Article Number: 000124588
Dell Threat Defense 使用原則以:
受影響的產品:
Dell Threat Defense
不適用。
如需詳細資訊,請按一下建議的原則或原則定義。
建議在學習模式或保護模式中設定原則。Dell 建議在「學習模式」環境中測試 Dell Threat Defense。這是使用標準公司映像將 Dell Threat Defense 部署到端點時最有效的方法。
由於應用程式伺服器的一般磁碟 I/O 更高,可能需要進行多種變更。
當系統管理員在 Dell Threat Defense 管理主控台中處理所有警示後,Dell 建議切換至「保護模式」原則建議。Dell 建議您在切換到「保護模式」原則前,在「學習模式」中進行數週或更多時間的測試。
如需詳細資訊,請按一下應用程式伺服器建議、學習模式或保護模式。
在「學習」與「保護」模式中,應用程式伺服器可能會發現用戶端作業系統出現額外負荷和差異行為。在少數情況下,自動隔離 (AQT) 會使某些檔案無法執行,直到可計算分數為止。當應用程式偵測到其檔案遭到篡改並鎖定,或程式可能無法在預期時間範圍內完成時,便會出現此問題。
如果啟用「觀察新檔案」,可能會降低裝置作業速度。產生新檔案時,會針對該檔案進行分析。雖然此程序所需的資源不多,但若一次分析大量檔案,便可能會對效能造成影響。
Windows Server 作業系統的建議原則變更:
除了使用這些建議,通常也建議您將執行伺服器作業系統的裝置包含在不同的區域中。如需產生區域的相關資訊,請參閱如何在 Dell Threat Defense 中管理區域。
| 原則 | 建議設定 |
|---|---|
| 檔案動作 | |
| 針對不安全的執行控制進行自動隔離 | 已停用 |
| 針對異常的執行控制進行自動隔離 | 已停用 |
| 啟用隔離檔案自動刪除 | 已停用 |
| 自動上傳 | 已啟用 |
| 原則安全清單 | 視環境而定 |
| 保護設定 | |
| 防止服務從裝置關機 | 已停用 |
| 終止不安全的執行程序及其副程序 | 已停用 |
| 背景威脅偵測 | 已停用 |
| 執行一次/循環執行 | 背景威脅防護設為「停用」時為「N/A」 |
| 觀察新檔案 | 已停用 |
| 複製檔案樣本 | 視環境而定 |
| 代理程式設定 | |
| 啟用記錄檔自動上傳 | 視環境而定 |
| 啟用桌面通知 | 視環境而定 |
| 指令檔控制 | |
| 指令檔控制 | 已啟用 |
| 1370 及更舊的使用中指令檔和 PowerShell | 警示 |
| 1380 及更新的使用中腳本 | 警示 |
| 1380 及更新的 PowerShell | 警示 |
| 封鎖使用 PowerShell 主控台 | PowerShell 設為「警示」時為「N/A」 |
| 1380 及更新的巨集 | 警示 |
| 停用指令檔控制作用中的指令檔 | 已停用 |
| 停用指令檔控制 PowerShell | 已停用 |
| 停用指令檔控制巨集 | 已停用 |
| 資料夾排除 (包括子資料夾) | 視環境而定 |
| 原則 | 建議設定 |
|---|---|
| 檔案動作 | |
| 針對不安全的執行控制進行自動隔離 | 已啟用 |
| 針對異常的執行控制進行自動隔離 | 已啟用 |
| 啟用隔離檔案自動刪除 | 視環境而定 |
| 自動上傳 | 視環境而定 |
| 原則安全清單 | 視環境而定 |
| 保護設定 | |
| 防止服務從裝置關機 | 已啟用 |
| 終止不安全的執行程序及其副程序 | 已啟用 |
| 背景威脅偵測 | 已啟用 |
| 執行一次/循環執行 | 執行一次 |
| 觀察新檔案 | 已啟用 |
| 複製檔案樣本 | 視環境而定 |
| 代理程式設定 | |
| 啟用記錄檔自動上傳 | 視環境而定 |
| 啟用桌面通知 | 視環境而定 |
| 指令檔控制 | |
| 指令檔控制 | 已啟用 |
| 1370 及更舊的使用中指令檔和 PowerShell | 封鎖 |
| 1380 及更新的使用中腳本 | 封鎖 |
| 1380 及更新的 PowerShell | 封鎖 |
| 封鎖使用 PowerShell 主控台 | 封鎖 |
| 1380 及更新的巨集 | 封鎖 |
| 停用指令檔控制作用中的指令檔 | 已停用 |
| 停用指令檔控制 PowerShell | 已停用 |
| 停用指令檔控制巨集 | 已停用 |
| 資料夾排除 (包括子資料夾) | 視環境而定 |
此原則可決定在執行到偵測的檔案時該進行什麼動作。依預設,即使偵測到不安全的檔案正在執行,亦會封鎖威脅。在 Advanced Threat Prevention 的評分系統中,會根據威脅指示器進行評估,若可攜式可執行檔的累計分數超過 60,便代表不安全。
此原則可決定在執行到偵測的檔案時該進行什麼動作。依預設,即使偵測到異常的檔案正在執行,亦會封鎖威脅。在 Advanced Threat Prevention 的評分系統中,會根據威脅指示器進行評估,若可攜式可執行檔的累計分數超過 0,但未超過 60,便代表為異常。
根據裝置層級隔離、全域隔離清單,或自動隔離原則隔離不安全或異常的檔案時,檔案會存放在本機裝置的本機沙箱隔離快取內。啟用自動刪除隔離檔案時,會表示將檔案在永久刪除檔案前保留在本機裝置上的天數 (最短 14 天,最長 365 天)。啟用此功能後,便可修改天數。
標記未出現在 Threat Defense SaaS (軟體即服務) 環境中的威脅,以供進一步分析。當本機模型將檔案標示為潛在威脅時,會擷取可攜式可執行檔的 SHA256 雜湊,並將其傳送至 SaaS。如果傳送的 SHA256 雜湊與威脅不相符,且已啟用自動上傳,則可將威脅安全上傳至 SaaS,以進行評估。此資料採用安全儲存,Dell 或其合作夥伴無法存取這些資料。
