Article Number: 000124588
Dell Threat Defense utilise des stratégies pour :
Produits concernés :
Dell Threat Defense
Sans objet.
Cliquez sur Stratégies recommandées ou Définitions des stratégies pour plus d’informations.
Nous recommandons de configurer les stratégies Mode apprentissage ou en Mode protection. Dell préconise d’utiliser le Mode apprentissage pour tester Dell Threat Defense dans un environnement. Cela est plus efficace lorsque Dell Threat Defense est déployé sur des points de terminaison disposant de l’image de l’entreprise standard.
Des modifications supplémentaires peuvent être nécessaires pour les serveurs d’applications, car elles sont plus élevées que les E/S de disque normales.
Une fois que toutes les alertes ont été corrigées dans la console d’administration Dell Threat Defense par l’administrateur, Dell vous recommande de passer aux recommandations de la stratégie en Mode protection. Dell vous recommande d’effectuer un certain nombre de tests en Mode apprentissage avant de passer les stratégies en Mode protection.
Cliquez sur Recommandations relatives aux serveurs d’applications, Mode apprentissage ou Mode protection pour plus d’informations.
Que ce soit en Mode apprentissage et en Mode protection, les serveurs d’applications peuvent voir des comportements supplémentaires et différents vis-à-vis des systèmes d’exploitation des clients. La mise en quarantaine automatique (AQT) a bloqué, dans de rares cas, l’exécution de certains fichiers nécessaire au calcul du score. Cela se produit lorsqu’une application détecte le verrouillage des fichiers en cas de falsification, ou qu’un processus peut échouer dans le cadre d’une période attendue.
La fonction « Watch For New Files », lorsqu’elle est activée, peut ralentir les opérations système. Lors de la génération d’un nouveau fichier, celui-ci est analysé. Bien que ce processus soit léger, un volume élevé de fichiers simultanés peut avoir un impact sur les performances.
Modifications de stratégies suggérées pour les systèmes d’exploitation de Windows Server :
Avec ces recommandations, il est généralement préconisé de faire en sorte que les appareils exécutant les systèmes d’exploitation de serveur soient séparés en « zones ». Pour plus d’informations sur la génération de zones, consultez Gestion des zones dans Dell Threat Defense
| Politique | Paramètre recommandé |
|---|---|
| Actions de fichier | |
| Mise en quarantaine automatique avec contrôle d’exécution des fichiers dangereux | Désactivé |
| Mise en quarantaine automatique avec contrôle d’exécution des fichiers anormaux | Désactivé |
| Activer la suppression automatique pour les fichiers mis en quarantaine | Désactivé |
| Téléchargement automatique | Activé |
| Liste de sécurité de la stratégie | Dépendant de l’environnement |
| Paramètres de protection | |
| Empêcher l’arrêt du service à partir de l’appareil | Désactivé |
| Arrêter les processus dangereux en cours d’exécution et leurs sous-processus | Désactivé |
| Détection des menaces en arrière-plan | Désactivé |
| Exécuter une fois/exécuter une opération récurrente | N/A lorsque la protection contre les menaces en arrière-plan est définie sur Désactivée |
| Rechercher les nouveaux fichiers | Désactivé |
| Copier les exemples de fichiers | Dépendant de l’environnement |
| Paramètres de l’agent | |
| Activer le téléchargement automatique des journaux | Dépendant de l’environnement |
| Activer les notifications de bureau | Dépendant de l’environnement |
| Contrôle des scripts | |
| Contrôle des scripts | Activé |
| Active Script 1370 ou versions antérieures et PowerShell | Alerte |
| Active Script 1380 et versions ultérieures | Alerte |
| Powershell 1380 et versions ultérieures | Alerte |
| Bloquer l’utilisation de la console PowerShell | N/A lorsque PowerShell est défini sur Alerte |
| Macros 1380 et supérieures | Alerte |
| Désactiver le contrôle de script d’Active Script | Désactivé |
| Désactiver le contrôle de script de Powershell | Désactivé |
| Désactiver le contrôle des scripts de macros | Désactivé |
| Exclusions de dossiers (y compris les sous-dossiers) | Dépendant de l’environnement |
| Politique | Paramètre recommandé |
|---|---|
| Actions de fichier | |
| Mise en quarantaine automatique avec contrôle d’exécution des fichiers dangereux | Activé |
| Mise en quarantaine automatique avec contrôle d’exécution des fichiers anormaux | Activé |
| Activer la suppression automatique pour les fichiers mis en quarantaine | Dépendant de l’environnement |
| Téléchargement automatique | Dépendant de l’environnement |
| Liste de sécurité de la stratégie | Dépendant de l’environnement |
| Paramètres de protection | |
| Empêcher l’arrêt du service à partir de l’appareil | Activé |
| Arrêter les processus dangereux en cours d’exécution et leurs sous-processus | Activé |
| Détection des menaces en arrière-plan | Activé |
| Exécuter une fois/exécuter une opération récurrente | Exécuter une fois |
