Article Number: 000124588
Dell Threat Defense bruker policyer til å:
Berørte produkter:
Dell Threat Defense
Ikke aktuelt.
Klikk på Anbefalte policyer eller Policydefinisjoner hvis du vil ha mer informasjon.
Policyer anbefales å være konfigurert i læringsmodus eller beskyttelsesmodus. Læringsmodus er måten Dell anbefaler å teste Dell Threat Defense i et miljø. Dette er mest effektivt når Dell Threat Defense implementeres til sluttpunkter med standard firmabilde.
Det kan være nødvendig med flere endringer for applikasjonsservere på grunn av høyere disk-I/U.
Når alle varsler er håndtert i administratorkonsollen for Dell Threat Defence av administratoren, anbefaler Dell å bytte til policyanbefalingene for beskyttelsesmodus. Dell anbefaler et par uker eller mer med testing i læringsmodus før du bytter til policyer for beskyttelsesmodus.
Klikk på Anbefalinger for applikasjonsserver, læringsmodus eller beskyttelsesmodus for å få mer informasjon.
I både lærings- og beskyttelsesmoduser kan applikasjonsservere se ekstra overhead og ulikt atferd for klientoperativsystemer. Autokarantene (AQT) har, i sjeldne tilfeller, hindret enkelte filer i å kjøre før en poengsum kan beregnes. Dette har forekommet når en applikasjon oppdager låsing av filene som tukling, eller det kan hende at en prosess ikke fullføres i en forventet tidsramme.
Hvis «Se etter nye filer» er aktivert, kan det redusere enhetsoperasjonene. Når en ny fil genereres, analyseres den. Selv om denne prosessen er lett, kan et stort antall filer på én gang forårsake innvirkning på ytelsen.
Foreslåtte policyendringer for Windows Server-operativsystemer:
Med disse anbefalingene anbefales det vanligvis også å inneholde enheter som kjører serveroperativsystemer i separate soner. Hvis du vil ha informasjon om generering av soner, kan du se hvordan du administrerer soner i Dell Threat Defense.
| Policy | Anbefalt innstilling |
|---|---|
| Filhandlinger | |
| Automatisk karantene med kjøringskontroll for usikker | Deaktivert |
| Automatisk karantene med kjøringskontroll for unormal | Deaktivert |
| Aktiver automatisk sletting for filer i karantene | Deaktivert |
| Automatisk opplasting | Enabled (Aktivert) |
| Sikker liste for policy | Miljøavhengig |
| Beskyttelsesinnstillinger | |
| Forhindre tjenesteavslutning fra enhet | Deaktivert |
| Fjern usikre, kjørende prosesser og deres underprosesser | Deaktivert |
| Trusseloppdagelse i bakgrunnen | Deaktivert |
| Kjør én gang / kjør regelmessig | Ikke aktuelt når trusseloppdagelse i bakgrunnen er angitt til deaktivert |
| Se etter nye filer | Deaktivert |
| Kopier fileksempler | Miljøavhengig |
| Agentinnstillinger | |
| Aktiver automatisk opplasting av loggfiler | Miljøavhengig |
| Aktiver skrivebordsvarsel | Miljøavhengig |
| Script Control (Skriptkontroll) | |
| Script Control (Skriptkontroll) | Enabled (Aktivert) |
| Aktivt skript og PowerShell i 1370 og under | Varsel |
| Aktivt skript i 1380 og over | Varsel |
| 1380 og nyere PowerShell | Varsel |
| Blokker bruk av PowerShell-konsoll | Ikke aktuelt når PowerShell er satt til Alert (Varsel) |
| Makroer i 1380 og over | Varsel |
| Deaktiver skriptkontroll for aktivt skript | Deaktivert |
| Deaktiver PowerShell for skriptkontroll | Deaktivert |
| Deaktivere makroer for skriptkontroll | Deaktivert |
| Mappeutelukkelser (inkluderer undermapper) | Miljøavhengig |
| Policy | Anbefalt innstilling |
|---|---|
| Filhandlinger | |
| Automatisk karantene med kjøringskontroll for usikker | Enabled (Aktivert) |
| Automatisk karantene med kjøringskontroll for unormal | Enabled (Aktivert) |
| Aktiver automatisk sletting for filer i karantene | Miljøavhengig |
| Automatisk opplasting | Miljøavhengig |
| Sikker liste for policy | Miljøavhengig |
| Beskyttelsesinnstillinger | |
| Forhindre tjenesteavslutning fra enhet | Enabled (Aktivert) |
| Fjern usikre, kjørende prosesser og deres underprosesser | Enabled (Aktivert) |
| Trusseloppdagelse i bakgrunnen | Enabled (Aktivert) |
| Kjør én gang / kjør regelmessig | Kjør én gang |
| Se etter nye filer | Enabled (Aktivert) |
| Kopier fileksempler | Miljøavhengig |
