Doporučení ohledně zásad softwaru Dell Threat Defense
Summary: Přečtěte si o doporučených zásadách a definicích zásad pro software Dell Threat Defense.
Instructions
- V květnu 2022 došlo k ukončení údržby nástroje Dell Threat Defense. Tento produkt a související články již společnost Dell neaktualizuje. Více informací naleznete v článku Zásady životního cyklu produktu (konec podpory a životnosti) nástroje Dell Data Security. Máte-li jakékoli dotazy týkající se alternativních článků, obraťte se na prodejní tým nebo na adresu endpointsecurity@dell.com.
- Další informace o aktuálních produktech naleznete v článku Zabezpečení koncového bodu.
Software Dell Threat Defense využívá zásady k:
- definování řešení hrozeb,
- určení, co se stane se soubory v karanténě,
- konfiguraci správy skriptů.
Dotčené produkty:
- Dell Threat Defense
Další informace získáte po kliknutí na možnost Doporučené zásady nebo Definice zásad.
Zásady doporučujeme nastavit v režimu učení či v režimu ochrany. Režim učení představuje způsob, jakým společnost Dell Technologies doporučuje testovat software Dell Threat Defense v určitém prostředí. Ten je nejúčinnější, pokud je software Dell Threat Defense nasazen na koncové body pomocí standardní bitové kopie společnosti.
U aplikačních serverů mohou být vyžadovány další změny, jelikož zatížení I/O disku je vyšší než je běžné.
Jakmile správce v konzoli pro správu Dell Threat Defense vyřeší všechny výstrahy, společnost Dell Technologies doporučuje přepnout na doporučený režim ochrany. Společnost Dell Technologies doporučuje před přepnutím na zásady režimu ochrany provést několik týdnů nebo déle testování v režimu učení.
Další informace získáte kliknutím na možnost Application Server Recommendations, Learning Mode nebo Protect Mode .
Doporučení pro aplikační server
V režimech učení a ochrany mohou aplikační servery v operačních systémech klienta zaznamenat vyšší zátěž a odlišné chování. Automatická karanténa (AQT) ve vzácných případech brání spuštění některých souborů, dokud není možné vypočítat skóre. K tomu dochází, když aplikace detekuje uzamčení souborů jako neoprávněnou manipulaci nebo když se proces nepodaří úspěšně dokončit v očekávaném časovém rámci.
Pokud je povolena funkce Watch For New Files , může zpomalit provoz zařízení. Po vytvoření bude nový soubor analyzován. I když se jedná o nenáročný proces, velký objem souborů najednou může mít vliv na výkon.
Doporučené změny zásad pro operační systémy Windows Server:
- Povolte funkci Detekce hrozeb na pozadí a nechte ji jednou spustit.
- Ujistěte se, že je povolenafunkce Řízení spuštění.
- Zakažte možnost Watch For New Files.
Společně s těmito doporučeními je obvykle doporučováno, aby zařízení se serverovými operačními systémy běžela v oddělených zónách. Informace o generování zón naleznete v článku Jak spravovat zóny v softwaru Dell Threat Defense.
