Article Number: 000124588
Dell Threat Defense использует политики для следующего:
Затронутые продукты:
Dell Threat Defense
Не применимо.
Для получения дополнительной информации нажмите на пункты Рекомендованные политики или Определения политик.
Рекомендуется настраивать политики в режиме обучения или в режиме защиты. В режиме обучения Dell рекомендует тестировать Dell Threat Defense в среде. Это наиболее эффективно, если Dell Threat Defense развертывается на конечных устройствах со стандартным корпоративным образом.
Для серверов приложений могут потребоваться дополнительные изменения из-за более высокого объема ввода-вывода по сравнению с обычным диском.
После того как администратор устранит все оповещения на консоли администрирования Dell Threat Defense, Dell рекомендует перейти к рекомендациям по политикам в режиме защиты. Dell рекомендует провести несколько недель тестирования в режиме обучения перед переключением на политики в режиме защиты.
Для получения дополнительной информации нажмите Рекомендации для сервера приложений, Режим обучения или Режим защиты.
В режимах обучения и защиты серверы приложений могут видеть дополнительные издержки и разнородное поведение для клиентских операционных систем. В редких случаях функция автоматического карантина (AQT) не позволяет запускать некоторые файлы до тех пор, пока не будет рассчитана оценка. Это происходит, когда приложение обнаруживает блокировку файлов из-за несанкционированного доступа, или процесс может не завершиться успешно в ожидаемый период времени.
Если включена функция «Просмотр новых файлов», работа устройства может замедлиться. При создании нового файла выполняется его анализ. Хотя этот процесс не требует много ресурсов, одновременный анализ большого объема файлов может привести к снижению производительности.
Рекомендуемые изменения политик для операционных систем Windows Server:
В соответствии с этими рекомендациями обычно также рекомендуется размещать устройства под управлением серверных операционных систем в отдельных зонах. Для получения дополнительной информации о создании зон см. статью Как управлять зонами в Dell Threat Defense.
| Политика | Рекомендуемая настройка |
|---|---|
| Действия с файлами | |
| Автоматический карантин с контролем выполнения для небезопасных | Disabled» |
| Автоматический карантин с контролем выполнения для аномальных | Disabled» |
| Включить автоудаление для файлов в карантине | Disabled» |
| Автоматическая выгрузка | Enabled» |
| Список безопасных политик | Зависит от среды |
| Настройки защиты | |
| Запретить отключение службы с устройства | Disabled» |
| Завершить небезопасные процессы и их подпроцессы | Disabled» |
| Фоновое обнаружение угроз | Disabled» |
| Запустить однократно/Запускать регулярно | Не применимо, если для параметра «Фоновое обнаружение угроз» задано значение «Отключено» |
| Просмотр новых файлов | Disabled» |
| Копировать образцы файлов | Зависит от среды |
| Настройки агента | |
| Включить автоматическую отправку файлов журналов | Зависит от среды |
| Включить уведомление на рабочем столе | Зависит от среды |
| Управление сценариями | |
| Управление сценариями | Enabled» |
| 1370 и ниже: Active Script и PowerShell | Оповещение |
| 1380 и выше: Active Script | Оповещение |
| 1380 и выше: PowerShell | Оповещение |
| Блокировать использование консоли PowerShell | Недоступно, если для PowerShell задано значение «Оповещение» |
| 1380 и выше: макросы | Оповещение |
| Отключить Active Script управления сценариями | Disabled» |
| Отключить PowerShell управления сценариями | Disabled» |
| Отключить макросы управления сценариями | Disabled» |
| Исключения папок (включая подпапки) | Зависит от среды |
| Политика | Рекомендуемая настройка |
|---|---|
| Действия с файлами | |
| Автоматический карантин с контролем выполнения для небезопасных | Enabled» |
| Автоматический карантин с контролем выполнения для аномальных | Enabled» |
| Включить автоудаление для файлов в карантине | Зависит от среды |
| Автоматическая выгрузка | Зависит от среды |
| Список безопасных политик | Зависит от среды |
| Настройки защиты | |
| Запретить отключение службы с устройства | Enabled» |
| Завершить небезопасные процессы и их подпроцессы | Enabled» |
| Фоновое обнаружение угроз | Enabled» |
| Запустить однократно/Запускать регулярно | Запустить один раз |
| Просмотр новых файлов | Enabled» |
| Копировать образцы файлов | Зависит от среды |
| Настройки агента | |
| Включить автоматическую отправку файлов журналов | Зависит от среды |
| Включить уведомление на рабочем столе | Зависит от среды |
| Управление сценариями | |
| Управление сценариями | Enabled» |
| 1370 и ниже: Active Script и PowerShell | Блокировка |
| 1380 и выше: Active Script | Блокировка |
| 1380 и выше: PowerShell | Блокировка |
| Блокировать использование консоли PowerShell | Блокировка |
| 1380 и выше: макросы | Блокировка |
| Отключить Active Script управления сценариями | Disabled» |
| Отключить PowerShell управления сценариями | Disabled» |
| Отключить макросы управления сценариями | Disabled» |
| Исключения папок (включая подпапки) | Зависит от среды |
Эта политика определяет, что происходит с файлами, обнаруженными во время их выполнения. По умолчанию: даже если небезопасный файл определяется как выполняющийся, угроза будет заблокирована. Небезопасность характеризуется совокупной оценкой переносимого исполняемого файла, превышающей 60 баллов в системе оценки Advanced Threat Prevention на основе оцененных индикаторов угрозы.