| Agentinnstillinger | |
| Aktiver automatisk opplasting av loggfiler | Miljøavhengig |
| Aktiver skrivebordsvarsel | Miljøavhengig |
| Script Control (Skriptkontroll) | |
| Script Control (Skriptkontroll) | Enabled (Aktivert) |
| Aktivt skript og PowerShell i 1370 og under | Blokk |
| Aktivt skript i 1380 og over | Blokk |
| 1380 og nyere PowerShell | Blokk |
| Blokker bruk av PowerShell-konsoll | Blokk |
| Makroer i 1380 og over | Blokk |
| Deaktiver skriptkontroll for aktivt skript | Deaktivert |
| Deaktiver PowerShell for skriptkontroll | Deaktivert |
| Deaktivere makroer for skriptkontroll | Deaktivert |
| Mappeutelukkelser (inkluderer undermapper) | Miljøavhengig |
Denne policyen bestemmer hva som skjer med filer som oppdages når de kjøres. Som standard, selv når en usikker fil oppdages som kjører, er trusselen blokkert. Usikker betegnes av en kumulativ poengsum for den flyttbare, kjørbare filen som overstiger 60 i den avanserte trusselforebyggingens poengsystem, som er basert på trusselindikatorer som har blitt evaluert.
Denne policyen bestemmer hva som skjer med filer som oppdages når de kjøres. Som standard, selv når en unormal fil oppdages som kjører, er trusselen blokkert. Unormal betegnes av en kumulativ poengsum for den flyttbare kjørbare filen som overstiger 0, men som ikke overstiger 60 i den avanserte trusselforebyggingens poengsystem, som er basert på trusselindikatorer som har blitt evaluert.
Når usikre eller unormale filer settes i karantene basert på karantene på enhetsnivå, globale karantenelister eller automatisk karantenepolicyer, holdes de innenfor en lokal karantenehurtigbuffer i sandkasse på den lokale enheten. Når Aktiver automatisk sletting for filer i karantene er aktivert, angir den antall dager (minimum 14 dager, maksimalt 365 dager) for å beholde filen på den lokale enheten før den slettes permanent. Når dette er aktivert, er det mulig å endre antall dager.
Merker trusler som ikke har blitt oppdaget av trusselbeskyttelsens SaaS-miljøer (programvare som tjeneste) for ytterligere analyse. Når en fil er merket som en potensiell trussel av den lokale modellen, hentes en SHA256-hash av den flyttbare, kjørbare filen, og dette sendes opp til SaaS. Hvis SHA256-hashen som ble sendt, ikke kan samsvare med en trussel og automatisk opplasting er aktivert, vil dette tillate en sikker opplasting av trusselen til SaaS for evaluering. Disse dataene lagres på en sikker måte og er ikke tilgjengelig for Dell eller deres partnere.
Sikkerlisten for policy er en liste over filer som har blitt fastsatt som sikre i miljøet, og som manuelt har blitt frafalt ved å sende SHA256-hash og eventuell tilleggsinformasjon inn i denne listen. Når en SHA256-hash plasseres i denne listen, blir den ikke evaluert av trusselmodellene lokalt eller i skyen når filen kjøres. Dette er «Absolute»-filbaner.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Når Fjern usikre, kjørende prosesser og deres underprosesser er aktivert, avgjør dette om en trussel genererer underordnede prosesser eller om applikasjonen har overtatt andre prosesser som for øyeblikket kjører i minnet. Hvis det er tro på at en prosess har blitt overtatt av en trussel, blir den primære trusselen og eventuelle prosesser som den har generert eller for øyeblikket eier, umiddelbart avsluttet.
Trusseloppdagelse i bakgrunnen, når dette alternativet er aktivert, skanner hele enheten etter en flyttbar, kjørbar fil og evaluerer deretter den kjørbare filen med den lokale trusselmodellen, og ber om bekreftelse på at den kjørbare filen skal scores med skybasert SaaS basert på trusselindikatorene på den kjørbare filen. To alternativer er mulige med trusseloppdagelse i bakgrunnen: Kjør én gang og kjør regelmessig. Kjør når du utfører en bakgrunnsskanning av alle fysiske stasjoner som er koblet til enheten i det øyeblikket Threat Defense installeres og aktiveres. Regelmessig kjøring utfører en bakgrunnsskanning av alle tilkoblede enheter til enheten i det øyeblikket Threat Defense installeres og aktiveres, og gjentar skanningen hver 9. dag (kan ikke konfigureres).
