“异常”文件的深入评估，以帮助管理员正确缓解其环境中的威胁。

要评估文件，请执行以下操作：

1. 在控制台中，单击保护选项卡。

2. 在“保护”下，单击威胁以获取更多信息。

Cylance 分数：Cylance 根据威胁属性指定 1（有限）至 100（高）的分数。

被 [租户] 中的用户隔离：环境中的用户（租户）对文件采取了哪些操作。

被所有 Cylance 用户隔离：所有 Cylance 环境中的用户对文件采取了哪些操作。

分类：对文件/威胁的常规标识。

首次找到：首次在环境中找到文件的时间

最后一次找到：最后一次在环境中找到文件的时间

全局隔离：将文件添加到环境的全局隔离列表。每当该文件出现在设备上，它将会自动隔离在 \q 文件夹中。

安全：将文件添加到环境的安全列表。如果文件当前被隔离，系统会将它自动放回原始位置。

SHA256：用于标识文件/威胁的 256 加密哈希。管理员可以单击该哈希，通过 Google 搜索已知出现的事物。

MD5：用于标识文件/威胁的 128 加密哈希。管理员可以单击该哈希，通过 Google 搜索已知出现的事物。

下载文件：允许管理员下载文件，以进行进一步的评估和测试。

Cylance 分数：Cylance 根据威胁属性指定 1（有限）至 100（高）的分数。

防病毒行业：通过检查 virustotal.com 索引，确定第三方防病毒引擎是否将该文件标识为威胁。

搜索 Google：搜索 Google 以查找哈希和文件名，了解有关文件/威胁的更多信息。

环境中可能存在错误标识为威胁的文件。管理员可以将它们添加到全局安全列表，以防止它们被隔离。在添加到安全列表之前隔离的任何文件都将返回到其原始位置。

要将文件添加到安全列表，请执行以下操作：

1. 在控制台中，单击保护选项卡。

2. 在“保护”下，检查要添加到安全列表的威胁，然后单击安全。

3. 在“操作确认”弹出窗口中，从下拉菜单选择某个文件类别。这有助于文件/威胁分类。

4. 填充添加到安全列表的原因。这提供了整个环境的可视性。
5. 单击是以确认添加到安全列表。

通过将文件添加到全局隔离列表，管理员可以主动隔离文件，使其不针对设备。

要全局隔离文件，请执行以下操作：

1. 在控制台中，单击保护选项卡。

2. 在“保护”下，检查要添加到安全列表的威胁，然后单击全局隔离。

3. 在“操作确认”弹出窗口中，填写隔离的原因。这有助于向其他管理员和区域管理员提供可见性。
4. 单击是以确认全局隔离。

Dell Threat Defense 安装程序直接在租户内提供。有关如何下载 Dell Threat Defense 的步骤，请参阅如何下载 Dell Threat Defense。

要在设备上安装 Dell Threat Defense，必须从租户处获取有效的安装令牌。有关如何获取安装令牌的步骤，请参阅如何获取 Dell Threat Defense 的安装令牌。

默认情况下，设备包含 Dell Threat Defense 的有限日志记录。在故障处理或联系 Dell Data Security ProSupport 之前，强烈建议在设备上启用详细日志记录。有关详细信息，请参阅 Dell Data Security 国际支持电话号码。有关如何启用详细日志记录的更多信息，请参阅如何在 Dell Threat Defense 中启用详细日志记录。

卸载期间，设备不会自动从 Dell Threat Defense 控制台中删除。管理员必须从租户控制台手动删除设备。有关更多信息，请参阅如何从 Dell Threat Defense 管理控制台中删除设备。

提供组织的 Dell Threat Defense 使用情况的执行摘要，所含内容从区域数量和设备数量到自动隔离、威胁事件、代理程序版本和设备脱机天数所覆盖设备的百分比。

区域：显示组织中的区域数量。

设备：显示组织中的设备数量。设备是具有已注册的威胁防御代理程序的端点。

策略：显示在组织中创建的策略数量。

分析的文件：显示组织中分析的文件数（在组织中的所有设备上）。

威胁事件：显示包含过去 30 天内不安全、异常和隔离的威胁事件（按天分组）的条形图。将鼠标悬停在图表中的条柱上会显示该天报告的威胁事件总数。

威胁按报告日期（即，控制台从设备接收到有关威胁的信息的时间）进行分组。如果设备在事件发生时未联机，则报告日期可能与实际事件日期不同。

设备 - Dell Threat Defense 代理程序版本：显示条形图，表示运行某个 Dell Threat Defense 代理程序版本的设备的数量。将鼠标悬停在图表中的条柱上会显示运行该特定威胁防御代理程序版本的设备数。

脱机天数：显示已脱机数天（从 0 到 15 天，最多 61 天以上）的设备数。此外，还显示用每个日期范围进行颜色编码的条形图。

设备 - Dell Threat Defense 代理程序版本：显示条形图，表示运行某个 Dell Threat Defense 代理程序版本的设备的数量。将鼠标悬停在图表中的条柱上会显示运行该特定威胁防御代理程序版本的设备数。