Эта политика определяет, что происходит с файлами, обнаруженными во время их выполнения. По умолчанию: даже если аномальный файл определяется как выполняющийся, угроза будет заблокирована. Аномальность характеризуется совокупной оценкой переносимого исполняемого файла, находящейся в диапазоне от 0 до 60 баллов в системе оценки Advanced Threat Prevention на основе оцененных индикаторов угрозы
Если небезопасные или аномальные файлы помещаются в карантин на основе карантина на уровне устройства, глобальных списков карантина или политик автоматического карантина, они будут храниться в локальном изолированном кэше карантина на локальном устройстве. Если включен параметр «Включить автоудаление для файлов в карантине», он указывает число дней (не менее 14 и не более 365), в течение которых файл будет храниться на локальном устройстве перед окончательным удалением. Когда эта функция включена, можно менять количество дней.
Помечает угрозы, которые не были обнаружены SaaS-средой Threat Defense, для дальнейшего анализа. Когда файл помечен локальной моделью как потенциальная угроза, хэш SHA256 берется из переносимого исполняемого файла и отправляется в SaaS. Если отправленный хэш SHA256 не может быть сопоставлен с угрозой, и включена автоматическая отправка, это позволяет безопасно отправить угрозу в SaaS для оценки. Эти данные хранятся в безопасном месте и недоступны для компании Dell и ее партнеров.
Список безопасных файлов в политике — это список файлов, которые были признаны безопасными в среде и были отклонены вручную путем отправки хэша SHA256 и любой дополнительной информации в этот список. Когда хэш SHA256 помещается в этот список, файл при запуске не будет оцениваться локальной или облачной моделью угроз. Это «абсолютные» пути к файлам.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Если включен параметр «Завершить небезопасные процессы и их подпроцессы», он определяет, создает ли угроза дочерние процессы или использует ли приложение другие процессы, запущенные в данный момент в памяти. Если есть основания полагать, что процесс был использован угрозой, то основная угроза и все процессы, которые она создала или которыми владеет в настоящее время, будут немедленно остановлены.
Если функция фонового обнаружения угроз включена, она проверяет все устройство на наличие любого переносимого исполняемого файла, а затем выполняет оценку этого исполняемого файла с помощью локальной модели угроз и запрашивает подтверждение оценки исполняемого файла с помощью облачной службы SaaS на основе индикаторов угрозы исполняемого файла. С функцией фонового обнаружения угроз возможны два варианта: запустить однократно и запускать регулярно. При однократном запуске выполняется фоновое сканирование всех физических дисков, подключенных к устройству в момент установки и активации Threat Defense. При запуске с повторением выполняется фоновое сканирование всех устройств, подключенных к устройству в момент установки и активации Threat Defense; это сканирование повторяется каждые девять дней (не настраивается).
Если включена функция «Просмотр новых файлов», любой переносимый исполняемый файл, представленный на устройстве, будет немедленно оценен с помощью индикаторов угроз, которые отображаются в локальной модели, и этот результат подтвержден в облачной модели SaaS.
