Sådan administrerer du Dell Threat Defense
Summary: Få trinvis vejledning i, hvordan du administrerer Dell Threat Defense.
Instructions
- Fra og med december 2019 sælges Dell Threat Defense ikke længere. Dette produkt og dets artikler opdateres ikke længere af Dell. Du kan få flere oplysninger i Politik for produktets levetid (slutdato for og slutdato for support) for Dell Data Security. Hvis du har spørgsmål til alternative artikler, kan du kontakte din salgsafdeling eller endpointsecurity@dell.com.
- Se Slutpunktssikkerhed for at få yderligere oplysninger om aktuelle produkter.
Dell Threat Defense-konsollen er ansvarlig for administrationen af politikker, trusler, builds og organisering af et miljøs Dell Threat Defense-implementering.
Miljøet kræver et aktivt abonnement for at få adgang. Du kan finde flere oplysninger om, hvordan du får et abonnement, på Dell Threat Defense-produktsiden .
Ved køb af Dell Threat Defense sendes der en e-mail med loginoplysninger til Threat Defense-konsollen til køberen. Websteder til Dell Threat Defense-konsollen er:
- Nordamerika: https://dellthreatdefense.cylance.com/Login
- Europa: https://dellthreatdefense-eu.cylance.com
- Asien/Stillehavsområdet: https://dellthreatdefense-au.cylance.com
Berørte produkter:
- Dell Threat Defense
Threat Defense-konsollen er opdelt i seks sektioner:
Klik på en sektion for at få flere oplysninger.
Startsiden
Startsiden vises, når der logges på Dell Threat Defense-konsollen. Startsiden indeholder en oversigt over trusler i miljøet og giver adgang til forskellige konsoloplysninger fra en side.
Trusselsstatistik
Trusselsstatistik angiver antallet af trusler, der er fundet inden for de seneste 24 timer , og det samlede antal for din organisation. Hvis du klikker på en trusselsstatistik, kommer du til siden Beskyttelse og viser listen over trusler, der er relateret til den pågældende statistik.
- Løbende trusler: Filer, der identificeres som trusler, der i øjeblikket kører på enheder i din organisation.
- Kør trusler automatisk: Trusler, der er indstillet til at køre automatisk.
- Trusler i karantæne: Trusler, der er sat i karantæne inden for de sidste 24 timer, og det samlede antal.
- Unikt for Cylance: Trusler, der er identificeret af Cylance, men ikke af andre antiviruskilder.
Beskyttelsesprocenter
Beskyttelsesprocenter viser en oversigt over Trusselsbeskyttelse og Enhedsbeskyttelse.
- Beskyttelse mod trusler: Procentdelen af trusler, du har reageret på (karantæne, global karantæne, afkald og sikre lister).
- Enhedsbeskyttelse: Procentdelen af enheder, der er tilknyttet en politik, hvor Automatisk karantæne er aktiveret.
Trusler efter prioritet
Trusler efter prioritet viser det samlede antal trusler, der kræver en handling (karantæne, global karantæne, afkald og sikre lister). Truslerne er grupperet efter prioritet (Høj, Medium og Lav).
En trussel klassificeres som Lav, Medium eller Høj baseret på antallet af følgende attributter, den har:
- Filen har en Cylance-score, der er større end 80.
- Filen kører i øjeblikket.
- Filen er blevet kørt tidligere.
- Filen er indstillet til at køre automatisk.
- Prioriteringen af den zone, hvor truslen blev fundet.
Trusselshændelser
Trusselshændelser viser et linjediagram med antallet af trusler, der er opdaget i løbet af de sidste 30 dage. Linjer er farvekodede for usikre, unormale, karantæne, frafaldne og ryddede filer.
Trusselsklassificeringer
Trusselklassifikationer viser et varmekort over trusselstyper, der findes i et miljø. Hvis du klikker på et element, springer administratoren til afsnittet Beskyttelse og viser en liste over trusler af den pågældende type.
Top fem-lister
De fem øverste lister viser usikre trusler i et miljø, der ikke er blevet reageret på. For det meste bør disse lister være tomme.
