Aanbevelingen voor Dell Threat Defense-policy

Het is raadzaam policy's in te stellen in de Leermodus of de Beveiligingsmodus. De leermodus wordt door Dell aangeraden om Dell Threat Defense in een omgeving te testen. Dit is het effectiefst wanneer Dell Threat Defense wordt geïmplementeerd op eindpunten met het standaardbedrijfsimage.

Er kunnen meer wijzigingen nodig zijn voor applicatieservers vanwege een hogere dan normale schijf-I/O.

Zodra alle waarschuwingen door de beheerder in de Dell Threat Defense-beheerconsole zijn afgehandeld, raadt Dell u aan over te schakelen naar de policyaanbevelingen voor de Beveiligingsmodus. Dell raadt u aan een paar weken of langer in de Leermodus te testen voordat u overschakelt naar het policy voor de Beveiligingsmodus.

Klik op Application Server Recommendations, Learning Mode of Protect Mode voor meer informatie.

Policydefinities voor bescherming tegen dreigingen:

Bestandsacties

Automatische quarantaine met uitvoeringscontrole voor onveilige bestanden

Deze policy bepaalt wat er gebeurt met bestanden die worden gedetecteerd terwijl ze worden uitgevoerd. Standaard wordt de bedreiging geblokkeerd, zelfs wanneer een onveilig bestand wordt gedetecteerd als actief. Onveilig wordt gekenmerkt door een cumulatieve score voor het draagbare uitvoerbare bestand dat hoger is dan 60 in het scoresysteem van Advanced Threat Prevention dat is gebaseerd op bedreigingsindicatoren die zijn geëvalueerd.

Automatische quarantaine met uitvoeringscontrole voor abnormale bestanden

Deze policy bepaalt wat er gebeurt met bestanden die worden gedetecteerd terwijl ze worden uitgevoerd. Standaard wordt de bedreiging geblokkeerd, zelfs wanneer een abnormaal bestand wordt gedetecteerd als actief. Abnormaal wordt gekenmerkt door een cumulatieve score voor het draagbare uitvoerbare bestand dat hoger is dan 0, maar niet hoger is dan 60 in het scoresysteem van Advanced Threat Prevention dat is gebaseerd op bedreigingsindicatoren die zijn geëvalueerd.

Automatisch verwijderen inschakelen voor bestanden in quarantaine

Wanneer onveilige of abnormale bestanden in quarantaine worden geplaatst op basis van quarantaines op apparaatniveau, globale quarantainelijsten of door automatische quarantainepolicy's, worden deze opgeslagen in een lokale quarantainecache op het lokale apparaat. Wanneer Automatisch verwijderen inschakelen voor in quarantaine geplaatste bestanden is ingeschakeld, wordt het aantal dagen (minimaal 14 dagen, maximaal 365 dagen) aangegeven om het bestand op het lokale apparaat te houden voordat u het bestand permanent verwijdert. Wanneer dit is ingeschakeld, wordt de mogelijkheid om het aantal dagen te wijzigen mogelijk.

Automatisch uploaden

Geeft bedreigingen aan die niet door de Threat Defense SaaS-omgeving (Software as a Service) zijn waargenomen voor verdere analyse. Wanneer een bestand wordt gemarkeerd als een mogelijke bedreiging door het lokale model, wordt een SHA256-hash van het draagbare uitvoerbare bestand gemaakt en dit wordt naar de SaaS verzonden. Als de SHA256-hash die is verzonden niet kan worden gekoppeld aan een bedreiging en Automatisch uploaden is ingeschakeld, kan de bedreiging veilig worden geüpload naar de SaaS voor evaluatie. Deze data worden veilig opgeslagen en zijn niet toegankelijk voor Dell of haar partners.

Veilige lijst

De Veilige lijst is een lijst met bestanden die zijn aangemerkt als veilig binnen de omgeving en die handmatig zijn goedgekeurd door hun SHA256-hash en eventuele aanvullende informatie in deze lijst te plaatsen. Wanneer een SHA256-hash in deze lijst wordt geplaatst en het bestand wordt uitgevoerd, wordt het niet geëvalueerd door de lokale of cloud bedreigingsmodellen. Dit zijn 'Absolute' bestandspaden.

