Article Number: 000124588
Dell Threat Defense 使用策略来执行以下操作:
受影响的产品:
Dell Threat Defense
不适用。
有关更多信息,请单击建议的策略或策略定义。
建议在学习模式或保护模式下设置策略。学习模式是戴尔建议在环境中测试 Dell Threat Defense 的方式。当 Dell Threat Defense 部署到具有标准公司映像的端点上时,这是最有效的。
由于磁盘 I/O 高于正常值,可能需要对应用程序服务器进行更多更改。
管理员在 Dell Threat Defense 管理控制台中处理完所有警报后,戴尔建议切换到保护模式策略建议。在切换到保护模式策略之前,戴尔建议在学习模式下进行数周或更长时间的测试。
有关更多信息,请单击应用程序服务器建议、学习模式或保护模式。
在学习模式和保护模式下,应用程序服务器可看到额外的开销和与客户端操作系统不同的行为。在极少数情况下,自动隔离 (AQT) 会阻止某些文件运行,直到可计算分数为止。当应用程序检测到其文件遭到篡改锁定或某个进程可能无法在预期时间内成功完成时,就会出现这类情况。
如果“监视新文件”已启用,则它可能会降低设备运行速度。当新文件生成时,会对其进行分析。虽然此过程是轻量级过程,但是一次性产生大量的文件仍可能会造成性能影响。
建议的 Windows Server 操作系统策略更改:
在采用这些建议的情况下,通常还建议将运行服务器操作系统的设备包含在单独的“区域”中。有关生成区域的信息,请参阅如何在 Dell Threat Defense 中管理区域。
| 政策 | 建议的设置 |
|---|---|
| 文件操作 | |
| 对不安全的文件进行自动隔离并启用执行控制 | Disabled |
| 对异常的文件进行自动隔离并启用执行控制 | Disabled |
| 为隔离的文件启用自动删除 | Disabled |
| 自动上传 | Enabled |
| 策略安全列表 | 与环境相关 |
| 保护设置 | |
| 防止从设备关闭服务 | Disabled |
| 终止正在运行的不安全进程及其子进程 | Disabled |
| 后台威胁检测 | Disabled |
| 运行一次/重复运行 | 当“后台威胁保护”设置为“已禁用”时不可用 |
| 监视新文件 | Disabled |
| 复制文件样本 | 与环境相关 |
| 代理程序设置 | |
| 允许日志文件自动上传 | 与环境相关 |
| 启用桌面通知 | 与环境相关 |
| 脚本控制 | |
| 脚本控制 | Enabled |
| 1370 及以下的活动脚本和 PowerShell | 警报 |
| 1380 及以上的活动脚本 | 警报 |
| 1380 及以上的 Powershell | 警报 |
| 阻止 PowerShell 控制台使用 | 当 PowerShell 设置为警报时不可用 |
| 1380 及以上的宏 | 警报 |
| 禁用脚本控制活动脚本 | Disabled |
| 禁用脚本控制 PowerShell | Disabled |
| 禁用脚本控制宏 | Disabled |
| 排除文件夹(包括子文件夹) | 与环境相关 |
| 政策 | 建议的设置 |
|---|---|
| 文件操作 | |
| 对不安全的文件进行自动隔离并启用执行控制 | Enabled |
| 对异常的文件进行自动隔离并启用执行控制 | Enabled |
| 为隔离的文件启用自动删除 | 与环境相关 |
| 自动上传 | 与环境相关 |
| 策略安全列表 | 与环境相关 |
| 保护设置 | |
| 防止从设备关闭服务 | Enabled |
| 终止正在运行的不安全进程及其子进程 | Enabled |
| 后台威胁检测 | Enabled |
| 运行一次/重复运行 | 运行一次 |
| 监视新文件 | Enabled |
| 复制文件样本 | 与环境相关 |
| 代理程序设置 | |
| 允许日志文件自动上传 | 与环境相关 |
| 启用桌面通知 | 与环境相关 |
| 脚本控制 | |
| 脚本控制 | Enabled |
| 1370 及以下的活动脚本和 PowerShell | 阻止 |
| 1380 及以上的活动脚本 | 阻止 |
| 1380 及以上的 Powershell | 阻止 |
| 阻止 PowerShell 控制台使用 | 阻止 |
| 1380 及以上的宏 | 阻止 |
| 禁用脚本控制活动脚本 | Disabled |
| 禁用脚本控制 PowerShell | Disabled |
| 禁用脚本控制宏 | Disabled |
| 排除文件夹(包括子文件夹) | 与环境相关 |
此策略确定在文件执行时对所检测到的文件采取的操作。默认情况下,即使检测到不安全文件正在运行,也会阻止该威胁。不安全的特点是,根据已评估的威胁指标,在高级威胁预防评分系统中,可移植的可执行文件的累积分数超过 60。
此策略确定在文件执行时对所检测到的文件采取的操作。默认情况下,即使检测到异常文件正在运行,也会阻止该威胁。异常的特点是,根据已评估的威胁指标,在高级威胁预防评分系统中,可移植的可执行文件的累积分数超过 0 但不超过 60。
当根据设备级隔离、全局隔离列表或自动隔离策略对不安全或异常文件进行隔离时,会将它们保存在本地设备上的本地沙盒隔离高速缓存中。当您启用“为隔离的文件启用自动删除”时,它表示永久删除文件之前在本地设备上保留文件的天数(最少 14 天,最多 365 天)。启用此项后,可以修改天数。
标记 Threat Defense SaaS(软件即服务)环境尚未发现的威胁,以便进一步分析。本地模型将文件标记为潜在威胁时,会对可移植的可执行文件运行 SHA256 哈希,并将其发送到 SaaS。如果发送的 SHA256 哈希无法与威胁相匹配,并且自动上传已启用,则可将威胁安全上传到 SaaS 进行评估。此数据已安全存储,而且戴尔或其合作伙伴无法对其进行访问。
