Article Number: 000124588
O Dell Threat Defense usa políticas para:
Produtos afetados:
Dell Threat Defense
Não aplicável.
Clique em Políticas recomendadas ou Definições das políticas para obter mais informações.
Recomenda-se que as políticas sejam configuradas no Modo de aprendizagem ou Modo de proteção. O modo de Aprendizagem é como a Dell recomenda testar o Dell Threat Defense em um ambiente. Isso é mais eficaz quando o Dell Threat Defense é implantado em endpoints com a imagem padrão da empresa.
Talvez sejam necessárias outras alterações em Application Servers devido à E/S de disco superior ao normal.
Depois que todos os alertas forem gerenciados no console de administração do Dell Threat Defense pelo administrador, a Dell recomenda mudar para as recomendações de política do Modo de proteção. A Dell recomenda algumas semanas ou mais de testes no Modo de aprendizagem antes de trocar as políticas do Modo de proteção.
Clique em Recomendações do servidor de aplicativos, Modo de aprendizagem ou Modo de proteção para obter mais informações.
Nos modos de aprendizagem e de proteção, os servidores de aplicativos podem notar um comportamento diferente e uma sobrecarga adicional nos sistemas operacionais de client. A Quarentena automática (AQT) impede, em raros casos, que alguns arquivos sejam executados até que uma Pontuação seja calculada. Isso é observado quando um aplicativo detecta o bloqueio de seus arquivos como adulteração ou quando um processo pode não ser concluído com êxito em um período esperado.
A opção "Watch For New Files" ativada pode atrasar as operações do sistema. Quando um novo arquivo for gerado, ele será analisado. Embora esse processo seja leve, um grande volume de arquivos de uma só vez pode afetar o desempenho.
Alterações de política sugeridas para os sistemas operacionais Windows Server:
Com essas recomendações, normalmente é sugerido também conter dispositivos que executam sistemas operacionais de servidor em zonas separadas. Para obter mais informações sobre como gerenciar zonas, consulte Como gerenciar zonas no Dell Threat Defense.
| Política | Configuração recomendada |
|---|---|
| Ações do arquivo | |
| Quarentena automática com controle de execução para arquivos desprotegidos | Desativado |
| Quarentena automática com controle de execução para arquivos anormais | Desativado |
| Ativar exclusão automática de arquivos em quarentena | Desativado |
| Upload automático | Enabled |
| Lista segura de políticas | Depende do ambiente |
| Configurações de proteção | |
| Impedir o desligamento do serviço pelo dispositivo | Desativado |
| Eliminar processos desprotegidos em execução e seus subprocessos | Desativado |
| Detecção de ameaças em segundo plano | Desativado |
| Executar uma vez/executar recorrente | N/A quando a Proteção contra ameaças em segundo plano é definida como Desativada |
| Procurar novos arquivos | Desativado |
| Copiar amostras de arquivo | Depende do ambiente |
| Configurações do agente | |
| Ativar upload automático de arquivos de log | Depende do ambiente |
| Ativar notificação da área de trabalho | Depende do ambiente |
| Script Control | |
| Script Control | Enabled |
| 1370 and below Active Script and PowerShell | Alerta |
| 1380 e acima de Active Script | Alerta |
| 1380 and above PowerShell | Alerta |
| Block PowerShell Console Usage | N/A quando o Powershell está definido como Alert |
| 1380 e acima das macros | Alerta |
| Desativar Script Control Active Script | Desativado |
| Disable Script Control PowerShell | Desativado |
| Desativar macros de Script Control | Desativado |
| Exclusões de pasta (inclui subpastas) | Depende do ambiente |
| Política | Configuração recomendada |
|---|---|
| Ações do arquivo | |
| Quarentena automática com controle de execução para arquivos desprotegidos | Enabled |
| Quarentena automática com controle de execução para arquivos anormais | Enabled |
| Ativar exclusão automática de arquivos em quarentena | Depende do ambiente |
| Upload automático | Depende do ambiente |
| Lista segura de políticas | Depende do ambiente |
| Configurações de proteção | |
| Impedir o desligamento do serviço pelo dispositivo | Enabled |
| Eliminar processos desprotegidos em execução e seus subprocessos | Enabled |
| Detecção de ameaças em segundo plano | Enabled |
| Executar uma vez/executar recorrente | Executar uma vez |
| Procurar novos arquivos | Enabled |
| Copiar amostras de arquivo | Depende do ambiente |
| Configurações do agente | |
| Ativar upload automático de arquivos de log | Depende do ambiente |
| Ativar notificação da área de trabalho | Depende do ambiente |
| Script Control | |
| Script Control | Enabled |
| 1370 and below Active Script and PowerShell | Bloquear |
| 1380 e acima de Active Script | Bloquear |
| 1380 and above PowerShell | Bloquear |
| Block PowerShell Console Usage | Bloquear |
| 1380 e acima das macros | Bloquear |
| Desativar Script Control Active Script | Desativado |
| Disable Script Control PowerShell | Desativado |
| Desativar macros de Script Control | Desativado |
| Exclusões de pasta (inclui subpastas) | Depende do ambiente |
Esta política determina o que acontece com os arquivos detectados à medida que são executados. Por padrão, mesmo quando a execução de um arquivo não seguro é detectada, a ameaça é bloqueada. Os arquivos não seguros são caracterizados por uma pontuação cumulativa do executável portátil que excede 60 no sistema de pontuação do Advanced Threat Prevention, com base nos indicadores de ameaças que foram avaliados.