| Rechercher les nouveaux fichiers | Activé |
| Copier les exemples de fichiers | Dépendant de l’environnement |
| Paramètres de l’agent | |
| Activer le téléchargement automatique des journaux | Dépendant de l’environnement |
| Activer les notifications de bureau | Dépendant de l’environnement |
| Contrôle des scripts | |
| Contrôle des scripts | Activé |
| Active Script 1370 ou versions antérieures et PowerShell | Bloqué |
| Active Script 1380 et versions ultérieures | Bloqué |
| Powershell 1380 et versions ultérieures | Bloqué |
| Bloquer l’utilisation de la console PowerShell | Bloqué |
| Macros 1380 et supérieures | Bloqué |
| Désactiver le contrôle de script d’Active Script | Désactivé |
| Désactiver le contrôle de script de Powershell | Désactivé |
| Désactiver le contrôle des scripts de macros | Désactivé |
| Exclusions de dossiers (y compris les sous-dossiers) | Dépendant de l’environnement |
Cette stratégie détermine ce qui se passe pour les fichiers qui sont détectés au fur et à mesure qu’ils sont exécutés. Par défaut, même lorsqu’un fichier dangereux est détecté comme étant en cours d’exécution, la menace est bloquée. Un fichier dangereux est caractérisé par un score cumulatif pour l’exécutable portable qui dépasse 60 dans le système de notation d’Advanced Threat Prevention en fonction des indicateurs de menace évalués.
Cette stratégie détermine ce qui se passe pour les fichiers qui sont détectés au fur et à mesure qu’ils sont exécutés. Par défaut, même lorsqu’un fichier anormal est détecté comme étant en cours d’exécution, la menace est bloquée. Un fichier anormal est caractérisé par un score cumulatif pour l’exécutable portable entre 0 et 60 dans le système de notation d’Advanced Threat Prevention en fonction des indicateurs de menace évalués.
Lorsque les fichiers dangereux ou anormaux sont mis en quarantaine au niveau de l’appareil, des listes de quarantaine globales ou des stratégies de mise en quarantaine automatique, ils sont conservés dans un cache de quarantaine en sandbox local sur l’appareil local. Lorsque l’option Enable auto-delete for quarantined files pour les fichiers mis en quarantaine est activée, elle indique la durée de conservation (minimum de 14 jours, maximum de 365 jours) du fichier sur l’appareil local avant suppression définitive. Lorsque cette option est activée, il est possible de modifier le nombre de jours.
Marque les menaces qui n’ont pas été détectées par l’environnement de logiciel en tant que service de Threat Defense pour une analyse plus approfondie. Lorsqu’un fichier est marqué comme menace potentielle par le modèle local, un hachage SHA256 est capturé du fichier exécutable portable, et est envoyé au logiciel en tant que service. Si le hachage SHA256 qui a été envoyé ne peut pas être mis en correspondance avec une menace, et si le téléchargement automatique est activé, cela permet un téléchargement sécurisé de la menace pour l’évaluation. Ces données sont stockées de manière sécurisée et ne sont pas accessibles par Dell ou ses partenaires.
La liste de sécurité des stratégies est une liste de fichiers qui ont été jugés sûrs dans l’environnement et qui ont été exonérés manuellement en soumettant leur hachage SHA256 et toutes les informations supplémentaires. Lorsqu’un hachage SHA256 est placé dans cette liste, lorsque le fichier est exécuté, il n’est pas évalué par les modèles de menace locale ou Cloud. Il s’agit des chemins d’accès aux fichiers « absolus ».
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Lorsque l’option Kill unsafe running processes and their sub processes est activée, cela permet de déterminer si une menace génère des processus enfants ou si l’application a retiré d’autres processus qui sont en cours d’exécution dans la mémoire. S’il y a de bonnes raisons de croire qu’un processus a été retiré par une menace, la menace principale et tous les processus qu’il a générés ou actuellement détenus sont immédiatement résiliés.
Lorsque l’option Background Threat Detection est activée, l’ensemble de l’appareil est analysé à la recherche d’exécutables portables, puis les fichiers exécutables sont évalués avec le modèle de menace local. Une confirmation est ensuite demandée pour le score du fichier exécutable avec le logiciel en tant que service basé sur le Cloud en fonction des indicateurs de menace du fichier exécutable. Deux options sont possibles avec la détection des menaces en arrière-plan : Exécuter une fois et exécuter une opération récurrente. L’option Run Once effectue une analyse en arrière-plan de tous les disques physiques qui sont connectés au système au moment où Threat Defense est installé et activé. L’option Run Recurring permet d’effectuer une analyse en arrière-plan de tous les appareils connectés à l’appareil, à la suite de l’installation et de l’activation de Threat Defense, et de répéter l’analyse tous les neuf jours (non configurable).