Režim učení
| Zásada | Doporučené nastavení |
|---|---|
| Auto Quarantine with Execution Control for Unsafe | Disabled |
| Auto Quarantine with Execution Control for Abnormal | Disabled |
| Enable auto-delete for quarantined files | Disabled |
| Auto-Upload | Enabled |
| Policy Safe List | Závisí na prostředí |
| Zásada | Doporučené nastavení |
|---|---|
| Prevent Service Shutdown from Device | Disabled |
| Kill unsafe running processes and their sub processes | Disabled |
| Background Threat Detection | Disabled |
| Run Once/Run Recurring | Neplatí, pokud je funkce Ochrana před hrozbami na pozadí nastavena na hodnotu Zakázáno. |
| Watch for New Files | Disabled |
| Copy File Samples | Závisí na prostředí |
| Zásada | Doporučené nastavení |
|---|---|
| Enable Auto-Upload of log files | Závisí na prostředí |
| Enable Desktop Notification | Závisí na prostředí |
| Zásada | Doporučené nastavení |
|---|---|
| Script Control | Enabled |
| 1370 and below Active Script and PowerShell | Alert |
| 1380 and above Active Script | Alert |
| 1380 and above PowerShell | Alert |
| Block PowerShell Console Usage | Nevztahuje se, pokud je PowerShell nastavený na výstrahu. |
| 1380 and above Macros | Alert |
| Disable Script Control Active Script | Disabled |
| Disable Script Control PowerShell | Disabled |
| Disable Script Control Macros | Disabled |
| Folder Exclusions (includes subfolders) | Závisí na prostředí |
Režim ochrany
| Zásada | Doporučené nastavení |
|---|---|
| Auto Quarantine with Execution Control for Unsafe | Enabled |
| Auto Quarantine with Execution Control for Abnormal | Enabled |
| Enable auto-delete for quarantined files | Závisí na prostředí |
| Auto-Upload | Závisí na prostředí |
| Policy Safe List | Závisí na prostředí |
| Zásada | Doporučené nastavení |
|---|---|
| Prevent Service Shutdown from Device | Enabled |
| Kill unsafe running processes and their sub processes | Enabled |
| Background Threat Detection | Enabled |
| Run Once/Run Recurring | Run Once |
| Watch for New Files | Enabled |
| Copy File Samples | Závisí na prostředí |
| Zásada | Doporučené nastavení |
|---|---|
| Enable Auto-Upload of log files | Závisí na prostředí |
| Enable Desktop Notification | Závisí na prostředí |
| Zásada | Doporučené nastavení |
|---|---|
| Script Control | Enabled |
| 1370 and below Active Script and PowerShell | Block |
| 1380 and above Active Script | Block |
| 1380 and above PowerShell | Block |
| Block PowerShell Console Usage | Block |
| 1380 and above Macros | Block |
| Disable Script Control Active Script | Disabled |
| Disable Script Control PowerShell | Disabled |
| Disable Script Control Macros | Disabled |
| Folder Exclusions (includes subfolders) | Závisí na prostředí |
Definice zásad softwaru Threat Defense:
File Actions
Auto Quarantine with Execution Control for Unsafe
Tato zásada určuje, co se stane se zjištěnými soubory při jejich spuštění. Ve výchozím nastavení je hrozba zablokována, i v případě, že je nebezpečný soubor zjištěn jako spuštěný. Nebezpečný je charakterizován kumulativním skóre přenosného spustitelného souboru, které přesahuje 60 v rámci systému hodnocení Advanced Threat Prevention a je založen na vyhodnocených indikátorech hrozeb.
Auto Quarantine with Execution Control for Abnormal
Tato zásada určuje, co se stane se zjištěnými soubory při jejich spuštění. Ve výchozím nastavení je hrozba zablokována, i v případě, že je abnormální soubor zjištěn jako spuštěný. Abnormální je charakterizováno kumulativním skóre přenosného spustitelného souboru, které překračuje 0, ale nepřekračuje 60 v rámci systému hodnocení Advanced Threat Prevention. Bodovací systém je založen na indikátorech hrozeb, které byly vyhodnoceny.
Enable auto-delete for quarantined files
Pokud jsou nebezpečné nebo abnormální soubory umístěny do karantény na základě karantén na úrovni zařízení, globálních seznamů karantén nebo zásad automatické karantény, se uloží do izolované cache v místním zařízení. Když je povolená možnost Povolit automatické mazání souborů v karanténě, označuje počet dní (minimálně 14 dní, maximálně 365 dní), po které se má soubor před jeho trvalým odstraněním uchovávat na místním zařízení. Je-li tato možnost povolena, budete moci změnit počet dní.
Auto-Upload
Označuje hrozby, které prostředí Threat Defense SaaS (software jako služba) nepodrobilo další analýze. Pokud je soubor označen místním modelem jako potenciální hrozba, dojde k vyjmutí hashe SHA256 z přenosného spustitelného souboru a k jeho odeslání do prostředí SaaS. Pokud nelze odeslaný hash SHA256 spojit s hrozbou a je povolena funkce Auto-Upload, software bezpečně odešle hrozbu do prostředí SaaS k vyhodnocení. Tato data jsou bezpečně uložena a společnost Dell ani její partneři k nim nemají přístup.
