Article Number: 000124588
Dell Threat Defense ilkeleri şu amaçlarla kullanır:
Etkilenen Ürünler:
Dell Threat Defense
Geçerli değil.
Daha fazla bilgi için Önerilen İlkeler veya İlke Tanımları öğesine tıklayın.
İlkelerin Öğrenme Modu veya Koruma Modu içerisinde ayarlanması önerilir. Öğrenme Modu, Dell'in Dell Threat Defense'in bir ortamda test edilmesini sağlar. Bu, Dell Threat Defense standart şirket görüntüsü ile uç noktalara dağıtıldığında en etkili moddur.
Normalden daha yüksek disk G/Ç'si nedeniyle Uygulama Sunucuları için daha fazla değişiklik gerekebilir.
Uyarılar, yönetici tarafından Dell Threat Defense yönetici konsolunda ele alındığında Dell, Koruma Modu ilkesi önerilerine geçişi önerir. Dell, Koruma Modu ilkelerine geçiş öncesi Öğrenme Modunda en az birkaç haftanın testlere ayrılmasını önerir.
Daha fazla bilgi için Uygulama Sunucusu Önerileri, Öğrenme Modu veya Koruma Modu öğesine tıklayın.
Hem Öğrenme hem de Koruma modunda, uygulama sunucuları istemci işletim sistemlerine karşı daha fazla ve farklı davranış gösterebilir. Nadiren Otomatik Karantinaya Al (AQT) işleminde bazı dosyalar Puan hesaplanana kadar çalıştırılamaz. Bir uygulama, dosyalarının izinsiz olarak değiştirilerek kilitlendiğini tespit ettiğinde veya bir işlem belirlenen zaman çerçevesi içerisinde başarılı bir şekilde tamamlanamadıysa bu durumla karşılaşılmıştır.
"Yeni Dosyaları Gözle" etkinleştirilirse aygıt işlemleri yavaşlayabilir. Yeni bir dosya oluşturulduğunda analiz edilecektir. Bu işlemin yükü az olsa da aynı anda işlenecek yüksek dosya hacmi performansı etkileyebilir.
Windows Server İşletim Sistemleri için önerilen ilke değişiklikleri:
Bu önerilere ek olarak, genellikle sunucu işletim sistemlerini çalıştıran aygıtların ayrı "bölgeleri" kapsaması önerilir. Bölgeler oluşturma hakkında bilgi için Dell Threat Defense'de Bölgeleri Yönetme başlıklı makaleye başvurun.
| İlke | Önerilen Ayar |
|---|---|
| Dosya Eylemleri | |
| Güvenli Olmayan Dosyalar için Yürütme Kontrollü Otomatik Karantina | Disabled |
| Anormal Dosyalar için Yürütme Kontrollü Otomatik Karantina | Disabled |
| Karantinaya alınan dosyalar için otomatik silmeyi etkinleştir | Disabled |
| Otomatik Yükle | Enabled (Etkin) |
| İlkeye Uygun Dosyalar Listesi | Ortama bağlı |
| Koruma Ayarları | |
| Hizmetin Aygıttan Kapatılmasına İzin Verme | Disabled |
| Güvenli olmayan çalışan işlemleri ve alt işlemlerini sonlandır | Disabled |
| Arka Plan Tehdit Algılama | Disabled |
| Bir Kez Çalıştır/Yineleyerek Çalıştır | Arka Plan Tehdit Koruması Devre Dışı bırakıldığında kullanılamaz |
| Yeni Dosyaları Gözle | Disabled |
| Dosya Örneklerini Kopyala | Ortama bağlı |
| Aracı Ayarları | |
| Günlük Dosyalarının Otomatik Yüklenmesini Etkinleştir | Ortama bağlı |
| Masaüstü Bildirimlerini Etkinleştir | Ortama bağlı |
| Komut Dosyası Kontrolü | |
| Komut Dosyası Kontrolü | Enabled (Etkin) |
| 1370 ve altı Etkin Komut Dosyası ve PowerShell | Uyarı |
| 1380 ve üstü Etkin Komut Dosyası | Uyarı |
| 1380 ve üstü PowerShell | Uyarı |
| PowerShell Konsol Kullanımını Engelle | PowerShell Uyarı olarak ayarlandığında kullanılamaz |