Beskyttelse
Afsnittet Beskyttelse bruges til at evaluere og administrere trusler, der påvirker enheder, der bruger Dell Threat Defense. Vælg det relevante trin nedenfor for at få flere oplysninger.
Evaluer trusler
Dell Threat Defense-konsollen indeholder en dybdegående evaluering af "usikre" eller "unormale" filer for at hjælpe administratorer med at afbøde trusler i deres miljø korrekt.
Følgende trinvise instruktioner beskriver, hvordan du evaluerer en fil.
- Klik på fanen Beskyttelse i konsollen.
- Klik på en trussel under Beskyttelse for at få flere oplysninger.
- Cylance Score: En score på 1 (begrænset) -100 (høj) tildeles af Cylance baseret på trusselattributter.
- Sat i karantæne af brugere i [Lejer]: Hvilke registrerede handlinger brugere har udført i miljøet (lejer).
- I karantæne af alle Cylance-brugere: Hvilke handlinger på filen er blevet taget af brugere inden for alle Cylance miljøer.
- Klassifikation: Generel identifikation af fil (trussel).
- Først fundet: Da filen første gang blev fundet i miljøet
- Sidst fundet: Hvornår filen sidst blev fundet i miljøet
- Global karantæne: Føjer en fil til den globale karantæneliste for miljøet. Hver gang filen vises på en enhed, sættes den automatisk i karantæne i
\qmappe. - Sikker: Føjer en fil til listen over sikre miljøer for et miljø. Hvis en fil aktuelt er sat i karantæne, placeres den automatisk tilbage på sin oprindelige placering.
- SHA256: Den 256 kryptografiske hash, der bruges til at identificere filen (trussel). En administrator kan klikke på hashværdien for at foretage en Google-søgning efter kendte forekomster.
- MD5: Den 128 kryptografiske hash, der bruges til at identificere filen (trussel). En administrator kan klikke på hashværdien for at foretage en Google-søgning efter kendte forekomster.
- Download fil: Giver en administrator mulighed for at downloade filen til yderligere evaluering og test.
- Cylance Score: En score på 1 (begrænset) -100 (høj) tildeles af Cylance baseret på trusselattributter.
- AV-branchen: Afgør, om tredjeparts antivirusprogrammer identificerer filen som en trussel, ved at kontrollere virustotal.com indekset.
- Søg på Google: Søger på Google efter hashes og filnavn for at få flere oplysninger om filen (trussel).
Liste over sikre filer
Der kan være filer, der fejlagtigt identificeres som trusler i miljøet. Administratorer kan føje dem til listen over globale sikkerhedsforanstaltninger for at forhindre, at de sættes i karantæne. Alle filer, der sættes i karantæne, før de er på listen over sikre filer, vender tilbage til deres oprindelige placering.
Følgende trin dækker, hvordan du sikkert angiver en fil.
- Klik på fanen Beskyttelse i konsollen.
- Markér truslen på listen Sikker under Beskyttelse, og klik derefter på Sikker.
- Fra pop op-vinduet Handlingsbekræftelse skal du vælge en filkategori i rullemenuen. Dette hjælper med filklassificering (trussel).
- Udfyld en Årsag til at føje truslen til listen over sikre filer. Dette giver overblik over miljøet.
- Klik på Ja for at bekræfte, at filen er beskyttet.
Bemærk:
- Tidligere elementer på listen over sikre produkter kan til enhver tid gennemses og ændres i afsnittet Indstillinger og derefter Global liste i Dell Threat Defense-konsollen.
- Filer kan være sikre på globalt, politik- eller enhedsniveau. I vores eksempel er det sikkert opført på globalt plan.
Filer, der er sat i karantæne globalt
En administrator kan proaktivt sætte en fil i karantæne for at målrette deres enheder ved at føje den til listen over filer i global karantæne.
Følgende trinvise instruktioner beskriver, hvordan du globalt sætter en fil i karantæne.
- Klik på fanen Beskyttelse i konsollen.
- Markér truslen under Beskyttelse for at være sikker på listen, og klik derefter på Global karantæne.