Esta política determina o que acontece com os arquivos detectados à medida que são executados. Por padrão, mesmo quando a execução de um arquivo anormal é detectada, a ameaça é bloqueada. Os arquivos anormais são caracterizados por uma pontuação cumulativa do executável portátil que excede 0, sem ultrapassar 60, no sistema de pontuação do Advanced Threat Prevention, com base nos indicadores de ameaças que foram avaliados.
Quando arquivos não seguros ou anormais são colocados em quarentena no nível do dispositivo, em listas de quarentena globais ou conforme as políticas de quarentena automática, eles são mantidos dentro de um cache de quarentena isolado no sistema local. Quando a opção Enable auto-delete for quarantined files está ativada, o número de dias (de 14 a 365 dias) para manter o arquivo no sistema local antes de excluí-lo permanentemente é indicado. Quando ativada, a capacidade de modificar o número de dias se torna possível.
Marca as ameaças que não foram vistas pelo ambiente Threat Defense SaaS (Software como serviço) para análise posterior. Quando um arquivo é marcado como uma possível ameaça pelo modelo local, um hash SHA256 é retirado do executável portátil e enviado para o SaaS. Se o hash SHA256 que foi enviado não puder ser correspondido a uma ameaça e o Upload automático estiver ativado, isso permitirá um upload seguro da ameaça para o SaaS para fins de avaliação. Esses dados são armazenados de forma segura e não podem ser acessados pela Dell ou seus parceiros.
A Lista segura de políticas contém arquivos que foram considerados seguros dentro do ambiente e que foram excluídos manualmente enviando seu hash SHA256 e quaisquer informações adicionais para esta lista. Se um hash SHA256 for colocado nessa lista, assim que o arquivo for executado, ele não será avaliado pelos modelos de ameaça locais ou na nuvem. Esses são caminhos de arquivo "absolutos".
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Quando a opção Kill unsafe running processes and their sub processes estiver ativada, a verificação para determinar se uma ameaça está gerando processos subordinados ou se o aplicativo assumiu outros processos que estão em execução atualmente na memória será realizada. Se for julgado que um processo está sendo dominado por uma ameaça, a ameaça primária e todos os processos que ela gerou ou que possui no momento serão imediatamente encerrados.
Quando a opção Background Threat Detection estiver ativada, a verificação para determinar se há executáveis portáteis, avaliar esse executável de acordo com o modelo de ameaça local e solicitar confirmação para a pontuação do executável com o SaaS baseado em nuvem, conforme os indicadores de ameaça do executável, será realizada. Duas opções são possíveis com a Detecção de ameaças em segundo plano: Run Once e Run Recurring. A opção Run Once realizará uma verificação em segundo plano de todas as unidades físicas conectadas ao dispositivo, no momento em que o Threat Defense for instalado e ativado. A opção Run Recurring realizará uma verificação em segundo plano de todos os equipamentos conectados ao dispositivo, no momento em que o Threat Defense for instalado e ativado. Depois, ela repetirá a verificação a cada nove dias (não configurável).
Quando a opção Watch for New Files estiver ativada, qualquer executável portátil que seja introduzido no dispositivo será imediatamente avaliado de acordo com os indicadores de ameaça exibidos usando o modelo local, e essa pontuação será confirmada com base no SaaS hospedado na nuvem.