| 1380 ve üstü Makrolar | Uyarı |
| Komut Dosyası Kontrolü Etkin Komut Dosyasını Devre Dışı Bırak | Disabled |
| Komut Dosyası Kontrolü PowerShell'i Devre Dışı Bırak | Disabled |
| Komut Dosyası Kontrolü Makrolarını Devre Dışı Bırak | Disabled |
| Klasör Hariç Tutma (alt klasörler dahil) | Ortama bağlı |
| İlke | Önerilen Ayar |
|---|---|
| Dosya Eylemleri | |
| Güvenli Olmayan Dosyalar için Yürütme Kontrollü Otomatik Karantina | Enabled (Etkin) |
| Anormal Dosyalar için Yürütme Kontrollü Otomatik Karantina | Enabled (Etkin) |
| Karantinaya alınan dosyalar için otomatik silmeyi etkinleştir | Ortama bağlı |
| Otomatik Yükle | Ortama bağlı |
| İlkeye Uygun Dosyalar Listesi | Ortama bağlı |
| Koruma Ayarları | |
| Hizmetin Aygıttan Kapatılmasına İzin Verme | Enabled (Etkin) |
| Güvenli olmayan çalışan işlemleri ve alt işlemlerini sonlandır | Enabled (Etkin) |
| Arka Plan Tehdit Algılama | Enabled (Etkin) |
| Bir Kez Çalıştır/Yineleyerek Çalıştır | Bir Kez Çalıştır |
| Yeni Dosyaları Gözle | Enabled (Etkin) |
| Dosya Örneklerini Kopyala | Ortama bağlı |
| Aracı Ayarları | |
| Günlük Dosyalarının Otomatik Yüklenmesini Etkinleştir | Ortama bağlı |
| Masaüstü Bildirimlerini Etkinleştir | Ortama bağlı |
| Komut Dosyası Kontrolü | |
| Komut Dosyası Kontrolü | Enabled (Etkin) |
| 1370 ve altı Etkin Komut Dosyası ve PowerShell | Engelle |
| 1380 ve üstü Etkin Komut Dosyası | Engelle |
| 1380 ve üstü PowerShell | Engelle |
| PowerShell Konsol Kullanımını Engelle | Engelle |
| 1380 ve üstü Makrolar | Engelle |
| Komut Dosyası Kontrolü Etkin Komut Dosyasını Devre Dışı Bırak | Disabled |
| Komut Dosyası Kontrolü PowerShell'i Devre Dışı Bırak | Disabled |
| Komut Dosyası Kontrolü Makrolarını Devre Dışı Bırak | Disabled |
| Klasör Hariç Tutma (alt klasörler dahil) | Ortama bağlı |
Bu ilke, çalışırken tespit edilen dosyalara ne yapılacağını belirler. Güvenli olmayan bir dosyanın çalıştığı tespit edilse dahi tehdit, varsayılan olarak engellenir. Güvenli olmayan terimi, hesaplanan tehdit göstergelerine bağlı olarak oluşturulan Advanced Threat Prevention puan sisteminde 60 puanı geçen taşınabilir yürütülebilir dosyanın toplam puanıyla tanımlanır.
Bu ilke, çalışırken tespit edilen dosyalara ne yapılacağını belirler. Anormal bir dosyanın çalıştığı tespit edilse dahi tehdit, varsayılan olarak engellenir. Anormal terimi, hesaplanan tehdit göstergelerine bağlı olarak oluşturulan Advanced Threat Prevention puan sisteminde 0 ile 60 puan arasındaki taşınabilir yürütülebilir dosyanın toplam puanıyla tanımlanır.
Güvenli olmayan veya anormal dosyalar aygıt düzeyinde karantinalara, küresel karantina listesine veya Otomatik Karantina ilkelerine bağlı olarak karantinaya alındığında, yerel aygıtta yerel korumalı karantina önbelleğinde tutulur. Karantinaya alınan dosyalar için otomatik silmeyi etkinleştir seçeneği etkinleştirildiğinde, dosyanın kalıcı olarak silinmeden önce yerel aygıtta tutulacağı süreyi (minimum 14 gün, maksimum 365 gün) gösterir. Bu seçenek etkinleştirildiğinde, gün sayısını değiştirme özelliği kullanılabilir.