策略安全列表是环境中已确定安全的文件的列表,通过将文件的 SHA256 哈希和任何其他信息提交到此列表,您可手动放弃这些文件。如果您将 SHA256 哈希放在此列表中,当运行文件时,本地或云威胁模型将不会对其进行评估。这些是“绝对”文件路径。
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
当您启用“终止正在运行的不安全进程及其子进程”时,这将确定威胁是否正在生成子进程,或者应用程序是否已接管当前在内存中运行的其他进程。如果认为进程已被威胁接管,则主要威胁及其生成或当前拥有的任何进程都将立即终止。
“后台威胁检测”启用后,将扫描整个设备以查找任何可移植的可执行文件,然后使用本地威胁模型评估可执行文件,并根据可执行文件的威胁指标,请求使用基于云的 SaaS 来确认该可执行文件的评分。后台威胁检测有两个选项:运行一次和重复运行。一旦您安装并激活 Threat Defense,“运行一次”将对连接到设备的所有物理驱动器执行后台扫描。一旦您安装并激活 Threat Defense,“重复运行”将对连接到设备的所有设备执行后台扫描,并每隔九天重复扫描一次(当前不可配置)。
当您启用“监视新文件”时,设备中引入的任何可移植的可执行文件都将立即使用其使用本地模型显示的威胁指示器进行评估,并采用云托管的 SaaS 确认此分数。
“复制文件样本”允许根据 UNC 路径将设备上发现的任何威胁自动托管到已定义的存储库。这只建议用于内部威胁研究或在环境中保存已封装的威胁的安全存储库。通过“复制文件样本”存储的所有文件都将压缩并采用密码 infected。
“允许日志文件自动上传”使端点可以在午夜时分或文件达到 100 MB 时为 Dell Threat Defense 上传其日志文件。无论文件大小如何,日志都将在夜间上传。所有传输的日志在离开网络之前都将被压缩。
“启用桌面通知”使设备用户能够在文件标记为异常或不安全时允许其设备上出现提示。这是启用此策略的端点上 Dell Threat Defense 托盘图标的右键单击菜单中的选项。
脚本控制通过基于内存筛选器的解决方案进行操作,用于标识正在设备上运行的脚本,并在策略设置为阻止该脚本类型时阻止它们。这些策略的警报设置只会注意到日志和 Dell Threat Defense 控制台中将阻止的脚本。
这些策略适用于 1370 之前的客户端(在 2016 年 6 月之前提供)。仅在这些版本上才会对活动脚本和基于 PowerShell 的脚本执行操作。
这些策略适用于 1370 之后的客户端(在 2016 年 6 月之后提供)。
活动脚本包括由 Windows 脚本主机解释的任何脚本,其中包括 JavaScript、VBScript、批处理文件和许多其他脚本。
PowerShell 脚本包括作为单个命令运行的任何多行脚本。(默认设置 - 警报)
在 PowerShell v3(在 Windows 8.1 中引入)和更高版本中,大多数 PowerShell 脚本将作为单行命令运行;尽管它们可能包含多行,但它们将按顺序运行。这可以绕过 PowerShell 脚本解释器。通过禁用让任何应用程序启动 PowerShell 控制台的功能,阻止 PowerShell 控制台,可解决此问题。集成式脚本环境 (ISE) 不受此策略影响。
宏设置将解释 Office 文档和 PDF 中存在的宏,并阻止可能试图下载威胁的恶意宏。
这些策略完全禁止对每个策略中定义的脚本类型发出警报。在禁用之后,不会收集日志,也不会试图检测或阻止潜在威胁。
如果选中,将阻止日志收集,并阻止任何潜在的基于活动脚本的威胁。活动脚本包括由 Windows 脚本主机解释的任何脚本,其中包括 JavaScript、VBScript、批处理文件和许多其他脚本。
如果选中,将阻止日志收集,并阻止任何潜在的基于 PowerShell 的威胁。PowerShell 脚本包括作为单个命令运行的任何多行脚本。
如果选中,将阻止日志收集,并阻止任何潜在的基于宏的威胁。宏设置将解释 Office 文档和 PDF 中存在的宏,并阻止可能试图下载威胁的恶意宏。
“排除文件夹”允许定义可排除的可在其中运行脚本的文件夹。此部分要求排除项采用相对路径格式。
/windows/system*/。/windows/system32/*//windows/system32/*/folder/*/script.vbs 匹配 \folder\test\script.vbs 或 \folder\exclude\script.vbs,但不适用于 \folder\test\001\script.vbs。这需要 /folder/*/001/script.vbs 或 /folder/*/*/script.vbs。/folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/application正确 (Mac):/Mac\ HD/Users/Cases/ScriptsAllowed
正确 (Windows):\Cases\ScriptsAllowed
错误:C:\Application\SubFolder\application.vbs
错误:\Program Files\Dell\application.vbs
通配符示例:
/users/*/temp 将涵盖:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs 将涵盖:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbs要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Dell Threat Defense
20 Dec 2022
11
Solution