- I prompten Handlingsbekræftelse skal du angive årsagen til karantænen. Dette hjælper med at give synlighed for andre administratorer og zoneadministratorer.
- Klik på Ja for at bekræfte global karantæne.
Bemærk:
- Tidligere karantæneelementer kan til enhver tid gennemses og ændres i afsnittet Global liste over indstillinger> i Dell Threat Defense-konsollen.
- Filer kan være sikre på globalt niveau eller enhedsniveau. Eksemplet er sat i karantæne på globalt plan.
Zoner
Zoner bruges til at oprette beholdere, der er ansvarlige for administrationen og organiseringen af enheder. Du finder flere oplysninger i Sådan administrerer du zoner i Dell Threat Defense.
Enheder
Afsnittet Enheder bruges til at tilføje, administrere og rapportere om enheder (agenter) i et miljø ved hjælp af Dell Threat Defense. De mest almindelige handlinger i dette afsnit er Download af installationsprogram, Hentning af et installations-token, Aktivering af detaljeret logføring og Fjernelse af en enhed. Klik på det relevante trin for at få flere oplysninger.
Download af installationsprogram
Installationsprogrammet til Dell Threat Defense er tilgængeligt direkte i Tenant. Du finder flere oplysninger om, hvordan du downloader Dell Threat Defense under Sådan downloader du Dell Threat Defense.
Hent installations-token
For at installere Dell Threat Defense på en enhed skal der indhentes et gyldigt installationstoken fra lejeren. Du finder flere oplysninger om, hvordan du henter et installations-token under Sådan henter du et installations-token til Dell Threat Defense.
Aktiver detaljeret logføring
Som standard indeholder enheder begrænset logføring for Dell Threat Defense. Det anbefales på det kraftigste at aktivere detaljeret logføring på en enhed, før du foretager fejlfinding eller kontakter Dell Data Security ProSupport. Du kan få flere oplysninger i Telefonnumre til Dell Data Security International Support. Du kan finde flere oplysninger om, hvordan du aktiverer detaljeret logføring, under Sådan aktiverer du detaljeret logføring i Dell Threat Defense.
Fjern enhed
Enheder fjernes ikke automatisk fra Dell Threat Defense-konsollen under en afinstallation. En administrator skal manuelt fjerne enheden fra Tenant-konsollen. Du kan finde flere oplysninger i Sådan fjerner du en enhed fra Dell Threat Defense Administrationskonsollen.
Rapporter
Rapporterne indeholder oversigts- og detaljerapporter for at give oversigter og detaljer, der er relateret til enheder og trusler i en organisation.
Rapporterer viser trusler på en hændelsesbaseret måde. En hændelse er en individuel forekomst af en trussel. Hvis en bestemt fil (specifik hash) f.eks. er placeret på tre forskellige mappeplaceringer på den samme enhed, er antallet af trusselshændelser lig med 3. Andre områder i konsollen, som f.eks. siden Trusselsbeskyttelse, kan vise antallet af trusler for en bestemt fil baseret på antallet af enheder, som filen blev fundet på, uanset hvor mange forekomster af filen der findes på en given enhed. For eksempel, hvis en bestemt fil (specifik hash) er placeret i tre forskellige mappeplaceringer på den samme enhed, er trusselstallet lig med 1.
Rapporteringsdata opdateres ca. hvert tredje minut. Klik på Oversigt over trusselsforsvar, Oversigt over trusselshændelser, Enhedsoversigt, Trusselhændelser eller Enheder for at få flere oplysninger.
Oversigt over Threat Defense
Indeholder et overordnet overblik over en organisations brug af Dell Threat Defense, fra antallet af zoner og enheder, til den procentdel af enheder, der er dækket af automatisk karantæne, trusselshændelser, agentversioner og antal dage, enheder har været offline.
- Zoner: Viser antallet af zoner i organisationen.
- Enheder: Viser antallet af enheder i organisationen. En enhed er et slutpunkt med en registreret Threat Defense-agent.
- Politikker: Viser antallet af politikker, der er oprettet i organisationen.
- Analyserede filer: Viser antallet af filer, der analyseres i organisationen (på tværs af alle enheder i organisationen).
