Article Number: 000124588
Dell Threat Defense utilizza le policy per:
Prodotti interessati:
Dell Threat Defense
Non applicabile.
Per ulteriori informazioni, cliccare su Policy consigliate o Definizioni delle policy.
Si consiglia di configurare le policy nella modalità di apprendimento o nella modalità di protezione. La modalità di apprendimento è quella consigliata da Dell per testare Dell Threat Defense in un ambiente. Risulta molto più efficace quando Dell Threat Defense è implementato sugli endpoint con l'immagine aziendale standard.
Potrebbero essere necessarie ulteriori modifiche per i server applicazioni, a causa di un I/O su disco superiore al normale.
Dopo che l'amministratore ha gestito tutti gli avvisi nella console di amministrazione di Threat Defense Dell, Dell consiglia di passare alle raccomandazioni per le policy nella modalità di protezione. Dell consiglia di svolgere test nella modalità di apprendimento per almeno un paio di settimane prima di passare alle policy della modalità di protezione.
Per ulteriori informazioni, cliccare su Raccomandazioni per i server applicazioni, Modalità di apprendimento o Modalità di protezione.
In entrambe le modalità, di apprendimento e protezione, i server applicazioni possono mostrare un overhead più elevato e un comportamento dissimile dai sistemi operativi client. La quarantena automatica (AQT), in rari casi, ha impedito l'esecuzione di alcuni file finché non è stato possibile calcolare un punteggio. Questo comportamento viene riscontrato quando un'applicazione rileva il blocco dei file come una manomissione oppure quando un processo potrebbe non essere completato correttamente nell'intervallo di tempo previsto.
L'opzione "Watch For New Files", se abilitata, potrebbe rallentare le operazioni del sistema. I nuovi file generati vengono analizzati. Sebbene questo processo sia leggero, l'elevato volume di file elaborati contemporaneamente può incidere sulle prestazioni.
Modifiche delle policy consigliate per i sistemi operativi Windows Server:
Con queste raccomandazioni, si consiglia in genere di contenere i dispositivi che eseguono sistemi operativi server all'interno di zone separate. Per informazioni sulla generazione di zone, consultare Come gestire le zone in Dell Threat Defense.
| Policy | Impostazione consigliata |
|---|---|
| Azioni file | |
| Quarantena automatica con controllo delle esecuzioni per file non sicuri | Disabilitati |
| Quarantena automatica con controllo delle esecuzioni per file anomali | Disabilitati |
| Abilita eliminazione automatica per i file in quarantena | Disabilitati |
| Caricamento automatico | Enabled |
| Elenco file sicuri | Dipendente dall'ambiente |
| Impostazioni di protezione | |
| Impedisci arresto del servizio dal dispositivo | Disabilitati |
| Termina i processi non sicuri in esecuzione e i relativi sottoprocessi | Disabilitati |
| Rilevamento delle minacce in background | Disabilitati |
| Esegui una volta/Esegui più volte | N/D quando l'opzione Protezione dalle minacce in background è impostata su Disabilitato |
| Controlla nuovi file | Disabilitati |
| Copia file campione | Dipendente dall'ambiente |
| Impostazioni agent | |
| Abilita caricamento automatico dei file di registro | Dipendente dall'ambiente |
| Abilita notifica desktop | Dipendente dall'ambiente |
| Controllo mediante script | |
| Controllo mediante script | Enabled |
| 1370 and below - Active Script e PowerShell | Avviso |
| 1380 e superiori - Script attivo | Avviso |
| 1380 and above - PowerShell | Avviso |
| Block PowerShell Console Usage | N/D se PowerShell è impostato su Alert |
| 1380 e superiori - Macro | Avviso |
| Disabilita controllo mediante script - Script attivo | Disabilitati |
| Disable Script Control PowerShell | Disabilitati |
| Disabilita controllo mediante script - Macro | Disabilitati |
| Esclusioni cartelle (include le sottocartelle) | Dipendente dall'ambiente |
| Policy | Impostazione consigliata |
|---|---|
| Azioni file | |
| Quarantena automatica con controllo delle esecuzioni per file non sicuri | Enabled |
| Quarantena automatica con controllo delle esecuzioni per file anomali | Enabled |
| Abilita eliminazione automatica per i file in quarantena | Dipendente dall'ambiente |
| Caricamento automatico | Dipendente dall'ambiente |
| Elenco file sicuri | Dipendente dall'ambiente |
| Impostazioni di protezione | |
| Impedisci arresto del servizio dal dispositivo | Enabled |
| Termina i processi non sicuri in esecuzione e i relativi sottoprocessi | Enabled |
| Rilevamento delle minacce in background | Enabled |
| Esegui una volta/Esegui più volte | Esegui una volta |