Policy Safe List
Seznam Policy Safe List je seznam souborů, u kterých bylo rozhodnuto, že jsou v prostředí bezpečné a byly ručně vypuštěny odesláním jejich hashe SHA256 a jakýchkoliv dalších informací do tohoto seznamu. Pokud je hash SHA256 do tohoto seznamu umístěn, nebude při spuštění souboru vyhodnocen místními ani cloudovými modely hrozeb. Jedná se o "absolutní" cesty k souborům.
Příklady výjimek:
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Protection Settings
Kill unsafe running processes and their sub processes
Pokud je povolena možnost Ukončit nebezpečné spuštěné procesy a jejich podprocesy , určuje, zda hrozba generuje podřízené procesy nebo zda aplikace převzala jiné procesy, které jsou aktuálně spuštěny v paměti. Pokud existuje přesvědčení, že proces byl převzat hrozbou, primární hrozba a všechny procesy, které vygenerovala nebo aktuálně vlastní, jsou okamžitě ukončeny.
Background Threat Detection
Pokud je detekce hrozeb na pozadí povolená, vyhledá v celém zařízení přenosný spustitelný soubor a pak tento spustitelný soubor vyhodnotí pomocí místního modelu hrozeb a vyžádá si potvrzení vyhodnocení spustitelného souboru pomocí cloudového SaaS na základě indikátorů hrozeb spustitelného souboru. Při použití detekce hrozeb na pozadí jsou možné dvě možnosti: Spustit jednou a spustit opakovaně. Nástroj Run Once provede kontrolu všech fyzických jednotek připojených k zařízení na pozadí v okamžiku, kdy je nainstalována a aktivována služba Threat Defense. Možnost Run Recurring provádí kontrolu na pozadí všech zařízení připojených k zařízení v okamžiku, kdy je nainstalována a aktivována služba Threat Defense. Kontrola se opakuje každých 9 dní (nelze ji konfigurovat).
Watch for New Files
Pokud je povolená funkce Watch for New Files , každý přenosný spustitelný soubor, který je zavedený do zařízení, se okamžitě vyhodnotí pomocí indikátorů hrozeb, které se zobrazí pomocí místního modelu, a toto skóre se potvrdí proti SaaS hostovanému v cloudu.
Copy File Samples
Funkce Copy File Samples umožňuje automatické escenci všech hrozeb nalezených v zařízení do definovaného úložiště na základě cesty UNC. To se doporučuje pouze pro interní výzkum hrozeb nebo pro bezpečné uložení zabalených hrozeb v prostředí. Všechny soubory, které jsou uloženy pomocí příkazu Copy File Samples , jsou komprimovány s heslem infected.
Agent Settings
Enable Auto-Upload of log files
Povolení automatického odesílání souborů protokolu umožňuje koncovým bodům odesílat své soubory protokolu pro službu Dell Threat Defense každou noc o půlnoci nebo když velikost souboru dosáhne 100 MB. Protokoly se odesílají každou noc bez ohledu na velikost souboru. Všechny přenesené protokoly se před výstupem ze sítě zkomprimují.
Enable Desktop Notification
Povolit oznámení na ploše umožňuje uživatelům zařízení povolit na svém zařízení výzvy, když je soubor označen jako neobvyklý nebo nebezpečný. Jedná se o možnost v nabídce po kliknutí pravým tlačítkem na ikonu softwaru Dell Threat Defense v hlavním panelu na koncových bodech, pokud je tato zásada povolena.
Script Control
Script Control
Správa skriptů funguje prostřednictvím řešení založeného na filtru paměti, aby identifikovala skripty, které jsou spuštěné na zařízení, a zabránila jim, pokud je zásada pro tento typ skriptu nastavená na Blokovat. Nastavení Alert v těchto zásadách se týká pouze skriptů, které by byly zablokovány v protokolech a v konzoli Dell Threat Defense.
1370 and Below
Tyto zásady platí pro klienty s verzemi staršími než 1370, které byly k dispozici před červnem 2016. V těchto verzích se používají pouze skripty Active Scripts a PowerShell.
1380 and Above
Tyto zásady platí pro klienty s verzemi vyššími než 1370, které byly k dispozici po červnu 2016.
Active Script
Nastavení Active Script zahrnuje libovolné skripty, které jsou interpretovány modulem Windows Script Host, včetně skriptů JavaScript, VBScript, dávkových souborů a mnoha dalších.