Threat Defense SaaS (Hizmet olarak Yazılım) ortamı tarafından görülmeyen tehditleri daha fazla analiz için işaretler. Bir dosya yerel model tarafından olası bir tehdit olarak işaretlendiğinde SHA256 karması, taşınabilir yürütülebilir dosyadan alınır ve SaaS'ye gönderilir. Gönderilen SHA256 karması bir tehditle eşleşmediğinde Otomatik Yükle seçeneği etkinse bu, tehdidin değerlendirme için SaaS'ye güvenli yüklenmesini sağlar. Bu veri güvenli bir şekilde depolanır ve Dell veya ortakları bu veriye erişemez.
İlkeye Uygun Dosyalar Listesi ortamda güvenilir olarak belirlenen, SHA256 karması ve bu listeye eklenen bilgileri göndererek manuel olarak silinen dosyaların oluşturduğu listedir. Bu listeye bir SHA256 karması yerleştirildiğinde, dosya çalıştırıldığında yerel veya bulut tehdit modelleri tarafından değerlendirilmez. Bunlar "Mutlak" dosya yollarıdır.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Güvenli olmayan çalışan işlemleri ve alt işlemlerini sonlandır seçeneği etkinleştirildiğinde, bir tehdidin alt işlemler oluşturup oluşturmadığı veya uygulamanın şu anda bellekte çalışan başka işlemlerin yerini alıp almadığı belirlenir. Tehdidin bir işlemin yerini aldığı düşünülüyorsa birincil tehdit ve oluşturduğu veya mevcut durumda sahip olduğu işlemler hemen sonlandırılır.
Arka Plan Tehdit Algılama seçeneği, etkinleştirildiğinde aygıtın tamamını taşınabilir yürütülebilir dosyalara karşı tarar ve ardından yerel tehdit modeliyle yürütülebilir dosyaları değerlendirip bunların tehdit göstergelerine bağlı olarak bulut tabanlı SaaS ile birlikte puanlamalarının doğrulanmasını talep eder. Arka Plan Tehdit Algılama ile iki seçenek kullanılabilir: Bir Kez Çalıştır ve Yineleyerek Çalıştır. Bir Kez Çalıştır seçeneği, Threat Defense'in kurulduğu ve etkinleştirildiği anda aygıta bağlı tüm fiziksel sürücülerin arka plan taramasını gerçekleştirir. Yineleyerek Çalıştır seçeneği, Threat Defense'in kurulduğu ve etkinleştirildiği anda aygıta bağlı tüm aygıtların arka plan taramasını gerçekleştirir ve her dokuz günde bir taramayı tekrarlar (yapılandırılamaz).
Yeni Dosyaları Gözle seçeneği etkinleştirildiğinde, aygıta tanıtılan taşınabilir, yürütülebilir dosyaların tümü yerel model kullanarak gösterdiği tehdit göstergeleriyle hemen değerlendirilir ve bu puan bulutta barındırılan SaaS çözümüyle doğrulanır.
Dosya Örneklerini Kopyala seçeneği, aygıtta bulunan tehditlerin UNC Yoluna bağlı tanımlı depoya otomatik olarak emanet edilmesini sağlar. Bu işlem yalnızca dahili tehdit araştırması veya ortamdaki paketli tehditler deposunu güvenli tutmak için önerilir. Dosya Örneklerini Kopyala işlemiyle depolanan tüm dosyalar, infected parolasıyla sıkıştırılır.
Günlük Dosyalarının Otomatik Yüklenmesini Etkinleştir seçeneği, uç noktaların Dell Threat Defense için günlük dosyalarını gece yarısı veya dosyaların boyutu 100 MB'ye geldiğinde yüklemesini sağlar. Günlükler dosya boyutuna bakılmaksızın her gece yüklenir. Aktarılan günlüklerin tümü ağdan çıkmadan önce sıkıştırılır.
Masaüstü Bildirimlerini Etkinleştir seçeneği, bir dosya anormal veya güvenli olmayan olarak işaretlendiğinde aygıt kullanıcılarının aygıtlarında istemlere izin verme özelliğini etkinleştirir. Bu seçenek, bu ilke etkinleştirildiğinde uç noktalardaki Dell Threat Defense tepsi simgesine sağ tıklandığında açılan menüde bulunur.
Komut Dosyası Kontrolü aygıtta çalışan komut dosyalarını tespit eden ve ilke bu komut dosyası türünü Engelleyecek şekilde ayarlandığında, bu dosyaları engelleyen bellek filtre tabanlı bir çözüm üzerinden çalışır. Bu ilkelerdeki Uyarı Ayarları günlükler içerisinde ve Dell Threat Defense konsolunda engellenen komut dosyaları için geçerlidir.
Bu ilkeler, Haziran 2016 öncesinde kullanılabilen 1370 öncesi istemciler için geçerlidir. Yalnızca Etkin Komut Dosyaları ve PowerShell tabanlı komut dosyaları bu sürümlerle birlikte işlenir.
Bu ilkeler 2016 senesi Haziran ayı sonrasında kullanılabilen 1370 sonrası istemciler için geçerlidir.
Etkin Komut Dosyaları JavaScript, VBScript, toplu iş dosyaları ve diğer pek çok dosya dahil olmak üzere Windows Komut Dosyası Sistemi tarafından yorumlanan komut dosyalarını içerir.
PowerShell komut dosyaları tek bir komut olarak çalışan çok satırlı komut dosyalarını içerir. (Varsayılan Ayar - Uyarı)
PowerShell v3 (Windows 8.1'de tanıtılan) ve üzeri sürümlerde, PowerShell komut dosyalarında çoklu satır bulunma olasılığına rağmen bu dosyaların çoğu tek satırlı komut olarak sırayla çalışır. Bu, PowerShell komut dosyası yorumlayıcısını atlayabilir. PowerShell konsolunu engelle seçeneği, PowerShell konsolunun herhangi bir uygulama tarafından başlatılabilme özelliğini devre dışı bırakarak bu çerçevede çalışır. Tümleşik Komut Dosyası Ortamı (ISE) bu ilkeden etkilenmez.
Makro ayarı Office ve PDF belgelerinde bulunan makroları yorumlar ve tehditleri indirmeye çalışan kötü niyetli makroları engeller.
Bu ilkeler, her bir ilkede tanımlanan komut dosyası türüne karşı uyarıda bulunma özelliğini bile tamamen devre dışı bırakır. Devre dışı bırakıldığında günlük kaydı toplanmaz ve olası tehditleri algılamak veya engellemek için bir çalışma yapılmaz.
İşaretlendiğinde günlüklerin toplanmasını önler ve olası Etkin Komut Dosyası tabanlı tehditleri engeller. Etkin Komut Dosyaları JavaScript, VBScript, toplu iş dosyaları ve diğer pek çok dosya dahil olmak üzere Windows Komut Dosyası Sistemi tarafından yorumlanan komut dosyalarını içerir.
İşaretlendiğinde günlüklerin toplanmasını önler ve olası PowerShell tabanlı tehditleri engeller. PowerShell komut dosyaları tek bir komut olarak çalışan çok satırlı komut dosyalarını içerir.
İşaretlendiğinde günlüklerin toplanmasını önler ve olası makro tabanlı tehditleri engeller. Makro ayarı Office ve PDF belgelerinde bulunan makroları yorumlar ve tehditleri indirmeye çalışan kötü niyetli makroları engeller.
Klasör Hariç Tutma, içerlerinde çalışan komutların bulunabileceği klasörlerin tanımlanabilmesini sağlar. Bu bölüm göreli yol biçimindeki dışlamaları ister.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs, \folder\test\script.vbs veya \folder\exclude\script.vbs ile eşleşir ancak \folder\test\001\script.vbs için çalışmaz. Bunun için /folder/*/001/script.vbs veya /folder/*/*/script.vbs gereklidir./folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationDoğru (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Doğru (Windows): \Cases\ScriptsAllowed
Yanlış: C:\Application\SubFolder\application.vbs
Yanlış: \Program Files\Dell\application.vbs
Joker Karakter Örnekleri:
/users/*/temp şunları kapsar:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs şunları kapsar:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsDestek ile iletişime geçmek için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.
Çevrimiçi olarak teknik destek talebi oluşturmak için TechDirect adresine gidin.
Daha fazla faydalı bilgi ve kaynak için Dell Security Topluluk Forumu'na katılın.
Dell Threat Defense
20 Dec 2022
11
Solution