| Controlla nuovi file | Enabled |
| Copia file campione | Dipendente dall'ambiente |
| Impostazioni agent | |
| Abilita caricamento automatico dei file di registro | Dipendente dall'ambiente |
| Abilita notifica desktop | Dipendente dall'ambiente |
| Controllo mediante script | |
| Controllo mediante script | Enabled |
| 1370 and below - Active Script e PowerShell | Blocco |
| 1380 e superiori - Script attivo | Blocco |
| 1380 and above - PowerShell | Blocco |
| Block PowerShell Console Usage | Blocco |
| 1380 e superiori - Macro | Blocco |
| Disabilita controllo mediante script - Script attivo | Disabilitati |
| Disable Script Control PowerShell | Disabilitati |
| Disabilita controllo mediante script - Macro | Disabilitati |
| Esclusioni cartelle (include le sottocartelle) | Dipendente dall'ambiente |
Questa policy stabilisce che cosa accade ai file rilevati durante l'esecuzione. Per impostazione predefinita la minaccia viene bloccata anche se un file non sicuro è rilevato come in esecuzione. La classificazione di file non sicuro è caratterizzata da un punteggio cumulativo per l'eseguibile portatile che supera 60 nel sistema di punteggio di Advanced Threat Prevention in base agli indicatori di minaccia che sono stati valutati.
Questa policy stabilisce che cosa accade ai file rilevati durante l'esecuzione. Per impostazione predefinita la minaccia viene bloccata anche se un file anomalo è rilevato come in esecuzione. La classificazione di file anomalo è caratterizzata da un punteggio cumulativo per l'eseguibile portatile che supera 0 ma è inferiore a 60 nel sistema di punteggio di Advanced Threat Prevention in base agli indicatori di minaccia che sono stati valutati.
Quando i file non sicuri o anomali vengono messi in quarantena in base alle quarantene a livello di dispositivo, agli elenchi di quarantena globale o alle policy di quarantena automatica, vengono conservati all'interno di una cache di quarantena locale in modalità sandbox sul dispositivo locale. Quando l'opzione Enable auto-delete for quarantined files è abilitata, indica il numero di giorni (minimo 14 giorni, massimo di 365 giorni) di conservazione del file sul dispositivo locale prima della sua eliminazione definitiva. Quando questa opzione è abilitata, è possibile modificare il numero di giorni.
Contrassegna per ulteriori analisi le minacce che non sono state rilevate dall'ambiente SaaS (Software-as-a-Service) Threat Defense. Quando un file viene contrassegnato come potenziale minaccia dal modello locale, un hash SHA256 dell'eseguibile portatile viene estratto e inviato a SaaS. Se l'hash SHA256 inviato non può essere abbinato a una minaccia e se il caricamento automatico è abilitato, è possibile effettuare un caricamento sicuro della minaccia in SaaS per la valutazione. Questi dati vengono archiviati in modo sicuro e non sono accessibili da Dell o dai suoi partner.
Elenco file sicuri è un elenco dei file di cui è stata determinata la sicurezza all'interno dell'ambiente e che sono stati ignorati manualmente inviando il loro hash SHA256 ed eventuali informazioni aggiuntive in questo elenco. Se un hash SHA256 viene inserito all'interno di questo elenco, durante l'esecuzione del file non viene valutato dai modelli di minaccia locale o cloud. Questi percorsi file sono "assoluti".
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
L'opzione Kill unsafe running processes and their sub processes, se abilitata, stabilisce se una minaccia sta generando processi figlio o se l'applicazione ha assunto il comando di altri processi attualmente in esecuzione nella memoria. Se si ritiene che un processo sia stato acquisito da una minaccia, la minaccia principale e gli eventuali processi che ha generato o che attualmente possiede vengono immediatamente terminati.
L'opzione Background Threat Detection, se abilitata, esegue la scansione dell'intero dispositivo per individuare eventuali eseguibili portatili, quindi li valuta con il modello di minaccia locale e richiede la conferma del punteggio degli eseguibili con SaaS basato su cloud in base agli indicatori di minaccia degli eseguibili. Sono possibili due opzioni con Background Threat Detection: Run Once e Run Recurring. Run Once esegue una scansione in background di tutte le unità fisiche connesse al dispositivo nel momento in cui viene installato e attivato Threat Defense. Run Recurring esegue una scansione in background di tutti i dispositivi connessi al dispositivo nel momento in cui viene installato e attivato Threat Defense; la scansione viene ripetuta ogni nove giorni (non configurabile).