Voorbeelden van uitsluitingen:

Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\

Beveiligingsinstellingen

Onveilige actieve processen en hun subprocessen beëindigen

Wanneer Onveilige actieve processen beëindigen en hun subprocessen zijn ingeschakeld, bepaalt dit of een bedreiging onderliggende processen genereert of dat de applicatie andere processen heeft overgenomen die momenteel in het geheugen worden uitgevoerd. Als er wordt aangenomen dat een proces is overgenomen door een bedreiging, worden de primaire bedreiging en alle processen die het heeft gegenereerd of die momenteel eigendom zijn, onmiddellijk beëindigd.

Detectie van bedreigingen op de achtergrond

Detectie van bedreigingen op de achtergrond scant, indien ingeschakeld, het hele apparaat op draagbare uitvoerbare bestanden en evalueert vervolgens dat uitvoerbare bestand met het lokale bedreigingsmodel en vraagt om bevestiging voor het scoren van het uitvoerbare bestand met de cloudgebaseerde SaaS op basis van de bedreigingsindicatoren van het uitvoerbare bestand. Er zijn twee opties mogelijk met Detectie van bedreigingen op de achtergrond: Voer eenmaal uit en voer terugkerend uit. Run Once voert een achtergrondscan uit van alle fysieke schijven die zijn verbonden met het apparaat op het moment dat Threat Defense is geïnstalleerd en geactiveerd. Run Recurring voert een achtergrondscan uit van alle aangesloten apparaten op het apparaat zodra Threat Defense is geïnstalleerd en geactiveerd, en herhaalt de scan elke negen dagen (niet configureerbaar).

Controleren op nieuwe bestanden

Wanneer Controleren op nieuwe bestanden is ingeschakeld, wordt elk draagbaar uitvoerbaar bestand dat op het apparaat wordt geïntroduceerd onmiddellijk geëvalueerd met de bedreigingsindicatoren die worden weergegeven met behulp van het lokale model en wordt deze score bevestigd aan de saaS die in de cloud wordt gehost.

Bestandsvoorbeelden kopiëren

Met Copy File Samples kunnen alle bedreigingen die op het apparaat worden gevonden, automatisch naar een gedefinieerde repository worden doorgestuurd op basis van het UNC-pad. Dit wordt alleen aanbevolen voor intern onderzoek naar bedreigingen of voor een veilige opslagplaats van verpakte bedreigingen binnen de omgeving. Alle bestanden die worden opgeslagen door Copy File Samples worden gezipt met een wachtwoord van infected.

Agentinstellingen

Automatisch uploaden van logbestanden inschakelen

Als u Automatisch uploaden van logboekbestanden inschakelt, kunnen eindpunten hun logboekbestanden 's nachts om 00:00 uur uploaden naar Dell Threat Defense of wanneer het bestand 100 MB bereikt. Logboeken worden elke nacht geüpload, ongeacht de bestandsgrootte. Alle logboeken die worden overgedragen, worden gecomprimeerd voordat ze het netwerk uitgaan.

Bureaubladmelding inschakelen

Met Enable Desktop Notification kunnen apparaatgebruikers prompts op hun apparaat toestaan als een bestand is gemarkeerd als abnormaal of onveilig. Dit is een optie in het snelmenu van het Dell Threat Defense-systeemvakpictogram op eindpunten waarop deze policy is ingeschakeld.

Scriptcontrole

Scriptcontrole

Scriptcontrole werkt via een geheugenfilteroplossing om scripts te identificeren die op het apparaat worden uitgevoerd en deze te voorkomen als het beleid is ingesteld op Blokkeren voor dat scripttype. Waarschuwingsinstellingen voor deze policy's noteren alleen scripts die zouden zijn geblokkeerd in logboeken en op de Dell Threat Defense console.

1370 en lager

Deze beleidsregels zijn van toepassing op clients van vóór 1370, die beschikbaar waren vóór juni 2016. Alleen actieve scripts en op PowerShell gebaseerde scripts worden met deze versies uitgevoerd.

1380 en hoger

Deze policy's zijn van toepassing op clients van ná 1370, die beschikbaar waren ná juni 2016.

Active Script

Actieve scripts bevatten elk script dat wordt geïnterpreteerd door de Windows Script Host, inclusief JavaScript, VBScript, batchbestanden en vele andere.

