Article Number: 000124588
Dell Threat Defense käyttää käytäntöjä:
Tuotteet, joita asia koskee:
Dell Threat Defense
Ei sovellettavissa
Katso lisätietoja valitsemalla Suositellut käytännöt tai Käytäntöjen määritelmät.
Käytännöt on suositeltavaa määrittää Oppimistilassa tai Suojaustilassa. Dell suosittelee testaamaan Dell Threat Defensen toimintaa ympäristössä Oppimistilan avulla. Tämä on tehokkainta, kun Dell Threat Defense otetaan käyttöön päätepisteissä tavallisesta yrityslevykuvasta.
Sovelluspalvelimissa voi olla tarpeellista tehdä muutoksia levyjen tavallista suuremman tiedonsiirron vuoksi.
Kun järjestelmänvalvoja on käsitellyt kaikki hälytykset Dell Threat Defense -hallintakonsolissa, Dell suosittelee vaihtamaan Suojaustilan suositeltuihin käytäntöihin. Dell suosittelee testaamaan tuotetta Oppimistilassa vähintään parin viikon ajan ennen vaihtamista Suojaustilan käytäntöihin.
Katso lisätietoja valitsemalla Sovelluspalvelimen suositukset, Oppimistila tai Suojaustila.
Sekä Oppimistilassa että Suojaustilassa toimivat sovelluspalvelimet voivat kuormittua enemmän ja käyttäytyä eri tavalla kuin työasemien käyttöjärjestelmät. Automaattinen karanteeni -toiminto on joissain harvinaisissa tapauksissa estänyt joidenkin tiedostojen suorittamisen, ennen kuin niille on laskettu arvosana. Ongelma ilmenee, kun sovellus havaitsee tiedostojen lukitsemisen peukaloinniksi tai jos prosessi ei onnistu odotetussa ajassa.
Jos Tarkista uudet tiedostot -toiminto on käytössä, laitteen toiminta saattaa hidastua. Kun uusi tiedosto luodaan, se analysoidaan. Vaikka prosessi on kevyt, suuri määrä tiedostoja yhdellä kerralla voi vaikuttaa suorituskykyyn.
Suositellut käytäntömuutokset Windows Server -käyttöjärjestelmissä:
Näiden suositusten yhteydessä suositellaan yleensä myös erillisille vyöhykkeille laitteita, joissa palvelinkäyttöjärjestelmiä käytetään. Lisätietoja vyöhykkeiden luomisesta on Dell Threat Defensen vyöhykkeiden hallinnassa.
| Käytäntö | Suositeltu asetus |
|---|---|
| Tiedostotoiminnot | |
| Automaattinen karanteeni ja Suorittamisen hallinta vaarallisille tiedostoille | Disabled |
| Automaattinen karanteeni ja Suorittamisen hallinta poikkeaville tiedostoille | Disabled |
| Ota käyttöön automaattinen poisto karanteenissa oleville tiedostoille | Disabled |
| Automaattinen lähetys | Käytössä |
| Käytännön turvallisiksi merkityt tiedostot | Riippuu ympäristöstä |
| Suojausasetukset | |
| Estä palvelun pysäytys laitteesta | Disabled |
| Pysäytä vaaralliset käynnissä olevat prosessit ja niiden aliprosessit | Disabled |
| Uhkien taustatarkistus | Disabled |
| Suorita kerran / Suorita toistuvasti | Ei käytettävissä, kun Uhkien taustatarkistus on poistettu käytöstä |
| Tarkista uudet tiedostot | Disabled |
| Kopioi tiedostonäytteet | Riippuu ympäristöstä |
| Sovelluksen asetukset | |
| Ota käyttöön lokitiedostojen automaattinen lähetys | Riippuu ympäristöstä |
| Ota käyttöön työpöytäilmoitukset | Riippuu ympäristöstä |
| Komentosarjojen hallinta | |
| Komentosarjojen hallinta | Käytössä |
| Version 1370 tai vanhempien aktiiviset ja PowerShell-komentosarjat | Hälytys |
| Version 1380 tai uudempien aktiiviset komentosarjat | Hälytys |
| Version 1380 tai uudempien PowerShell-komentosarjat | Hälytys |
| Estä PowerShell-konsolin käyttö | Ei käytettävissä, kun PowerShell on määritetty hälyttämään |
| Version 1380 tai uudempien makrot | Hälytys |
| Poista käytöstä komentosarjojen hallinnan aktiiviset komentosarjat | Disabled |
| Poista käytöstä komentosarjojen hallinnan PowerShell-komentosarjat | Disabled |
| Poista käytöstä komentosarjojen hallinnan makrot | Disabled |
| Kansiopoikkeukset (sisältää alikansiot) | Riippuu ympäristöstä |
| Käytäntö | Suositeltu asetus |
|---|---|
| Tiedostotoiminnot | |
| Automaattinen karanteeni ja Suorittamisen hallinta vaarallisille tiedostoille | Käytössä |
| Automaattinen karanteeni ja Suorittamisen hallinta poikkeaville tiedostoille | Käytössä |
| Ota käyttöön automaattinen poisto karanteenissa oleville tiedostoille | Riippuu ympäristöstä |
| Automaattinen lähetys | Riippuu ympäristöstä |
| Käytännön turvallisiksi merkityt tiedostot | Riippuu ympäristöstä |
| Suojausasetukset | |
| Estä palvelun pysäytys laitteesta | Käytössä |
| Pysäytä vaaralliset käynnissä olevat prosessit ja niiden aliprosessit | Käytössä |
| Uhkien taustatarkistus | Käytössä |
| Suorita kerran / Suorita toistuvasti | Suorita kerran |
| Tarkista uudet tiedostot | Käytössä |
| Kopioi tiedostonäytteet | Riippuu ympäristöstä |
| Sovelluksen asetukset | |
| Ota käyttöön lokitiedostojen automaattinen lähetys | Riippuu ympäristöstä |
| Ota käyttöön työpöytäilmoitukset | Riippuu ympäristöstä |
| Komentosarjojen hallinta | |
| Komentosarjojen hallinta | Käytössä |
| Version 1370 tai vanhempien aktiiviset ja PowerShell-komentosarjat | Lohko |
| Version 1380 tai uudempien aktiiviset komentosarjat | Lohko |
| Version 1380 tai uudempien PowerShell-komentosarjat | Lohko |
| Estä PowerShell-konsolin käyttö | Lohko |
| Version 1380 tai uudempien makrot | Lohko |
| Poista käytöstä komentosarjojen hallinnan aktiiviset komentosarjat | Disabled |
| Poista käytöstä komentosarjojen hallinnan PowerShell-komentosarjat | Disabled |
| Poista käytöstä komentosarjojen hallinnan makrot | Disabled |
| Kansiopoikkeukset (sisältää alikansiot) | Riippuu ympäristöstä |
Tämä käytäntö määrittää, mitä tapahtuu tiedostoille, jotka havaitaan niiden suorittamisen aikana. Uhka on oletusarvoisesti estetty, vaikka vaarallinen tiedosto olisi jo käynnissä. Vaaralliseksi lasketaan suoritettavat tiedostot, joiden arvosana Advanced Threat Preventionin arvioimiin uhkaindikaattoreihin perustuvassa arvosanajärjestelmässä on yli 60.
Tämä käytäntö määrittää, mitä tapahtuu tiedostoille, jotka havaitaan niiden suorittamisen aikana. Uhka on oletusarvoisesti estetty, vaikka poikkeava tiedosto olisi jo käynnissä. Poikkeaville on merkitty suoritettavat tiedostot, joiden arvosana Advanced Threat Preventionin arvioimiin uhkaindikaattoreihin perustuvassa arvosanajärjestelmässä on enintään 0, mutta ei yli 60.
Kun vaaralliset tai poikkeavat tiedostot asetetaan karanteeniin laitetason karanteenien, yleisten karanteenilistojen tai automaattisen karanteenikäytännön perusteella, niitä säilytetään paikallisessa ja eristetyssä karanteenivälimuistissa paikallisessa laitteessa. Kun Enable auto-delete for quarantined files (Ota käyttöön automaattinen poisto karanteenissa oleville tiedostoille) on käytössä, se määrittää vuorokausien määrän (vähintään 14 päivää, enintään 365 päivää), jonka ajan tiedostoa säilytetään paikallisessa laitteessa ennen pysyvää poistoa. Kun tämä on käytössä, voit muuttaa päivien määrää.
