Article Number: 000124588
Software Dell Threat Defense využívá zásady k:
Dotčené produkty:
Dell Threat Defense
Není relevantní.
Další informace získáte kliknutím na odkaz Doporučené zásady nebo Definice zásad.
Zásady doporučujeme nastavit v režimu učení či v režimu ochrany. Společnost Dell doporučuje testovat software Dell Threat Defense v prostředí pomocí režimu učení. Ten je nejúčinnější, pokud je software Dell Threat Defense nasazen na koncové body pomocí standardní bitové kopie společnosti.
U aplikačních serverů mohou být vyžadovány další změny, jelikož zatížení I/O disku je vyšší než je běžné.
Jakmile správce vyřeší veškeré výstrahy v konzoli pro správu Dell Threat Defense, společnost Dell doporučuje přejít na doporučení zásad v režimu ochrany. Společnost Dell doporučuje před přepnutím na zásady režimu ochrany alespoň několik týdnů testovat v režimu učení.
Další informace získáte po kliknutí na odkaz Doporučení pro aplikační server, Režim učení nebo Režim ochrany.
V režimech učení a ochrany mohou aplikační servery v operačních systémech klienta zaznamenat vyšší zátěž a odlišné chování. Automatická karanténa (AQT) ve vzácných případech brání spuštění některých souborů, dokud není možné vypočítat skóre. K tomu dochází, když aplikace detekuje uzamčení souborů jako neoprávněnou manipulaci nebo když se proces nepodaří úspěšně dokončit v očekávaném časovém rámci.
Pokud je povolena funkce „Watch For New Files“, může dojít ke zpomalení operací zařízení. Po vytvoření bude nový soubor analyzován. I když se jedná o nenáročný proces, velký objem souborů najednou může mít vliv na výkon.
Doporučené změny zásad pro operační systémy Windows Server:
Společně s těmito doporučeními je obvykle doporučováno, aby zařízení se serverovými operačními systémy běžela v oddělených zónách. Další informace o vytváření zón naleznete v článku Jak spravovat zóny v softwaru Dell Threat Defense.
| Zásada | Doporučené nastavení |
|---|---|
| File Actions | |
| Auto Quarantine with Execution Control for Unsafe | Disabled |
| Auto Quarantine with Execution Control for Abnormal | Disabled |
| Enable auto-delete for quarantined files | Disabled |
| Auto-Upload | Enabled |
| Policy Safe List | Závisí na prostředí |
| Protection Settings | |
| Prevent Service Shutdown from Device | Disabled |
| Kill unsafe running processes and their sub processes | Disabled |
| Background Threat Detection | Disabled |
| Run Once/Run Recurring | Není k dispozici, pokud je možnost Background Threat Protection nastavena na hodnotu Disabled |
| Watch for New Files | Disabled |
| Copy File Samples | Závisí na prostředí |
| Agent Settings | |
| Enable Auto-Upload of log files | Závisí na prostředí |
| Enable Desktop Notification | Závisí na prostředí |
| Script Control | |
| Script Control | Enabled |
| 1370 and below Active Script and PowerShell | Alert |
| 1380 and above Active Script | Alert |
| 1380 and above PowerShell | Alert |
| Block PowerShell Console Usage | Není k dispozici, když je prostředí PowerShell nastaveno na hodnotu Alert |
| 1380 and above Macros | Alert |
| Disable Script Control Active Script | Disabled |
| Disable Script Control PowerShell | Disabled |
| Disable Script Control Macros | Disabled |
| Folder Exclusions (includes subfolders) | Závisí na prostředí |
| Zásada | Doporučené nastavení |
|---|---|
| File Actions | |
| Auto Quarantine with Execution Control for Unsafe | Enabled |
| Auto Quarantine with Execution Control for Abnormal | Enabled |
| Enable auto-delete for quarantined files | Závisí na prostředí |
| Auto-Upload | Závisí na prostředí |
| Policy Safe List | Závisí na prostředí |
| Protection Settings | |
| Prevent Service Shutdown from Device | Enabled |
| Kill unsafe running processes and their sub processes | Enabled |
| Background Threat Detection | Enabled |
| Run Once/Run Recurring | Run Once |
| Watch for New Files | Enabled |
| Copy File Samples | Závisí na prostředí |
| Agent Settings | |
| Enable Auto-Upload of log files | Závisí na prostředí |
| Enable Desktop Notification | Závisí na prostředí |
| Script Control | |
| Script Control | Enabled |
| 1370 and below Active Script and PowerShell | Block |
| 1380 and above Active Script | Block |
| 1380 and above PowerShell | Block |
| Block PowerShell Console Usage | Block |
| 1380 and above Macros | Block |
| Disable Script Control Active Script | Disabled |
| Disable Script Control PowerShell | Disabled |
| Disable Script Control Macros | Disabled |
| Folder Exclusions (includes subfolders) | Závisí na prostředí |
Tato zásada určuje, co se stane se soubory, které budou při spuštění detekovány. Ve výchozím nastavení je hrozba zablokována, i v případě, že je nebezpečný soubor zjištěn jako spuštěný. Nebezpečný soubor je charakterizován souhrnným skóre přenosných spustitelných souborů, které přesahuje hodnotu 60 hodnocení softwaru Advanced Threat Prevention, které vychází z ukazatelů hrozeb vyhodnocených v systému.