- Trusselshændelser: Viser et søjlediagram med usikre, unormale og karantæneramte trusselshændelser, grupperet efter dag, for de sidste 30 dage. Hvis du holder markøren over en søjle i diagrammet, vises det samlede antal trusselshændelser, der rapporteres den pågældende dag.
- Trusler grupperes efter datoen Rapporteret på , som er det tidspunkt, hvor konsollen modtog oplysninger fra enheden om en trussel. Datoen for Rapporteret den kan afvige fra den faktiske hændelsesdato, hvis enheden ikke var online på tidspunktet for hændelsen.
- Enheder – Dell Threat Defense-agentversioner: Viser et søjlediagram, der repræsenterer antallet af enheder, der kører en Threat Defense Agent-version. Når du peger på en søjle i diagrammet, vises det antal enheder, der kører den specifikke Threat Defense-agentversion.
- Offlinedage: Viser antallet af enheder, der har været offline i et interval af dage (fra 0-15 dage op til 61+ dage). Viser også et søjlediagram farvekodet med hvert interval af dage.
- Enheder – Dell Threat Defense-agentversioner: Viser et søjlediagram, der repræsenterer antallet af enheder, der kører en Threat Defense Agent-version. Når du peger på en søjle i diagrammet, vises det antal enheder, der kører den specifikke Threat Defense-agentversion.
Oversigt over trusselshændelser
Threat Event Summary Report viser mængden af filer, der er identificeret i to af Cylances trusselsklassifikationer: malware og potentielt uønskede programmer (PUP'er) og inkluderer en opdeling i specifikke underkategoriklassifikationer for hver familie. Derudover viser Top 10-listerne Filejere og Enheder med trusler antallet af trusselshændelser for malware-, PUP- og Dual Use-trusselsfamilier.
- Samlede malwarehændelser: Viser det samlede antal malwarehændelser, der er identificeret i organisationen.
- Samlet antal PUP-hændelser: Viser det samlede antal PUP-hændelser, der er identificeret i organisationen.
- Usikre/unormale malwarehændelser: Viser det samlede antal usikre og unormale malwarehændelser, der findes i organisationen.
- Usikre/unormale PUP-hændelser: Viser det samlede antal usikre og unormale PUP-hændelser, der findes i organisationen.
- Malware Event Klassifikationer: Viser et søjlediagram med hver malwareklassifikation for trusselshændelser, der findes på enheder i organisationen. Hvis du holder markøren over en bjælke i diagrammet, vises det samlede antal malwarehændelser, der findes for den pågældende klassifikation.
- PUP-begivenhedsklassifikationer: Viser et søjlediagram med hver type PUP-klassificering for trusselshændelser, der findes på enheder i organisationen. Hvis du holder markøren over en søjle i diagrammet, vises det samlede antal PUP-hændelser, der findes for den pågældende klassificering.
- Top 10 filejere med flest trusselhændelser: Viser en liste over de 10 bedste filejere, der har flest trusselshændelser. Denne widget viser begivenheder fra alle Cylance-filbaserede trusselfamilier, ikke kun malware- eller PUP-hændelser.
- Top 10 enheder med flest trusselshændelser: Viser en liste over de 10 bedste enheder med flest trusselshændelser. Denne widget viser begivenheder fra alle Cylance-filbaserede trusselfamilier, ikke kun malware- eller PUP-hændelser.
Overblik over enheder
Rapporten Overblik over enheder viser flere enhedscentrerede mål af betydning. Automatisk karantænedækning afslører dækning af trusselsforebyggelse og kan bruges til at vise status. Enheder - Threat Defense Versionsstatistik kan identificere ældre Threat Defense-agenter. Offlinedage kan indikere enheder, der ikke længere tjekker ind i Threat Defense Console og er kandidater til fjernelse.
- Samlet antal enheder: Viser det samlede antal enheder i organisationen. En enhed er et slutpunkt med en registreret Threat Defense-agent.