Функция копирования образцов файлов позволяет автоматически передавать любые обнаруженные на устройстве угрозы в определенный репозиторий на основе пути UNC. Это рекомендуется только для исследования внутренних угроз или для содержания безопасного репозитория запакованных угроз в среде. Все файлы, сохраненные с помощью функции «Копировать образцы файлов», архивируются с паролем infected.
Функция «Включить автоматическую отправку файлов журналов» позволяет конечным устройствам отправлять файлы журналов для Dell Threat Defense каждую ночь в полночь или когда размер файла достигает 100 Мбайт. Журналы отправляются каждую ночь независимо от размера файла. Все переданные журналы сжимаются перед выходом из сети.
Функция «Включить уведомление на рабочем столе» позволяет пользователям устройств разрешать запросы на устройстве, если файл помечен как аномальный или небезопасный. Этот пункт содержится в контекстном меню значка Dell Threat Defense на панели задач конечных устройств с включенной политикой.
Управление сценариями осуществляется с помощью решения на основе фильтров памяти для определения сценариев, которые выполняются на устройстве, и предотвращения их выполнения, если для этого типа сценария задана политика «Блокировка». Настройки оповещений в этих политиках содержат только те сценарии, которые были заблокированы в журналах и на консоли Dell Threat Defense.
Эти политики применяются к клиентам до версии 1370, которые были выпущены до июня 2016 года. С этими версиями работают только сценарии на основе Active Script и PowerShell.
Эти политики применяются к клиентам версии 1370 и выше, которые были выпущены после июня 2016 года.
Сценарии Active Script включают любой сценарий, интерпретируемый хостом сценариев Windows, включая JavaScript, VBScript, пакетные файлы и многое другое.
Сценарии PowerShell включают любой многострочный сценарий, который выполняется как одна команда. (Настройка по умолчанию — «Оповещение»)
В PowerShell v3 (начиная с Windows 8.1) и более поздних версиях большинство сценариев PowerShell выполняются как одна команда; хотя они могут содержать несколько строк, они выполняются в порядке очереди. Это может обойти интерпретатор сценария PowerShell. Блокировка консоли PowerShell позволяет обойти такое поведение, отключая для любого приложения возможность запуска консоли PowerShell. Эта политика не влияет на интегрированную среду сценариев (ISE).
Параметр «Макрос» интерпретирует макросы, содержащиеся в документах Office и PDF, и блокирует вредоносные макросы, которые могут попытаться скачать угрозы.
Эти политики полностью запрещают даже оповещение о типе сценария, определенном в каждой политике. Если эта функция отключена, сбор журналов не выполняется и попытки обнаружения или блокировки потенциальных угроз не предпринимаются.
Если этот флажок установлен, функция препятствует сбору журналов и блокирует любые потенциальные угрозы на основе Active Script. Сценарии Active Script включают любой сценарий, интерпретируемый хостом сценариев Windows, включая JavaScript, VBScript, пакетные файлы и многое другое.
Если этот флажок установлен, функция препятствует сбору журналов и блокирует любые потенциальные угрозы на основе PowerShell. Сценарии PowerShell включают любой многострочный сценарий, который выполняется как одна команда.
Если этот флажок установлен, функция препятствует сбору журналов и блокирует любые потенциальные угрозы на основе макросов. Параметр «Макрос» интерпретирует макросы, содержащиеся в документах Office и PDF, и блокирует вредоносные макросы, которые могут попытаться скачать угрозы.
Исключения папок позволяют определять папки, в которых могут выполняться сценарии, доступные для исключения. В этом разделе исключения запрашиваются в формате относительного пути.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs соответствует \folder\test\script.vbs или \folder\exclude\script.vbs, но не работает для \folder\test\001\script.vbs. Для этого потребуется /folder/*/001/script.vbs или /folder/*/*/script.vbs./folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationПравильный (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Правильный (Windows): \Cases\ScriptsAllowed
Неправильно: C:\Application\SubFolder\application.vbs
Неправильно: \Program Files\Dell\application.vbs
Примеры подстановочных знаков:
/users/*/temp будет охватывать:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs будет охватывать:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsЧтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.
Dell Threat Defense
20 Dec 2022
11
Solution