Tato zásada určuje, co se stane se soubory, které budou při spuštění detekovány. Ve výchozím nastavení je hrozba zablokována, i v případě, že je abnormální soubor zjištěn jako spuštěný. Abnormální soubor je charakterizován souhrnným skóre přenosných spustitelných souborů, které přesahuje hodnotu 0, ale není vyšší než 60, hodnocení softwaru Advanced Threat Prevention, které vychází z ukazatelů hrozeb vyhodnocených v systému.
Pokud jsou nebezpečné nebo abnormální soubory umístěny do karantény na základě karantén na úrovni zařízení, globálních seznamů karantén nebo zásad automatické karantény, se uloží do izolované cache v místním zařízení. Je-li povolena možnost Enable Auto-Delete for Quarantined Files, určuje počet dní (minimálně 14 dní, maximálně 365 dní), po jejichž uplynutí bude soubor uložený v místním zařízení trvale odstraněn. Je-li tato možnost povolena, budete moci změnit počet dní.
Označuje hrozby, které prostředí Threat Defense SaaS (software jako služba) nepodrobilo další analýze. Pokud je soubor označen místním modelem jako potenciální hrozba, dojde k vyjmutí hashe SHA256 z přenosného spustitelného souboru a k jeho odeslání do prostředí SaaS. Pokud nelze odeslaný hash SHA256 spojit s hrozbou a je povolena funkce Auto-Upload, software bezpečně odešle hrozbu do prostředí SaaS k vyhodnocení. Tato data jsou bezpečně uložena a společnost Dell ani její partneři k nim nemají přístup.
Seznam Policy Safe List je seznam souborů, u kterých bylo rozhodnuto, že jsou v prostředí bezpečné a byly ručně vypuštěny odesláním jejich hashe SHA256 a jakýchkoliv dalších informací do tohoto seznamu. Pokud je hash SHA256 do tohoto seznamu umístěn, nebude při spuštění souboru vyhodnocen místními ani cloudovými modely hrozeb. Jedná se o „absolutní“ cesty k souborům.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Pokud je povolena funkce Kill Unsafe Running Processes and Their Sub Processes, určí, zda hrozba generuje podřízené procesy nebo zda aplikace převzala řízení jiných procesů, které jsou aktuálně spuštěné v paměti. Pokud se funkce domnívá, že proces byl napaden hrozbou, dojde k okamžitému ukončení primární hrozby a všech procesů, které vytvořila nebo aktuálně řídí.
Pokud je povolena funkce Background Threat Detection, prohledá celé zařízení a zkontroluje, zda neobsahuje přenosné spustitelné soubory. Poté tyto spustitelné soubory vyhodnotí pomocí modelu místních hrozeb a na základě jejich ukazatelů si vyžádá potvrzení hodnocení spustitelných souborů pomocí cloudové služby SaaS. Funkce Background Threat Detection nabízí dvě možnosti: Run Once a Run Recurring. Možnost Run Once prohledá na pozadí všechny fyzické jednotky připojené k zařízení v okamžiku, kdy je nainstalovaný a aktivovaný software Threat Defense. Možnost Run Recurring prohledá na pozadí všechna zařízení připojená k zařízení v okamžiku, kdy je nainstalovaný a aktivovaný software Threat Defense, a zopakuje skenování každých devět dní (nelze nakonfigurovat).
Pokud je povolena funkce Watch for New Files, veškeré přenosné spustitelné soubory, které jsou zavedeny do zařízení se ihned vyhodnotí pomocí indikátorů hrozeb, které se zobrazují prostřednictvím místního modelu. Dané skóre se ověří pomocí prostředí SaaS hostovaného v cloudu.