PowerShell
Skripty PowerShell obsahují libovolný víceřádkový skript, který se spouští jako jeden příkaz. (Výchozí nastavení – Alert)
Block PowerShell Console Usage – (není k dispozici, pokud je prostředí PowerShell nastaveno na možnost Alert)
V prostředí PowerShell v3 (zavedeném v systému Windows 8.1) a novějších se většina skriptů prostředí PowerShell spustí jako jednořádkový příkaz. Ačkoliv mohou obsahovat více řádků, spustí se v pořadí. Tak lze obejít překladač skriptů prostředí PowerShell. Funkce Block PowerShell Console situaci řeší tak, že v konzoli PowerShell zakáže možnost spuštění libovolné aplikace. Prostředí ISE (Integrated Scripting Environment) není touto zásadou nijak ovlivněno.
Macros
Nastavení maker interpretuje makra obsažená v dokumentech sady Office a v souborech PDF a blokuje škodlivá makra která by se mohla pokusit stáhnout hrozby.
Disable Script Control
Tyto zásady zcela zakážou možnost upozornit na typ skriptu, který je definovaný v rámci jednotlivých zásad. Je-li tato funkce zakázaná, neshromažďují se žádné protokoly a není proveden žádný pokus o detekci nebo blokování potenciálních hrozeb.
Active Script
Je-li zaškrtnuto, zabraňuje shromažďování protokolů a blokuje všechny potenciální hrozby založené na aktivních skriptech. Nastavení Active Script zahrnuje libovolné skripty, které jsou interpretovány modulem Windows Script Host, včetně skriptů JavaScript, VBScript, dávkových souborů a mnoha dalších.
PowerShell
Pokud je zaškrtnuté, zabrání shromažďování protokolů a zablokuje všechny potenciální hrozby založené na PowerShellu. Skripty PowerShell obsahují libovolný víceřádkový skript, který se spouští jako jeden příkaz.
Macros
Je-li tato možnost zaškrtnutá, zabrání shromažďování protokolů a zablokuje všechny potenciální hrozby založené na makrech. Nastavení maker interpretuje makra obsažená v dokumentech sady Office a v souborech PDF a blokuje škodlivá makra která by se mohla pokusit stáhnout hrozby.
Folder Exclusions (includes subfolders)
Vyloučení složek umožňuje definovat složky, ve kterých mohou být spuštěny skripty a které lze vyloučit. V této části je nutné vyloučení zadat ve formátu relativní cesty.
- Cesty ke složce mohou vést na místní disk, mapovanou síťovou jednotku nebo cestu UNC (Universal Naming Convention).
- Při vyloučení skriptové složky je nutné určit relativní cestu ke složce nebo podsložce.
- Jakákoli zadaná cesta ke složce obsahuje také podsložky.
- Výjimky zástupných znaků musí u počítačů se systémem Windows používat lomítka ve stylu UNIX. Příklad:
/windows/system*/. - Jediný podporovaný znak pro zástupné znaky je *.
- Vyloučení složky se zástupným znakem musí mít na konci cesty lomítko, aby bylo možné rozlišit složku a soubor.
- Vyloučení složky:
/windows/system32/*/ - Vyloučení souboru:
/windows/system32/*
- Vyloučení složky:
- Zástupný znak je nutné přidat pro každou úroveň složky. Například
/folder/*/script.vbszápasy\folder\test\script.vbsnebo\folder\exclude\script.vbsale nefunguje pro\folder\test\001\script.vbs. To by vyžadovalo buď/folder/*/001/script.vbsnebo/folder/*/*/script.vbs. - Zástupné znaky podporují úplné i částečné vyloučení.
- Příklad úplného zástupného znaku:
/folder/*/script.vbs - Příklad částečného zástupného znaku:
/folder/test*/script.vbs
- Příklad úplného zástupného znaku:
- Zástupné znaky jsou podporovány i pro síťové cesty.
//*/login/application//abc*/logon/application
Správně (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Správně (Windows): \Cases\ScriptsAllowed
Špatně: C:\Application\SubFolder\application.vbs
Špatně: \Program Files\Dell\application.vbs
Příklady zástupných znaků:
/users/*/temp by zahrnovalo:
\users\john\temp\users\jane\temp
/program files*/app/script*.vbs by zahrnovalo:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbs- \
program files(x64)\app\script3.vbs
Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.