Merkitsee uhat, joita Threat Defensen SaaS (Software as a Service) -ympäristö ei ole aiemmin havainnut, jotta niitä voidaan analysoida lisää. Kun paikallinen malli merkitsee tiedoston mahdolliseksi uhaksi, suoritettavasta tiedostosta otetaan SHA256-hajautusarvo, joka lähetetään SaaS-ympäristöön. Jos lähetettyä SHA256-hajautusarvoa ei voida yhdistää uhkaan ja Automaattinen lähetys on käytössä, uhka voidaan lähettää turvallisesti SaaS-ympäristöön arvioitavaksi. Tietoja säilytetään turvallisesti ja Dell tai sen kumppanit eivät voi käyttää niitä.
Käytännön turvallisiksi merkityt tiedostot on luettelo tiedostoista, jotka on merkitty ympäristössä turvallisiksi ja jotka on hyväksytty manuaalisesti lisäämällä luetteloon niiden SHA256-hajautusarvo sekä mahdolliset lisätiedot. Kun sha256-hajautusarvo lasketaan luetteloon ja tiedosto suoritetaan, paikalliset tai pilvipalveluuhkamallit eivät arvioi sitä. Tiedostopolut ovat absoluuttisia.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Kun Pysäytä vaaralliset käynnissä olevat prosessit ja niiden aliprosessit on otettu käyttöön, se määrittää, luoko uhka aliprosesseja vai onko sovellus ottanut haltuunsa muita muistissa käynnissä olevia prosesseja. Jos uhan uskotaan poistaneen prosessin haltuunsa, ensisijainen uhka ja sen luomat tai omistamat prosessit lopetetaan välittömästi.
Kun Uhkien taustatarkistus on käytössä, se tarkistaa koko laitteen suoritettavat tiedostot ja arvioi sen paikallisen uhkamallin avulla ja pyytää pilvipohjaisen SaaS-version vahvistusta suoritettavan tiedoston uhkaindikaattorien avulla. Uhkien taustatarkistus on mahdollinen kahdella tavalla: Suorita kerran / Suorita toistuvasti. Suorita kerran -toiminto tekee taustatarkistukseen kaikki laitteeseen liitetyt fyysiset asemat heti, kun Threat Defense asennetaan ja aktivoidaan. Suorita toistuvasti -toiminto tekee taustatarkistuksen kaikille laitteeseen liitetyille laitteille heti, kun Threat Defense asennetaan ja aktivoidaan, ja toistaa tarkistuksen yhdeksän päivän välein (ei määritettävissä).
Kun Tarkista uudet tiedostot -toiminto on käytössä, laitteeseen lisätyt suoritettavat tiedostot arvioidaan heti paikallisen mallin uhkaindikaattorien avulla, ja pilvipohjainen SaaS vahvistaa arvosanan.
Kopioi tiedostonäytteet -toiminto tuo laitteesta löytyneet uhat automaattisesti unc-polun mukaiseen määritettyyn säilöön. Tätä suositellaan vain sisäiseen uhkien tutkimiseen tai turvallisen säilön luomiseen ympäristön pakatuista uhista. Kaikki Kopioi tiedostonäytteet -toiminnon tallentamat tiedostot on pakattu zip-tiedostoihin, joiden salasana infectedon .
Ota käyttöön lokitiedostojen automaattinen lähetys -toiminto lähettää päätepisteiden lokitiedostot Dell Threat Defenseen päivittäin keskiyöllä tai kun tiedoston koko ylittää 100 Mt. Lokit ladataan tiedostokoosta riippumatta päivittäin. Kaikki lokit pakataan ennen niiden poistumista verkosta.
Ota käyttöön työpöytäilmoitukset -toiminto lähettää laitteiden käyttäjille ilmoituksia, kun jokin tiedosto merkitään poikkeavaksi tai vaaralliseksi. Jos käytäntö on otettu käyttöön päätepisteessä, sen voi valita napsauttamalla hiiren kakkospainikkeella Dell Threat Defensen ilmaisinalueen kuvaketta.