Lorsque l’option Watch for New Files est activée, tout fichier exécutable portable introduit dans le système est immédiatement évalué avec les indicateurs de menace qui s’affichent à l’aide du modèle local, et ce score est confirmé par rapport au logiciel SaaS hébergé dans le Cloud.
L’option Copy File Samples permet à toutes les menaces qui sont détectées sur l’appareil d’être automatiquement mises en dépôt dans un référentiel défini en fonction du chemin d’accès UNC. Cela est recommandé uniquement pour la recherche de menaces internes ou pour conserver un référentiel sécurisé des menaces réunies au sein de l’environnement. Tous les fichiers qui sont stockés par l’option Copy File Samples sont compressés avec le mot de passe infected.
L’option Activer le téléchargement automatique des journaux permet aux points de terminaison de télécharger leurs journaux pour Dell Threat Defense tous les soirs à minuit, ou lorsque le fichier atteint 100 Mo. Les journaux sont téléchargés la nuit, quelle que soit la taille du fichier. Tous les journaux transférés sont compressés avant de sortir du réseau.
L’option Activer les notifications de bureau permet aux utilisateurs d’autoriser des invites sur leur appareil si un fichier est marqué comme anormal ou dangereux. Cette option est disponible dans le menu contextuel de l’icône de la barre d’état système Dell Threat Defense sur les points de terminaison pour lesquels cette stratégie est activée.
Le contrôle des scripts fonctionne à l’aide d’une solution basée sur des filtres de mémoire pour identifier les scripts qui s’exécutent sur l’appareil et pour les bloquer si la stratégie est définie sur Block pour ce script de fichier. Les paramètres d’alerte de ces stratégies ne notent que les scripts qui auraient été bloqués dans les journaux et sur la console Dell Threat Defense.
Ces stratégies s’appliquent aux clients antérieurs à la version 1370, qui étaient disponibles avant juin 2016. Seuls les scripts basés sur Active Script et sur PowerShell sont traités avec ces versions.
Ces stratégies’appliquent aux clients de versions ultérieures à la version 1370, disponibles après juin 2016.
Les scripts Active Script comprennent tous ceux qui sont interprétés par l’hôte de script Windows, notamment JavaScript, VBScript, les fichiers batch et bien d’autres.
Les scripts PowerShell comprennent n’importe quel script multiligne exécuté en tant que commande unique. (Paramètre par défaut - Alert)
Dans PowerShell v3 (introduit dans Windows 8.1) et versions supérieures, la plupart des scripts PowerShell sont exécutés sous forme de commande à une seule ligne. Bien qu’ils puissent contenir plusieurs lignes, ils sont exécutés dans l’ordre. Cela peut contourner l’interpréteur de script PowerShell. Bloquer la console PowerShell permet de contourner ce problème en désactivant la possibilité de lancer une application à partir de la console PowerShell. L’environnement de script intégré (ISE) n’est pas affecté par cette stratégie.
Le paramètre Macro interprète les macros qui sont présentes dans les documents Office et les fichiers PDF et bloque les macros malveillantes susceptibles de tenter de télécharger des menaces.
Ces stratégies désactivent entièrement la capacité à alerter sur le type de script défini au sein de chaque stratégie. Lorsque cette option est désactivée, aucune consignation n’est collectée et aucune tentative de détection ou de blocage des menaces potentielles n’est effectuée.
Lorsqu’elle est sélectionnée, cette option empêche la collecte des journaux et bloque toutes les menaces basées sur PowerShell. Les scripts Active Script comprennent tous ceux qui sont interprétés par l’hôte de script Windows, notamment JavaScript, VBScript, les fichiers batch et bien d’autres.
Lorsqu’elle est sélectionnée, cette option empêche la collecte des journaux et bloque toutes les menaces basées sur PowerShell. Les scripts PowerShell comprennent n’importe quel script multiligne exécuté en tant que commande unique.
Lorsqu’elle est sélectionnée, cette option empêche la collecte des journaux et bloque toutes les menaces basées sur des macros. Le paramètre Macro interprète les macros qui sont présentes dans les documents Office et les fichiers PDF et bloque les macros malveillantes susceptibles de tenter de télécharger des menaces.
Les exclusions de dossiers permettent de définir les dossiers exclus dans lesquels des scripts peuvent être exécutés. Cette section demande les exclusions dans un format de chemin relatif.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs correspond à \folder\test\script.vbs ou \folder\exclude\script.vbs, mais ne fonctionne pas pour \folder\test\001\script.vbs. Cela nécessite soit /folder/*/001/script.vbs soit /folder/*/*/script.vbs./folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationCorrect (Mac) : /Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows) : \Cases\ScriptsAllowed
Incorrect : C:\Application\SubFolder\application.vbs
Incorrect : \Program Files\Dell\application.vbs
Exemples de caractères génériques :
/users/*/temp couvre les cas suivants :
\users\john\temp\users\jane\temp/program files*/app/script*.vbs couvre les cas suivants :
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsPour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.
Dell Threat Defense
20 Dec 2022
11
Solution