Se l'opzione Watch for New Files è abilitata, qualsiasi eseguibile portatile introdotto nel dispositivo viene immediatamente valutato con gli indicatori di minaccia da lui esposti tramite il modello locale; il punteggio viene confermato con SaaS in hosting sul cloud.
Copy File Samples consente di depositare automaticamente qualsiasi minaccia rilevata sul dispositivo in un repository definito in base al percorso UNC. Questa scelta è consigliata solo per la ricerca interna sulle minacce o per conservare un repository sicuro di minacce in pacchetti all'interno dell'ambiente. Tutti i file archiviati da Copy File Samples vengono compressi con la password infected.
Enable Auto-Upload of log files consente agli endpoint di eseguire l'upload dei relativi file di registro per Dell Threat Defense ogni sera a mezzanotte oppure quando il file raggiunge una dimensione di 100 MB. I registri vengono sottoposti ad upload ogni notte indipendentemente dalla dimensione del file. Tutti i registri trasferiti vengono compressi prima dell'uscita dalla rete.
Enable Desktop Notification permette agli utenti dei dispositivi di consentire la visualizzazione di prompt sul loro dispositivo se un file viene contrassegnato come anomalo o non sicuro. Questa opzione è presente nel menu di scelta rapida dell'icona Dell Threat Defense nell'area di notifica sugli endpoint in cui è abilitata questa policy.
Script Control opera tramite una soluzione basata su filtri di memoria per identificare gli script in esecuzione sul dispositivo e vietarli se la policy per quel tipo di script è impostata su Block. Le impostazioni di avviso in queste policy segnalano gli script bloccati solo all'interno dei registri e nella console di Dell Threat Defense.
Queste policy riguardano i client precedenti alla versione 1370, disponibili prima di giugno 2016. In queste versioni le azioni vengono eseguite solo sugli script attivi e sugli script basati su PowerShell.
Queste policy riguardano i client successivi alla versione 1370, disponibili dopo giugno 2016.
Gli script attivi includono tutti gli script interpretati da Windows Scripting Host, tra cui JavaScript, VBScript, file batch e molti altri ancora.
Gli script PowerShell includono tutti gli script di più righe eseguiti come un comando singolo (impostazione predefinita - Alert).
In PowerShell v3 (introdotto in Windows 8.1) e versioni successive, la maggior parte degli script PowerShell viene eseguita come comando a riga singola; qualora contengano più righe, vengono eseguiti in ordine. In questo modo è possibile bypassare l'interprete di script di PowerShell. Block PowerShell console risolve questo problema impedendo a qualsiasi applicazione di avviare la console PowerShell. L'ambiente di scripting integrato (ISE, Integrated Scripting Environment) non è influenzato da questa policy.
L'impostazione Macro interpreta le macro presenti all'interno di documenti Office e PDF e blocca le macro malevole che potrebbero tentare di scaricare minacce.
Queste policy disabilitano completamente la possibilità di inviare avvisi per il tipo di script definito all'interno di ciascuna policy. Se l'opzione è disabilitata, non viene effettuata alcuna registrazione e non vengono effettuati tentativi di rilevare o bloccare le potenziali minacce.
Quando l'opzione è selezionata, impedisce la raccolta dei registri e blocca le potenziali minacce basate su script attivi. Gli script attivi includono tutti gli script interpretati da Windows Scripting Host, tra cui JavaScript, VBScript, file batch e molti altri ancora.
Quando l'opzione è selezionata, impedisce la raccolta dei registri e blocca le potenziali minacce basate su PowerShell. Gli script PowerShell includono tutti gli script di più righe eseguiti come un comando singolo
Quando l'opzione è selezionata, impedisce la raccolta dei registri e blocca le potenziali minacce basate su macro. L'impostazione Macro interpreta le macro presenti all'interno di documenti Office e PDF e blocca le macro malevole che potrebbero tentare di scaricare minacce.
Esclusioni cartelle consente di definire le cartelle in cui possono essere eseguiti gli script e che possono quindi essere escluse. Questa sezione richiede di specificare le esclusioni in un formato con percorso relativo.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs corrisponde a \folder\test\script.vbs o \folder\exclude\script.vbs, ma non a \folder\test\001\script.vbs. Quest'ultimo richiede /folder/*/001/script.vbs o /folder/*/*/script.vbs./folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationCorretto (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Corretto (Windows): \Cases\ScriptsAllowed
Errato: C:\Application\SubFolder\application.vbs
Errato: \Program Files\Dell\application.vbs
Esempi con carattere jolly:
/users/*/temp copre:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs copre:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsPer contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.
Dell Threat Defense
20 Dec 2022
11
Solution