Article Number: 000126777
So werden Bedrohungen in Dell Endpoint Security Suite Enterprise gemanagt
Summary: So werden Bedrohungen von Dell Endpoint Security Suite Enterprise verwaltet.
Article Content
Symptoms
Hinweis:
- Mit Stand Mai 2022 hat Dell Endpoint Security Suite Enterprise das Ende der Wartung erreicht. Dieser Artikel wird durch Dell nicht mehr aktualisiert. Weitere Informationen finden Sie in der Richtlinie Produktlebenszyklus (Ende des Supports/Ende der Lebensdauer) für Dell Data Security. Wenn Sie Fragen zu alternativen Artikeln haben, wenden Sie sich an Ihren Vertriebsmitarbeiter oder wenden Sie sich an endpointsecurity@dell.com.
- Weitere Informationen zu aktuellen Produkten finden Sie unter Endpoint Security.
Betroffene Produkte:
- Dell Endpoint Security Suite Enterprise
Die Advanced Threat Protection Client-Komponente von Dell Endpoint Security Suite Enterprise verwendet drei Phasen zur Bedrohungsminderung:
- Erkennung: Wo sich eine Bedrohung befindet
- Analyse: Warum eine Datei als Bedrohung erkannt wird
- Korrektur: Umgang mit Bedrohungen
Hinweis:
- Dieser Artikel bietet einen allgemeinen Überblick über den Prozess zur Bedrohungsminderung.
- Wenn das lokale Modell mit einer ATP-Clientaktualisierung aktualisiert wird, wird eine Hintergrundbedrohungserkennung für Dell Endpoint Security Suite Enterprise initiiert und eine erneute Bewertung aller Bedrohungen kann auftreten. Weitere Informationen finden Sie unter Aktualisierungen der Dell Endpoint Security Suite Enterprise Advanced Threat Protection-Erkennungsmethode.
Cause
Nicht zutreffend
Resolution
Abbildung 1: (Nur in englischer Sprache) Erkennungsphase
Datei-Hash: Der Advanced Threat Protection-Client prüft zunächst, ob die Dateiprüfsumme (auch als Hash bezeichnet) zuvor als Bedrohung identifiziert wurde. Der Hash kann wie folgt festgelegt werden:
- Sichere Liste der Datei
- Quarantäne der Datei
Wenn kein Hash verfügbar ist, erkennt Advanced Threat Protection Bedrohungen wie folgt:
- Ausführungskontrolle: Dateien starten (ausführen)
- Prozessscan: Für den automatischen Start ausgeführte und konfigurierte Prozesse
- Speicherschutz: Daten im Arbeitsspeicher
- Erkennung von Hintergrundbedrohungen: Advanced Threat Protection wird im Hintergrund ausgeführt und scannt alle.
Wenn eine Bedrohung erkannt wird, wird Advanced Threat Protection in die Analysephase verschoben.
Abbildung 2: (Nur in englischer Sprache) Analysephase
Sobald eine Bedrohung erkannt wurde, klassifiziert Advanced Threat Protection Folgendes:
Wenn während der Erkennungsphase eine Bedrohung gefunden wurde, wird eine lokale Bedrohungsbewertung zugewiesen.
Wenn der Endpunkt verbunden und online ist, wird der Hash-Wert der Bedrohung an die Cloud gesendet. Wenn sich die Bewertung der Cloudbedrohung von der Bewertung der lokalen Bedrohung unterscheidet, wird die Bewertung der Cloudbedrohung an den Endpunkt weitergeleitet und die Bewertung der Cloudbedrohung überschreibt den Punktwert für die lokale Bedrohung.
Hinweis: Globale Bedrohungsbewertungen werden über lokal ausgewählt, da sie die aktuellsten Informationen über die Datei widerspiegeln. Wenn die Richtlinie für den automatischen Upload aktiviert ist und der Hash der Bedrohung in der Cloud unbekannt ist, wird die Bedrohung in den Cylance-Mandanten hochgeladen.
Wenn die Richtlinie zum automatischen Hochladen aktiviert ist, wird die Bedrohung in den Cylance-Mandanten hochgeladen.
Sobald eine Bedrohungsbewertung zugewiesen wurde, erhalten die Daten ein unsicheres oder abnormales Attribut und dann wird Advanced Threat Protection in die Korrekturphase verschoben.
Abbildung 3: (Nur in englischer Sprache) Korrekturphase
Sobald eine Bedrohungsbewertung und -klassifizierung zugewiesen wurde, bestimmt Advanced Threat Protection Folgendes:
Sollte die Bedrohung sicher aufgelistet werden? Wenn dies der Lage ist, wird der Datei-Hash zum Endpunkt hinzugefügt und es werden keine weiteren Aktionen für die Datei durchgeführt.
Wenn die Bedrohung nicht sicher aufgeführt ist, prüft Advanced Threat Protection, ob die Richtlinie automatisch unter Quarantäne gestellt aktiviert ist. Wenn die automatische Quarantäne aktiviert ist, wird die Bedrohung unter Quarantäne gestellt.
Wenn die automatische Quarantäne nicht aktiviert ist, wird geprüft, ob die Datei manuell vom DDP-Administrator auf Quarantäne festgelegt wurde . Wenn die Bedrohung für die Quarantäne festgelegt ist, wird der lokalen Datenbank des Endpunkts der Datei-Hash hinzugefügt und die Datei wird dann unter Quarantäne gestellt.
Wenn die Bedrohung nicht als sicher aufgelistet oder unter Quarantäne gestellt wird, wird eine Warnmeldung an die Konsole gesendet, um DDP-Administrationstransparenz und potenzielle Maßnahmen zu erhalten.
Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.
Article Properties
Affected Product
Dell Endpoint Security Suite Enterprise
Last Published Date
14 Nov 2023
Version
9
Article Type
Solution