如何在 Dell Endpoint Security Suite Enterprise 中管理威胁

Summary: Dell Endpoint Security Suite Enterprise 如何管理威胁。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

提醒:

受影响的产品:

  • Dell Endpoint Security Suite Enterprise

Dell Endpoint Security Suite Enterprise 的 Advance Threat Protection Client 组件在威胁缓解方面使用三个阶段:

  • 检测:如何找到威胁。
  • 分析:如何将文件确定为威胁。
  • 补救措施:如何处理威胁
提醒:

Cause

不适用

Resolution

检测阶段
图 1:(仅限英文)检测阶段

文件哈希:Advanced Threat Protection 客户端最初检查文件校验和(称为哈希)以前是否被标识为威胁。哈希可以设置为:

  • 将文件列入安全列表
  • 隔离文件

如果哈希不可用,则 Advanced Threat Protection 通过以下方式检测威胁:

  • 执行控制:启动(运行)文件
  • 进程扫描:运行并配置用于自动启动的进程
  • 内存保护:内存中的数据
  • 后台威胁检测:Advanced Threat Protection 在后台运行并扫描所有内容。

如果检测到威胁,则 Advanced Threat Protection 将进入 分析阶段

分析阶段
图 2:(仅限英文)分析阶段

检测到威胁后,Advanced Threat Protection 会对以下内容进行分类:

如果在检测阶段发现威胁,则 会分配本地威胁评分。

如果端点 已连接联机,则威胁的哈希值将发送到云。如果云威胁评分与本地威胁评分不同,则云威胁评分将传递到端点,而云威胁评分会覆盖本地威胁评分。

提醒:全局威胁评分选择在本地之上,因为它反映有关文件的最新信息。如果启用了自动上传策略,并且云中的威胁哈希未知,则威胁将上传到 Cylance 租户。

如果启用了自动上传策略,则 威胁将上传到 Cylance 租户

分配威胁分数后,数据将获得 不安全或异常属性 ,然后 Advanced Threat Protection 进入 补救阶段

补救阶段
图 3:(仅限英文)补救阶段

分配威胁评分和分类后,高级威胁防护将确定:

是否应安全列出威胁?如果是这样, 文件哈希将添加到端点 ,并且不会对文件采取进一步操作。

如果威胁未安全列出,则 Advanced Threat Protection 会检查是否已启用自动隔离策略。如果 启用了自动隔离,则威胁将被隔离。

如果未启用自动隔离,则执行检查以确定文件是否已被 DDP 管理员 手动设置为隔离 。如果将威胁设置为隔离,则 文件哈希将添加到端点的本地数据库,然后将文件隔离。

如果威胁未安全列出或隔离,则会将警报发送到控制台以获得 DDP 管理可见性和潜在操作。

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126777
Article Type: Solution
Last Modified: 14 Nov 2023
Version:  9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.