“威胁事件摘要”报告显示以 Cylance 的其中两个威胁分类（即，恶意软件和 PUP [可能不需要的程序]）确定的文件数量，并包括每个家庭特定子类别分类的明细。此外，具有威胁事件的前 10 位列出的文件所有者和设备显示恶意软件、PUP 和两用威胁系列的威胁事件数量。

恶意软件事件总数：显示组织中识别的恶意软件事件的总数。

PUP 事件总数：显示组织中识别的 PUP 事件的总数。

不安全/异常恶意软件事件：显示在组织中发现的不安全和异常恶意软件事件的总数。

不安全/异常 PUP 事件：显示在组织中发现的不安全和异常 PUP 事件的总数。

恶意软件事件分类：显示具有组织中设备上发现的威胁事件的每种恶意软件分类的条形图。将鼠标悬停在图表中的条柱上会显示针对该分类发现的恶意软件事件总数。

PUP 事件分类：显示具有组织中设备上发现的威胁事件的每种可能不需要的程序 (PUP) 分类的条形图。将鼠标悬停在图表中的条柱上会显示针对该分类发现的 PUP 事件总数。

威胁事件最多的前 10 名文件所有者：显示其威胁事件最多的前 10 名文件所有者的列表。这个小部件显示来自所有基于 Cylance 文件的威胁系列的事件，而不仅仅显示恶意软件或 PUP 事件。

威胁事件最多的前 10 个设备：显示其威胁事件最多的前 10 个设备的列表。这个小部件显示来自所有基于 Cylance 文件的威胁系列的事件，而不仅仅显示恶意软件或 PUP 事件。

“设备摘要”报告显示多个以设备为中心的重要性度量。自动隔离覆盖范围显示威胁防护覆盖范围，并可用于显示进度。设备 - 威胁防御版本统计信息可以识别较旧的威胁防御代理程序。脱机天数可能表示不再登录到威胁防御控制台并且适合删除的设备。

设备总数：显示组织中的设备数量。设备是具有已注册的威胁防御代理程序的端点。

自动隔离覆盖范围：显示所采用策略会将不安全和异常文件选择进行自动隔离的设备数；这些设备被视为已启用。禁用的设备已分配到禁用其中一个或两个选项的策略。饼图显示已分配到对不安全和/或异常文件禁用自动隔离的策略的设备的百分比。

设备 - Dell Threat Defense 代理程序版本：显示条形图，表示运行某个 Dell Threat Defense 代理程序版本的设备的数量。将鼠标悬停在图表中的条柱上会显示运行该特定威胁防御代理程序版本的设备数。

脱机天数：显示已脱机数天（从 0 到 15 天，最多 61 天以上）的设备数。此外，还显示用每个日期范围进行颜色编码的条形图。

“威胁事件”报告提供组织中发现的威胁事件的数据。威胁按报告日期（即，控制台从设备接收到有关威胁的信息的时间）进行分组。如果设备在事件发生时未联机，则报告日期可能与实际事件日期不同。

威胁事件数：显示一个条形图，其中显示了组织中报告的威胁事件。将鼠标悬停在图表中的条柱上会显示该天报告的威胁事件总数。条形图显示过去 30 天。

威胁事件表：显示威胁事件信息。

“设备”报告显示您有多少个操作系统系列（Windows 和 macOS）设备。

按操作系统分组的设备数：显示一个条形图，其中包含按主要操作系统组（Windows 和 macOS）组织的设备。将鼠标悬停在图表中的条柱上会显示该操作系统组中的设备总数。

设备表：显示组织中设备的设备名称和设备信息的列表。

作为新增的安全层，Dell Threat Defense 管理员可以强制威胁防御设备需要密码才能卸载应用程序。有关更多信息，请参阅如何在 Dell Threat Defense 中添加或卸载密码。

基本配置仅将最初的购买者列示为 Dell Threat Defense 控制台的管理员。有关更多信息，请参阅如何将用户添加到 Dell Threat Defense 管理控制台。

设备策略对 Dell Threat Defense 的功能至关重要。基本配置在“默认”策略中关闭了高级威胁防护功能。在部署威胁防御之前，务必修改“默认”策略或创建新策略，这一点非常重要。有关更多信息，请参阅如何在 Dell Threat Defense 中修改策略。

Dell Threat Defense 控制台提供了一种轻松方式来生成环境中威胁状态报告。有关更多信息，请参阅如何在 Dell Threat Defense 中生成报告。

Dell Threat Defense 控制台的基本配置自动将设备更新为最新内部版本。Dell Threat Defense 管理员可以选择在生产前将内部版本部署到测试区和试验区。有关更多信息，请参阅如何在 Dell Threat Defense 中配置更新。