Article Number: 000126777
Gestion des menaces dans Dell Endpoint Security Suite Enterprise
Summary: Gestion des menaces par Dell Endpoint Security Suite Enterprise.
Article Content
Symptoms
Remarque :
- depuis mai 2022, Dell Endpoint Security Suite Enterprise n’est plus couvert par les services de maintenance. Cet article n’est plus mis à jour par Dell. Pour plus d’informations, consultez la politique de cycle de vie du produit (fin de support/fin de vie) pour Dell Data Security. Si vous avez des questions concernant des articles, contactez votre équipe des ventes ou endpointsecurity@dell.com.
- Consultez l’article sur la sécurité des points de terminaison pour plus d’informations sur les produits actuels.
Produits concernés :
- Dell Endpoint Security Suite Enterprise
Le composant Advanced Threat Protection Client de Dell Endpoint Security Suite Enterprise utilise trois phases pour réduire les menaces :
- Détection : localisation d’une menace.
- Analyse : identification d’un fichier comme menace.
- Mesures correctives : Gestion des menaces
Remarque :
- Cet article est destiné à être un aperçu général du processus d’atténuation des menaces.
- Si le modèle local est mis à jour avec une mise à jour du client ATP, une détection des menaces en arrière-plan est lancée pour Dell Endpoint Security Suite Enterprise et une nouvelle évaluation de toutes les menaces peut se produire. Pour plus d’informations, reportez-vous à la section Mises à jour de la méthode de détection de Dell Endpoint Security Suite Enterprise Advanced Threat Protection.
Cause
Sans objet
Resolution
Figure 1 : (en anglais uniquement) Phase de détection
Hachage de fichier : Le client Advanced Threat Protection vérifie initialement si le checksum de fichier (appelé hachage) a été précédemment identifié comme une menace. Le hachage peut être défini sur :
- Mise en liste blanche du fichier
- Mettre le fichier en quarantaine
Si aucun hachage n’est disponible, Advanced Threat Protection détecte les menaces en :
- Contrôle de l’exécution : Fichiers lancés (exécutés)
- Analyse des processus : Processus en cours d’exécution et configurés pour le démarrage automatique
- Protection de la mémoire : Données en mémoire
- Détection des menaces en arrière-plan : Advanced Threat Protection s’exécute en arrière-plan et analyse tout.
Si une menace est détectée, Advanced Threat Protection passe à la phase d’analyse.
Figure 2 : (en anglais uniquement) Phase d’analyse
Une fois qu’une menace a été détectée, Advanced Threat Protection classe les informations suivantes :
Si une menace a été détectée au cours de la phase de détection, un score de menace local est attribué.
Si le point de terminaison est connecté et en ligne, la valeur de hachage de la menace est envoyée au Cloud. Si le score de menace cloud diffère du score de menace local, le score de menace cloud est relayé au point de terminaison et le score de menace cloud écrase le score de menace local.
Remarque : Les scores de menaces globaux sont choisis au-dessus du local, car ils reflètent les informations les plus récentes sur le fichier. Si la règle de téléchargement automatique est activée et que le hachage de la menace est inconnu pour le Cloud, la menace est alors téléchargée vers le client Cylance.
Si la règle de téléchargement automatique est activée, la menace est téléchargée vers le client Cylance.
Une fois qu’un score de menace est attribué, les données se voient attribuer un attribut dangereux ou anormal , puis Advanced Threat Protection passe à la phase de correction.
Figure 3 : (en anglais uniquement) Phase de correction
Une fois qu’un score de menace et une classification ont été attribués, Advanced Threat Protection détermine les éléments suivants :
La menace doit-elle être répertoriée en toute sécurité ? Si c’est le cas, le hachage de fichier est ajouté au point de terminaison et aucune autre action n’est effectuée sur le fichier.
Si la menace n’est pas répertoriée en mode sécurisé, Advanced Threat Protection vérifie si la règle Mise en quarantaine automatique est activée. Si la mise en quarantaine automatique est activée, la menace est mise en quarantaine.
Si la mise en quarantaine automatique n’est pas activée, une vérification est effectuée pour déterminer si le fichier a été mis en quarantaine manuellement par l’administrateur DDP. Si la menace est définie pour la quarantaine, le hachage de fichier est ajouté à la base de données locale du point de terminaison, puis le fichier est mis en quarantaine.
Si la menace n’est pas mise en liste de sécurité ou mise en quarantaine, une alerte est envoyée à la console pour la visibilité de DDP Administration et l’action potentielle.
Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.
Article Properties
Affected Product
Dell Endpoint Security Suite Enterprise
Last Published Date
14 Nov 2023
Version
9
Article Type
Solution