- Dækning af automatisk karantæne: Viser antallet af enheder med en politik, hvor både Usikker og Unormal er valgt til Automatisk karantæne. Disse enheder betragtes som aktiveret. Deaktiverede enheder tildeles en politik, der har den ene eller begge disse indstillinger deaktiveret. Cirkeldiagrammet viser procentdelen af enheder, der er tildelt en politik med Automatisk karantæne deaktiveret for Usikker, Unormal eller begge dele.
- Enheder – Dell Threat Defense-agentversioner: Viser et søjlediagram, der repræsenterer antallet af enheder, der kører en Threat Defense Agent-version. Når du peger på en søjle i diagrammet, vises det antal enheder, der kører den specifikke Threat Defense-agentversion.
- Offlinedage: Viser antallet af enheder, der har været offline i et interval af dage (fra 0-15 dage op til 61+ dage). Viser også et søjlediagram farvekodet med hvert interval af dage.
Trusselshændelser
Rapporten Trusselshændelser indeholder data om trusselshændelser, der findes i organisationen. Trusler grupperes efter datoen Rapporteret på , som er det tidspunkt, hvor konsollen modtog oplysninger fra enheden om en trussel. Datoen for Rapporteret den kan afvige fra den faktiske hændelsesdato, hvis enheden ikke var online på tidspunktet for hændelsen.
- # af trusselshændelser: Viser et søjlediagram, der viser trusselshændelser, der er rapporteret i organisationen. Hvis du holder markøren over en søjle i diagrammet, vises det samlede antal trusselshændelser, der rapporteres den pågældende dag. Søjlediagrammet viser de sidste 30 dage.
- Tabel over trusselshændelser: Viser oplysninger om trusselshændelser.
Enheder
Enhedsrapporten viser dig, hvor mange enheder du har til en operativsystemfamilie (Windows og macOS).
- # af enheder af OS: Viser et søjlediagram med enheder, der er organiseret efter større operativsystemgrupper (Windows og macOS). Hvis du holder markøren over en søjle i diagrammet, vises det samlede antal enheder i den pågældende operativsystemgruppe.
- Tabel over enheder: Viser en liste over enhedsnavne og enhedsoplysninger for enheder i organisationen.
Indstillinger
Afsnittet Indstillinger bruges til at administrere enhedspolitikker, konsoladgang, konfiguration af opdateringer og oprettelse af auditeringsrapporter. De mest almindelige handlinger i dette afsnit er Tilføjelse af en adgangskode til afinstallation, Tilføjelse af konsolbrugere, Tilføjelse af enhedspolitik, Oprettelse af rapporter og Konfiguration af opdateringer. Klik på det relevante trin for at få flere oplysninger.
Tilføj adgangskode for afinstallation
Som et ekstra sikkerhedslag kan en Dell Threat Defense-administrator tvinge Threat Defense-enheder til at kræve en adgangskode for at afinstallere programmet. Du kan finde flere oplysninger i Sådan tilføjer eller fjerner du en afinstallationsadgangskode i Dell Threat Defense.
Tilføj konsolbrugere
Den grundlæggende konfiguration har kun den første køber angivet som administrator af Dell Threat Defense-konsollen. Du finder flere oplysninger under Sådan føjer du brugere til Dell Threat Defense-administrationskonsollen.
Tilføj enhedspolitik
Enhedspolitikker er afgørende for funktionaliteten i Dell Threat Defense. Basiskonfigurationen har avancerede funktioner til forebyggelse af trusler deaktiveret i standardpolitikken. Det er vigtigt at ændre standardpolitikken eller oprette en ny politik, før du implementerer Threat Defense. Du finder flere oplysninger under Sådan ændrer du politikker i Dell Threat Defense.
Oprettelse af rapporter
Dell Threat Defense-konsollen indeholder en metode til at generere en rapport om status for trusler i et miljø. Du finder flere oplysninger under Sådan opretter du rapporter i Dell Threat Defense.
Konfiguration af opdateringer
Basiskonfigurationen for Dell Threat Defense-konsollen opdaterer automatisk enheder til det nyeste build. En Threat Defense-administrator kan eventuelt udrulle builds til test- og pilotzoner før produktion. Du kan finde flere oplysninger i Sådan konfigurerer du opdateringer i Dell Threat Defense.
For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.