A opção Copy File Samples permite que todas as ameaças encontradas no dispositivo sejam automaticamente depositadas em um repositório definido com base no caminho UNC. Isso só é recomendado para pesquisas de ameaças internas ou para manter um repositório seguro de ameaças compactadas dentro do ambiente. Todos os arquivos armazenados por meio de Copy File Samples são compactados com a senha infected.
A opção Enable Auto-Upload of log files permite que os endpoints façam o carregamento dos arquivos de log do Dell Threat Defense todas as noites, à meia-noite, ou quando o arquivo atingir 100 MB. Os logs são carregados todas as noites, independentemente do tamanho do arquivo. Todos os logs transferidos são compactados antes de saírem da rede.
A opção Enable Desktop Notification possibilita que os usuários do dispositivo permitam prompts no próprio dispositivo se um arquivo for sinalizado como anormal ou desprotegido. Essa é uma opção no menu do botão direito do mouse do ícone da bandeja do Dell Threat Defense em endpoints com esta política ativada.
O controle de scripts opera por meio de uma solução baseada em filtro de memória para identificar scripts que estão sendo executados no dispositivo e impedi-los, caso a política esteja definida como Block para esse tipo de script. As configurações de alerta nessas políticas só observam scripts que foram bloqueados nos logs e no console do Dell Threat Defense.
Essas políticas se aplicam a clients com versões anteriores à 1370, que estavam disponíveis antes de junho de 2016. Somente scripts baseados em Active Scripts e Powershell são executados com essas versões.
Essas políticas se aplicam a clientes posteriores a 1370, que estavam disponíveis depois de junho de 2016.
Active Scripts incluem qualquer script interpretado pelo host de script do Windows, incluindo JavaScript, VBScript, arquivos em lotes e muitos outros.
Os scripts Powershell incluem quaisquer scripts de várias linhas que sejam executados como um único comando. (Configuração padrão – Alert)
No Powershell v3 (introduzido no Windows 8.1) e nas versões posteriores, a maioria dos scripts Powershell são executados como um comando de linha única; embora possam conter várias linhas, eles são executados na ordem. Com isso, o interpretador de scripts Powershell poderá ser ignorado. A opção Block PowerShell console pode ser usada como alternativa, pois incapacita a abertura de qualquer aplicativo no console do Powershell. O ISE (Integrated Scripting Environment) não é afetado por essa política.
A configuração Macro interpreta as macros presentes nos documentos do Office e em PDFs e bloqueia macros mal-intencionadas que podem tentar fazer download de ameaças.
Essas políticas incapacitam totalmente qualquer alerta no tipo de script definido dentro de cada política. Quando desativado, nenhum registro é coletado e nenhuma tentativa de detectar ou bloquear possíveis ameaças é executada.
Quando marcada, essa opção impede a coleta de logs e bloqueia todas as possíveis ameaças baseadas em Active Script. Active Scripts incluem qualquer script interpretado pelo host de script do Windows, incluindo JavaScript, VBScript, arquivos em lotes e muitos outros.
Quando marcada, essa opção impede a coleta de logs e bloqueia todas as possíveis ameaças baseadas em PowerShell. Os scripts Powershell incluem quaisquer scripts de várias linhas que sejam executados como um único comando.
Quando marcada, essa opção impede a coleta de logs e bloqueia todas as possíveis ameaças baseadas em macro. A configuração Macro interpreta as macros presentes nos documentos do Office e em PDFs e bloqueia macros mal-intencionadas que podem tentar fazer download de ameaças.
As exclusões de pasta permitem definir pastas em que os scripts podem ser executados e podem ser excluídos. Essa seção pede exclusões em um formato de caminho relativo.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs corresponde a \folder\test\script.vbs ou a \folder\exclude\script.vbs, mas não funciona para \folder\test\001\script.vbs. Isso exigiria /folder/*/001/script.vbs ou /folder/*/*/script.vbs./folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationCorreto (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correto (Windows): \Cases\ScriptsAllowed
Incorreto: C:\Application\SubFolder\application.vbs
Incorreto: \Program Files\Dell\application.vbs
Exemplos de caractere curinga:
/users/*/temp pode englobar:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs pode englobar:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsPara entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.
Dell Threat Defense
20 Dec 2022
11
Solution