原則安全清單是一份判定為環境中的安全檔案清單,並已將其 SHA256 雜湊和所有其他資訊提交至此清單,以手動放棄。當 SHA256 雜湊列於此清單中,在檔案執行時,本機或雲端威脅模型將不會針對其進行評估。這些是「絕對」檔案路徑。
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
啟用終止不安全的執行程序及其副程序時,這會判斷威脅是否正在產生副程序,或者應用程式是否已接管目前在記憶體內執行的其他程式。如果系統判斷該程序已遭到威脅接管,則會立即終止主要威脅及其已產生或目前擁有的任何程序。
啟用背景威脅偵測後,將會掃描整個裝置的所有可攜式可執行檔,然後使用本機威脅模型評估該可執行檔,並要求雲端式 SaaS 根據可執行檔的威脅指示器確認其分數。背景威脅偵測有兩個選項:執行一次和循環執行。「執行一次」會在安裝並啟動 Threat Defense 時,對連接至裝置的所有實體磁碟機執行背景掃描。「循環執行」會在安裝和啟動 Threat Defense 時,對裝置上所有連接的裝置執行背景掃描,並每九天重複一次掃描 (無法設定)。
啟用「觀察新檔案」後,系統會立即評估裝置中導入的任何可攜式可執行檔,並使用本機模型針對其威脅指示器進行評估,並根據雲端託管的 SaaS 確認分數。
複製檔案樣本可自動將在裝置上找到的任何威脅,自動傳送至 UNC 路徑定義的儲存庫。這僅建議用於內部威脅研究,或在環境中擁有安全的封裝威脅儲存庫情況。所有由「複製檔案樣本」儲存的檔案,都會以密碼 infected 壓縮。
啟用自動上傳記錄檔後,端點會在夜間或檔案達到 100 MB 時,上傳其 Dell Threat Defense 的記錄檔。無論檔案大小如何,都會在夜間上傳記錄檔。所有移轉的記錄檔都會在退出網路之前加以壓縮。
啟用桌面通知可讓裝置使用者在有檔案標示為異常或不安全時,在裝置上出現提示。啟用此原則後,此選項位於端點的 Dell Threat Defense 系統匣圖示右鍵選單中。
指令檔控制會透過記憶體篩選器式的解決方案運作,以識別在裝置上執行的指令檔腳本,將原則設為「封鎖」,便可避免對該指令檔類型進行此動作。這些原則上的警示設定只會在記錄檔和 Dell Threat Defense 主控台記錄遭到封鎖的指令檔。
這些原則適用於 1370 之前的用戶端,該用戶端在 2016 年 6 月之前提供。這些版本上只會執行使用中指令檔和 PowerShell 型指令檔。
這些原則適用於 1370 之後的用戶端,該用戶端在 2016 年 6 月之後提供。
使用中的指令檔包含由 Windows Script Host 解譯的所有指令檔,包括 JavaScript、VBScript、批次檔和其他許多類型。
PowerShell 指令檔包含以單一命令執行的所有多行指令檔。(預設設定 - 警示)
在 PowerShell v3 (於 Windows 8.1 推出) 和更新版本中,大部分的 PowerShell 指令檔都是以單一行命令執行,雖然它們可能包含多個行,但會依序執行。這可以略過 PowerShell 指令檔解譯器。封鎖使用 PowerShell 主控台可藉由停用讓任何應用程式啟動 PowerShell 主控台,以解決此問題。整合指令碼式環境 (ISE) 不受此原則的影響。
巨集設定會解譯存在於 Office 文件和 PDF 中的巨集,並封鎖可能嘗試下載威脅的惡意巨集。
這些原則會完全停用控制每個原則中定義的指令檔類型,甚至包括發出警示。停用時,不會收集紀錄,也不會嘗試偵測或封鎖潛在威脅。
檢查時,會避免收集記錄檔,並封鎖任何潛在的使用中指令檔式威脅。使用中的指令檔包含由 Windows Script Host 解譯的所有指令檔,包括 JavaScript、VBScript、批次檔和其他許多類型。
檢查時,會避免收集記錄檔,並封鎖任何潛在的 PowerShell 式威脅。PowerShell 指令檔包含以單一命令執行的所有多行指令檔。
檢查時,會避免收集記錄檔,並封鎖任何潛在的巨集式威脅。巨集設定會解譯存在於 Office 文件和 PDF 中的巨集,並封鎖可能嘗試下載威脅的惡意巨集。
資料夾排除能讓您定義排除可執行指令檔的資料夾。本區段會要求以相對路徑格式表示的排除項目。
/windows/system*/。/windows/system32/*//windows/system32/*/folder/*/script.vbs 符合 \folder\test\script.vbs 或 \folder\exclude\script.vbs,但不適用於 \folder\test\001\script.vbs。這需要 /folder/*/001/script.vbs 或 /folder/*/*/script.vbs。/folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/application正確 (Mac):/Mac\ HD/Users/Cases/ScriptsAllowed
正確 (Windows):\Cases\ScriptsAllowed
不正確:C:\Application\SubFolder\application.vbs
不正確:\Program Files\Dell\application.vbs
萬用字元範例:
/users/*/temp 將包含:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs 將包含:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbs如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
Dell Threat Defense
20 Dec 2022
11
Solution