Cómo se administran las amenazas en Dell Endpoint Security Suite Enterprise
Summary: Cómo administran las amenazas Dell Endpoint Security Suite Enterprise.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Nota:
- Desde mayo de 2022, Dell Endpoint Security Suite Enterprise alcanzó el final de su período de mantenimiento. Dell ya no actualiza este artículo. Para obtener más información, consulte la Política de ciclo de vida del producto (fin del soporte/fin de la vida útil) para Dell Data Security. Si tiene preguntas sobre artículos alternativos, comuníquese con el equipo de ventas o al correo endpointsecurity@dell.com.
- Consulte Endpoint Security para obtener información adicional acerca de los productos actuales.
Productos afectados:
- Dell Endpoint Security Suite Enterprise
El componente Advanced Threat Protection Client de Dell Endpoint Security Suite Enterprise utiliza tres fases en la mitigación de amenazas:
- Detección: La forma en que se localiza una amenaza.
- Análisis: La forma en que se identifica un archivo como una amenaza.
- Corrección: Cómo se manejan las amenazas
Nota:
- Este artículo se diseñó como una descripción general del proceso de mitigación de amenazas.
- Si el modelo local se actualiza con una actualización de cliente ATP, se inicia una detección de amenazas en segundo plano para Dell Endpoint Security Suite Enterprise y puede producirse un nuevo puntaje de todas las amenazas. Para obtener más información, consulte Actualizaciones al método de detección de Dell Endpoint Security Suite Enterprise Advanced Threat Protection.
Cause
No corresponde
Resolution
Figura 1: (Solo en inglés) Fase de detección
Hash de archivo: El cliente Advanced Threat Protection comprueba inicialmente si la suma de comprobación de archivos (conocida como hash) se identificó anteriormente como una amenaza. El hash se puede configurar en:
- Incluya el archivo en la lista de seguridad
- Poner el archivo en cuarentena
Si un hash no está disponible, Advanced Threat Protection detecta las amenazas mediante:
- Control de ejecución: Archivos iniciados (ejecutar)
- Análisis del proceso: Procesos en ejecución y configurados para el inicio automático
- Protección de memoria: Datos en la memoria
- Detección de amenazas en segundo plano: Advanced Threat Protection se ejecuta en segundo plano y escanea todo.
Si se detecta una amenaza, Advanced Threat Protection pasa a la fase de análisis.
Figura 2: (Solo en inglés) Fase de análisis
Una vez que se detecta una amenaza, Advanced Threat Protection clasifica lo siguiente:
Si se encontró una amenaza durante la fase de detección, se asigna un puntaje de amenaza local.
Si el extremo está conectado y en línea, el valor hash de la amenaza se envía a la nube. Si el puntaje de amenaza de la nube difiere del puntaje de amenaza local, el puntaje de amenaza de la nube se transmite al terminal y el puntaje de amenaza de la nube sobrescribe el puntaje de amenaza local.
Nota: Los puntajes de amenazas globales se eligen sobre local, ya que reflejan la información más actualizada sobre el archivo. Si la política de carga automática está habilitada y el hash de la amenaza es desconocido para la nube, la amenaza se carga en el grupo de usuarios de Cylance.
Si la política de carga automática está habilitada, la amenaza se carga en el grupo de usuarios de Cylance.
Una vez que se asigna un puntaje de amenaza, los datos reciben un atributo no seguro o anómalo y, a continuación, Advanced Threat Protection pasa a la fase de corrección.
Figura 3: (Solo en inglés) Fase de corrección
Una vez que se ha asignado un puntaje y una clasificación de amenaza, Advanced Threat Protection determina lo siguiente:
¿Debe aparecer la amenaza en la lista de seguridad? Si es así, el hash de archivo se agrega al terminal y no se realiza ninguna otra acción en el archivo.
Si la amenaza no aparece en la lista de seguridad, Advanced Threat Protection comprueba si la política En cuarentena automática está activada. Si la cuarentena automática está activada, la amenaza estará en cuarentena.
Si la cuarentena automática no está habilitada, se realiza una comprobación para determinar si el administrador de DDP configuró manualmente el archivo en cuarentena . Si la amenaza está configurada para cuarentena, el hash de archivo se agrega a la base de datos local del extremo y, a continuación, el archivo se pone en cuarentena.
Si la amenaza no aparece en la lista de seguridad ni está en cuarentena, se envía una alerta a la consola para la visibilidad de la administración de DDP y la posible acción.
Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.
Affected Products
Dell Endpoint Security Suite EnterpriseArticle Properties
Article Number: 000126777
Article Type: Solution
Last Modified: 14 Nov 2023
Version: 9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.