Komentosarjojen hallinta tunnistaa muistisuodattimella laitteessa käynnissä olevia komentosarjoja ja estää ne, jos käytäntö on määritetty estämään kyseisellä komentosarjatyypillä. Näiden käytäntöjen Hälytysasetuksissa huomioida ainoastaan komentosarjat, jotka olisi estetty lokeissa ja Dell Threat Defense -konsolissa.
Nämä käytännöt koskevat 1370-versiota ja vanhempia, jotka olivat käytettävissä ennen kesäkuuta 2016. Näissä versioissa käytetään vain aktiivisia komentosarjoja ja PowerShell-pohjaisia komentosarjoja.
Nämä käytännöt koskevat 1370-version jälkeisiä versioita, jotka tulivat käyttöön kesäkuussa 2016.
Aktiiviset komentosarjat sisältävät minkä tahansa Windows Script Hostin käyttämän komentosarjan, kuten JavaScriptin, VBScriptin ja komentojonotiedostot.
PowerShell-komentosarjoihin sisältyy mikä tahansa monirivinen komentosarja, joka suoritetaan yhtenä komentona. (Oletusasetus : Alert (Hälytys)
PowerShell 3:ssa (otettu käyttöön Windows 8.1:ssä) ja uudemmissa versioissa useimmat PowerShell-komentosarjat suoritetaan yksirivisinä komentoina. vaikka niissä saattaa olla useita rivejä, ne suoritetaan järjestyksessä. Tämän seurauksena PowerShell-komentosarjojen tulkitsija voi ohittaa ne. Estä PowerShell-konsolin käyttö -toiminto ratkaisee ongelman estämällä sovelluksia käynnistämästä PowerShell-konsolia. Käytäntö ei vaikuta ISE (Integrated Scripting Environment) -ympäristöön.
Makrot-asetus tulkitsee Office-asiakirjoissa ja PDF-tiedostoissa olevia makroja ja estää haitalliset makrot, jotka voivat yrittää ladata uhkia.
Nämä käytännöt estävät jopa pelkät hälytykset kussakin käytännössä määritetyistä komentosarjatyypeistä. Kun käytännöt on poistettu käytöstä, lokeja ei kerätä ja mahdollisia uhkia ei yritetä havaita tai estää.
Kun käytäntö on valittu, lokeja ei kerätä ja aktiiviseen komentosarjaan perustuvia uhkia ei estetä. Aktiiviset komentosarjat sisältävät minkä tahansa Windows Script Hostin käyttämän komentosarjan, kuten JavaScriptin, VBScriptin ja komentojonotiedostot.
Kun käytäntö on valittu, lokeja ei kerätä ja PowerShell-pohjaisia uhkia ei estetä. PowerShell-komentosarjoihin sisältyy mikä tahansa monirivinen komentosarja, joka suoritetaan yhtenä komentona.
Kun käytäntö on valittu, lokeja ei kerätä ja makropohjaisia uhkia ei estetä. Makrot-asetus tulkitsee Office-asiakirjoissa ja PDF-tiedostoissa olevia makroja ja estää haitalliset makrot, jotka voivat yrittää ladata uhkia.
Kansiopoikkeuksilla voi määrittää kansioita, joiden komentosarjoja saa poikkeuksellisesti suorittaa. Poikkeukset on määritettävä käyttämällä suhteellista tiedostopolkua.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs\folder\test\script.vbs kuormia \folder\test\001\script.vbstai \folder\exclude\script.vbs ei toimi. Se edellyttää joko /folder/*/001/script.vbs tai /folder/*/*/script.vbs./folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationOikein (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Oikein (Windows): \Cases\ScriptsAllowed
Virheellinen: C:\Application\SubFolder\application.vbs
Virheellinen: \Program Files\Dell\application.vbs
Esimerkkejä yleismerkeistä:
/users/*/temp kattaa seuraavat:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs kattaa seuraavat:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsJos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.
Dell Threat Defense
20 Dec 2022
11
Solution