Powershell

PowerShell-scripts bevatten elk script met meerdere regels dat als één opdracht wordt uitgevoerd. (Standaardinstelling - Waarschuwing)

Gebruik van PowerShell-console blokkeren - (niet aanwezig wanneer PowerShell is ingesteld op Waarschuwing)

In PowerShell v3 (geïntroduceerd in Windows 8.1) en hoger worden de meeste PowerShell-scripts uitgevoerd als een opdracht met één regel; hoewel ze meerdere regels kunnen bevatten, worden ze op volgorde uitgevoerd. Dit kan de PowerShell-script-interpretator omzeilen. Block PowerShell console werkt hierom door de mogelijkheid uit te schakelen om een applicatie de PowerShell-console te laten starten. De Integrated Scripting Environment (ISE) wordt niet beïnvloed door deze policy.

Macro's

De macro-instelling interpreteert macro's die aanwezig zijn in Office-documenten en PDF's en blokkeert schadelijke macro's die kunnen proberen bedreigingen te downloaden.

Scriptcontrole uitschakelen

Met deze policy's wordt de mogelijkheid om waarschuwingen te ontvangen over het scripttype dat in elke policy is gedefinieerd, volledig uitgeschakeld. Als deze optie is uitgeschakeld, worden geen logboekdata verzameld en wordt geen poging gedaan om potentiële bedreigingen te detecteren of te blokkeren.

Active Script

Wanneer deze is aangevinkt, voorkomt u het verzamelen van logboeken en worden mogelijke op Active Script gebaseerde bedreigingen geblokkeerd. Actieve scripts bevatten elk script dat wordt geïnterpreteerd door de Windows Script Host, inclusief JavaScript, VBScript, batchbestanden en vele andere.

Powershell

Wanneer deze is aangevinkt, voorkomt u het verzamelen van logboeken en worden mogelijke PowerShell-bedreigingen geblokkeerd. PowerShell-scripts bevatten elk script met meerdere regels dat als één opdracht wordt uitgevoerd.

Macro's

Wanneer deze is aangevinkt, wordt het verzamelen van logboeken voorkomen en worden mogelijke op macro's gebaseerde bedreigingen geblokkeerd. De macro-instelling interpreteert macro's die aanwezig zijn in Office-documenten en PDF's en blokkeert schadelijke macro's die kunnen proberen bedreigingen te downloaden.

Mapuitsluitingen (inclusief submappen)

Met Mapuitsluitingen kunt u mappen definiëren waarin scripts kunnen worden uitgevoerd die kunnen worden uitgesloten. In dit gedeelte wordt gevraagd om uitsluitingen in een relatieve padindeling.

• Mappaden kunnen wijzen naar een lokaal station, een gekoppeld netwerkstation of een pad van een Universal Naming Convention (UNC).
• Uitsluitingen van scriptmaps moeten het relatieve pad van de map of submap opgeven.
• Elk opgegeven mappad bevat ook submappen.
• Uitsluitingen van jokertekens moeten voorwaartse schuine strepen gebruiken in de UNIX-stijl voor Windows-computers. Voorbeeld: /windows/system*/.
• Het enige teken dat wordt ondersteund voor jokertekens is *.
• Mapuitsluitingen met een jokerteken moeten een schuine streep hebben aan het einde van het pad om onderscheid te kunnen maken tussen een map en een bestand.
  • Map-uitsluiting: /windows/system32/*/
  • Uitsluiting van bestanden: /windows/system32/*
• Er moet een jokerteken worden toegevoegd voor elk niveau van de mapdiepte. Komt bijvoorbeeld /folder/*/script.vbs overeen met \folder\test\script.vbs of \folder\exclude\script.vbs maar werkt niet voor \folder\test\001\script.vbs. Hiervoor is een of meer./folder/*/001/script.vbs/folder/*/*/script.vbs
• Jokertekens ondersteunen volledige en gedeeltelijke uitsluitingen.
  • Voorbeeld van volledige jokerteken: /folder/*/script.vbs
  • Voorbeeld van gedeeltelijke jokerteken: /folder/test*/script.vbs
• Netwerkpaden worden ook ondersteund met jokertekens.
  • //*/login/application
  • //abc*/logon/application

Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows): \Cases\ScriptsAllowed
Onjuiste: C:\Application\SubFolder\application.vbs
Onjuiste: \Program Files\Dell\application.vbs

Voorbeelden van jokertekens:

/users/*/temp zou betrekking hebben op:

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs zou betrekking hebben op:

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs