Como as ameaças são gerenciadas no Dell Endpoint Security Suite Enterprise
Summary: Como as ameaças são gerenciadas pelo Dell Endpoint Security Suite Enterprise.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Nota:
- Em maio de 2022, o Dell Endpoint Security Suite Enterprise deixou de receber manutenção. Este artigo não é mais atualizado pela Dell. Para obter mais informações, consulte a Política de ciclo de vida útil do produto (fim do suporte/fim da vida útil) do Dell Data Security. Se você tiver alguma dúvida sobre artigos alternativos, entre em contato com sua equipe de vendas ou envie um e-mail para endpointsecurity@dell.com.
- Consulte Segurança de endpoints para obter mais informações sobre os produtos atuais.
Produtos afetados:
- Dell Endpoint Security Suite Enterprise
O componente Advanced Threat Protection Client do Dell Endpoint Security Suite Enterprise usa três fases na redução de ameaças:
- Detecção: Como uma ameaça é localizada.
- Análise: Como um arquivo é identificado como uma ameaça.
- Correção: Como as ameaças são tratadas
Nota:
- Este artigo destina-se a uma visão geral alta sobre o processo de redução de ameaças.
- Se o modelo local for atualizado com uma atualização de cliente ATP, uma detecção de ameaças em segundo plano será iniciada para o Dell Endpoint Security Suite Enterprise e poderá ocorrer uma nova pontuação de todas as ameaças. Para obter mais informações, consulte Atualizações para o método de detecção do Dell Endpoint Security Suite Enterprise Advanced Threat Protection.
Cause
Não aplicável
Resolution
Figura 1: (Somente em inglês) Fase de detecção
Hash de arquivo: Inicialmente, o client do Advanced Threat Protection verifica se a soma de verificação do arquivo (conhecida como hash) foi identificada anteriormente como uma ameaça. O hash pode ser definido como:
- Lista segura o arquivo
- Colocar o arquivo em quarentena
Se um hash não estiver disponível, o Advanced Threat Protection detectará ameaças por meio de:
- Controle de execução: Arquivos iniciados (executar)
- Varredura de processos: Processos em execução e configurados para inicialização automática
- Proteção de memória: Dados na memória
- Detecção de ameaças em segundo plano: O Advanced Threat Protection é executado em segundo plano e verifica tudo.
Se uma ameaça for detectada, o Advanced Threat Protection será movido para a fase de análise.
Figura 2: (Somente em inglês) Fase de análise
Depois que uma ameaça é detectada, o Advanced Threat Protection classifica:
Se uma ameaça foi encontrada durante a fase de detecção, uma pontuação de ameaça local é atribuída.
Se o endpoint estiver conectado eon-line, o valor de hash da ameaça será enviado para a nuvem. Se a pontuação de ameaça na nuvem for diferente da pontuação de ameaça local, a pontuação de ameaça na nuvem será retransportada para o endpoint e a pontuação de ameaças na nuvem substituirá a pontuação de ameaça local.
Nota: As pontuações globais de ameaças são escolhidas acima do local, pois refletem as informações mais atualizadas sobre o arquivo. Se a política de upload automático estiver ativada e o hash da ameaça for desconhecido na nuvem, a ameaça será carregada para o tenant da Cylance.
Se a política de upload automático estiver ativada, a ameaça será carregada para o tenant da Cylance.
Depois que uma pontuação de ameaça é atribuída, os dados recebem um atributo inseguro ou anormal e, em seguida, o Advanced Threat Protection passa para a fase de remediação.
Figura 3: (Somente em inglês) Fase de remediação
Depois que uma pontuação e uma classificação de ameaça forem atribuídas, o Advanced Threat Protection determinará:
A ameaça deve ser listada com segurança? Em caso afirmativa, o hash de arquivo é adicionado ao endpoint e nenhuma outra ação é tomada no arquivo.
Se a ameaça não estiver listada com segurança, o Advanced Threat Protection verificará se a política quarentena automática está ativada. Se a quarentena automática estiver ativada, a ameaça será colocada em quarentena.
Se a quarentena automática não estiver habilitada, uma verificação será feita para determinar se o arquivo foi configurado manualmente para quarentena pelo administrador do DDP. Se a ameaça for definida para quarentena, o hash do arquivo será adicionado ao banco de dados local do endpoint e, em seguida, o arquivo será colocado em quarentena.
Se a ameaça não for listada com segurança ou colocada em quarentena, um alerta será enviado ao console para visibilidade e possível ação da administração do DDP.
Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.
Affected Products
Dell Endpoint Security Suite EnterpriseArticle Properties
Article Number: 000126777
Article Type: Solution
Last Modified: 14 Nov 2023
Version: 9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.