Når Se etter nye filer er aktivert, blir alle flyttbare kjørbare filer som introduseres til enheten, umiddelbart evaluert med trusselindikatorene som vises ved hjelp av den lokale modellen, og denne poengsummen bekreftes mot skybasert SaaS.
Kopiering av fileksempler gjør det mulig å deponere trusler på enheten automatisk til et definert repositorium basert på UNC-bane. Dette anbefales bare for interne trusselundersøkelser eller for å holde et sikkert repositorium med pakkede trusler i miljøet. Alle filer som lagres av kopieringsfileksempler, er komprimert med et passord for infected.
Aktiver automatisk opplasting av loggfiler gjør det mulig for endepunkter å laste opp loggfilene sine for Dell Threat Defense hver natt, eller når filen når 100 MB. Logger lastes opp hver natt uavhengig av filstørrelse. Alle logger som overføres, komprimeres før de går ut av nettverket.
Aktiver skrivebordsvarsel gjør det mulig for enhetsbrukere å tillate ledetekster på enheten hvis en fil er merket som unormal eller usikker. Dette er et alternativ på høyreklikkingsmenyen til Dell Threat Defense-ikonet mot sluttpunkter med denne policyen aktivert.
Skriptkontroll fungerer gjennom en minnefilterbasert løsning for å identifisere skript som kjører på enheten, og forhindre dem hvis policyen er angitt til å blokkere for denne skripttypen. Varslingsinnstillinger på disse policyene noterer bare skript som ville ha blitt blokkert i logger og på Dell Threat Defense-konsollen.
Disse policyene gjelder for klienter som var eldre enn 1370, som var tilgjengelige før juni 2016. Bare aktive skript og PowerShell-baserte skript blir handlet på disse versjonene.
Disse retningslinjene gjelder for klienter etter 1370, som ble tilgjengelig etter juni 2016.
Aktive skript inkluderer alle skript som tolkes av Windows-skriptverten, inkludert JavaScript, VBScript, satsvise filer og mange andre.
PowerShell-skript inkluderer alle skript med flere linjer som kjøres som én enkelt kommando. (Standardinnstilling – varsel)
I PowerShell v3 (introdusert i Windows 8.1) og nyere kjøres de fleste PowerShell-skript som en enkeltlinjekommando. selv om de kan inneholde flere linjer, kjøres de i rekkefølge. Dette kan omgå PowerShell-skripttolk. BlokkerIng av PowerShell-konsollen omgår dette ved å deaktivere muligheten til å få applikasjoner til å starte PowerShell-konsollen. Integrert skriptmiljø (ISE) påvirkes ikke av denne policyen.
Makroinnstillingen tolker makroer som finnes i Office-dokumenter og PDF-filer, og blokkerer ondsinnede makroer som kan forsøke å laste ned trusler.
Disse policyene deaktiverer muligheten til å selv varsle om skripttypene som er definert av hver policy. Når det er deaktivert, samles det ikke inn noen logging, og ingen forsøk på å oppdage eller blokkere potensielle trusler utføres.
Når dette alternativet er merket av, forhindrer du samling av logger og blokkerer potensielle aktive skriptbaserte trusler. Aktive skript inkluderer alle skript som tolkes av Windows-skriptverten, inkludert JavaScript, VBScript, satsvise filer og mange andre.
Når dette alternativet er merket av, forhindrer du innsamling av logger og blokkerer potensielle PowerShell-baserte trusler. PowerShell-skript inkluderer alle skript med flere linjer som kjøres som én enkelt kommando.
Når dette alternativet er merket av, forhindrer du innsamling av logger og blokkerer potensielle makrobaserte trusler. Makroinnstillingen tolker makroer som finnes i Office-dokumenter og PDF-filer, og blokkerer ondsinnede makroer som kan forsøke å laste ned trusler.
Mappeutelukkelser kan brukes til å definere mapper som skriptene kan kjøres i og som kan utelates. Denne delen ber om utelatelser i et relativt baneformat.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs med eller \folder\exclude\script.vbs fungerer ikke for\folder\test\001\script.vbs.\folder\test\script.vbs Dette krever enten /folder/*/001/script.vbs eller /folder/*/*/script.vbs./folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationRiktig (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Riktig (Windows): \Cases\ScriptsAllowed
Feil: C:\Application\SubFolder\application.vbs
Feil: \Program Files\Dell\application.vbs
Eksempler på jokertegn:
/users/*/temp dekker følgende:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs dekker følgende:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsNår du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.
Dell Threat Defense
20 Dec 2022
11
Solution