Díky funkci Copy File Samples je možné automaticky odeslat všechny hrozby nalezené v zařízení do nadefinovaného úložiště na základě cesty UNC. To se doporučuje pouze pro interní výzkum hrozeb nebo pro bezpečné uložení zabalených hrozeb v prostředí. Všechny soubory uložené pomocí funkce Copy File Samples budou komprimovány do balíčku s heslem infected.
Díky funkci Enable Auto-Upload of log files mohou koncové body odesílat soubory protokolu softwaru Dell Threat Defense každý den o půlnoci nebo když velikost souboru dosáhne 100 MB. Protokoly se odesílají každou noc bez ohledu na velikost souboru. Všechny přenesené protokoly se před výstupem ze sítě zkomprimují.
Díky povolení funkce Enable Desktop Notification mohou uživatelé zařízení povolit zobrazení výzev v zařízení, pokud je soubor označen jako abnormální nebo nebezpečný. Jedná se o možnost v nabídce po kliknutí pravým tlačítkem na ikonu softwaru Dell Threat Defense v hlavním panelu na koncových bodech, pokud je tato zásada povolena.
Funkce Script Control využívá řešení založené na filtru paměti k identifikaci skriptů, které jsou v zařízení spuštěny, a k jejich blokování, jsou-li zásady pro tento typ skriptu nastaveny na možnost Block. Nastavení Alert v těchto zásadách se týká pouze skriptů, které by byly zablokovány v protokolech a v konzoli Dell Threat Defense.
Tyto zásady platí pro klienty s verzemi staršími než 1370, které byly k dispozici před červnem 2016. V těchto verzích se používají pouze skripty Active Scripts a PowerShell.
Tyto zásady platí pro klienty s verzemi vyššími než 1370, které byly k dispozici po červnu 2016.
Nastavení Active Script zahrnuje libovolné skripty, které jsou interpretovány modulem Windows Script Host, včetně skriptů JavaScript, VBScript, dávkových souborů a mnoha dalších.
Skripty PowerShell obsahují libovolný víceřádkový skript, který se spouští jako jeden příkaz. (Výchozí nastavení – Alert)
V prostředí PowerShell v3 (zavedeném v systému Windows 8.1) a novějších se většina skriptů prostředí PowerShell spustí jako jednořádkový příkaz. Ačkoliv mohou obsahovat více řádků, spustí se v pořadí. Tak lze obejít překladač skriptů prostředí PowerShell. Funkce Block PowerShell Console situaci řeší tak, že v konzoli PowerShell zakáže možnost spuštění libovolné aplikace. Prostředí ISE (Integrated Scripting Environment) není touto zásadou nijak ovlivněno.
Nastavení maker interpretuje makra obsažená v dokumentech sady Office a v souborech PDF a blokuje škodlivá makra která by se mohla pokusit stáhnout hrozby.
Tyto zásady zcela zakážou možnost upozornit na typ skriptu, který je definovaný v rámci jednotlivých zásad. Je-li tato funkce zakázaná, neshromažďují se žádné protokoly a není proveden žádný pokus o detekci nebo blokování potenciálních hrozeb.
Je-li tato funkce povolená, zabrání shromažďování protokolů a zablokuje potenciální hrozby založené na aktivních skriptech. Nastavení Active Script zahrnuje libovolné skripty, které jsou interpretovány modulem Windows Script Host, včetně skriptů JavaScript, VBScript, dávkových souborů a mnoha dalších.
Je-li tato funkce povolená, zabrání shromažďování protokolů a zablokuje potenciální hrozby založené na prostředí PowerShell. Skripty PowerShell obsahují libovolný víceřádkový skript, který se spouští jako jeden příkaz.
Je-li tato funkce povolená, zabrání shromažďování protokolů a zablokuje potenciální hrozby založené na makrech. Nastavení maker interpretuje makra obsažená v dokumentech sady Office a v souborech PDF a blokuje škodlivá makra která by se mohla pokusit stáhnout hrozby.
Vyloučení složek umožňuje definovat složky, ve kterých mohou být spuštěny skripty a které lze vyloučit. V této části je nutné vyloučení zadat ve formátu relativní cesty.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs odpovídá cestě \folder\test\script.vbs nebo \folder\exclude\script.vbs, ale nikoli cestě \folder\test\001\script.vbs. Ta by musela být /folder/*/001/script.vbs nebo /folder/*/*/script.vbs/folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationSprávně (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Správně (Windows): \Cases\ScriptsAllowed
Špatně: C:\Application\SubFolder\application.vbs
Špatně: \Program Files\Dell\application.vbs
Příklady zástupných znaků:
/users/*/temp by zahrnovalo:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs by zahrnovalo:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsChcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.
Dell Threat Defense
20 Dec 2022
11
Solution