Article Number: 000126777
Come vengono gestite le minacce in Dell Endpoint Security Suite Enterprise
Summary: Modalità di gestione delle minacce da parte di Dell Endpoint Security Suite Enterprise.
Article Content
Symptoms
Nota:
- A maggio 2022, Dell Endpoint Security Suite Enterprise ha raggiunto la fine della manutenzione. Questo articolo non viene più aggiornato da Dell. Per ulteriori informazioni, fare riferimento alla policy sul ciclo di vita del prodotto (fine del supporto/fine del ciclo di vita) per Dell Data Security. Per eventuali domande sugli articoli alternativi, rivolgersi al proprio team di vendita o contattare endpointsecurity@dell.com.
- Fare riferimento alla pagina Sicurezza degli endpoint per ulteriori informazioni sui prodotti correnti.
Prodotti interessati:
- Dell Endpoint Security Suite Enterprise
Il componente Advance Threat Protection Client di Dell Endpoint Security Suite Enterprise utilizza tre fasi per ridurre le minacce:
- Rilevamento: il modo in cui viene individuata una minaccia.
- Analisi: il modo in cui un file viene identificato come una minaccia.
- Correzione: Modalità di gestione delle minacce
Nota:
- Questo articolo ha lo scopo di essere una panoramica generale del processo di mitigazione delle minacce.
- Se il modello locale viene aggiornato con un aggiornamento del client ATP, viene avviato un rilevamento delle minacce in background per Dell Endpoint Security Suite Enterprise e potrebbe verificarsi un nuovo punteggio di tutte le minacce. Per ulteriori informazioni, consultare Aggiornamenti del metodo di rilevamento di Dell Endpoint Security Suite Enterprise Advanced Threat Protection (in inglese).
Cause
Non applicabile
Resolution
Figura 1. (solo in inglese) Fase di rilevamento
Hash file: Il client di Advanced Threat Protection verifica inizialmente se il checksum dei file (noto come hash) è stato precedentemente identificato come una minaccia. L'hash può essere impostato su:
- Inserire il file nell'elenco file sicuri
- Mettere in quarantena il file
Se un hash non è disponibile, Advanced Threat Protection rileva le minacce tramite:
- Controllo delle esecuzioni: File avviati (esegui)
- Analisi dei processi: Processi in esecuzione e configurati per l'avvio automatico
- Protezione della memoria: Dati in-memory
- Rilevamento delle minacce in background: Advanced Threat Protection viene eseguito in background ed esegue la scansione di tutto.
Se viene rilevata una minaccia, Advanced Threat Protection passa alla fase di analisi.
Figura 2. (solo in inglese) Fase di analisi
Una volta rilevata una minaccia, Advanced Threat Protection classifica:
Se è stata rilevata una minaccia durante la fase di rilevamento, viene assegnato un punteggio della minaccia locale.
Se l'endpoint è connesso e online, il valore hash della minaccia viene inviato al cloud. Se il punteggio della minaccia del cloud differisce dal punteggio della minaccia locale, il punteggio della minaccia del cloud viene trasmesso all'endpoint e il punteggio della minaccia cloud sovrascrive il punteggio della minaccia locale.
Nota: I punteggi delle minacce globali vengono scelti sopra la sede locale in quanto riflette le informazioni più aggiornate sul file. Se la policy di caricamento automatico è abilitata e l'hash della minaccia è sconosciuto nel cloud, la minaccia viene caricata nel tenant Cylance.
Se la policy di caricamento automatico è abilitata, la minaccia viene caricata nel tenant Cylance.
Una volta assegnato un punteggio di minaccia, ai dati viene assegnato un attributo non sicuro o anomalo , quindi Advanced Threat Protection passa alla fase di correzione.
Figura 3. (solo in inglese) Fase di correzione
Una volta assegnati il punteggio della minaccia e la classificazione, Advanced Threat Protection determina:
La minaccia deve essere nell'elenco file sicuri? In tal caso, l'hash del file viene aggiunto all'endpoint e non vengono eseguite ulteriori azioni sul file.
Se la minaccia non è nell'elenco file sicuri, Advanced Threat Protection verifica se il criterio Quarantena automatica è abilitato. Se l'opzione Quarantena automatica è abilitata, la minaccia viene messa in quarantena.
Se la quarantena automatica non è abilitata, viene eseguito un controllo per determinare se il file è stato impostato manualmente in quarantena da DDP Administrator. Se la minaccia è impostata per la quarantena, l'hash del file viene aggiunto al database locale dell'endpoint e quindi il file viene messo in quarantena.
Se la minaccia non è nell'elenco file sicuri o in quarantena, viene inviato un avviso alla console per la visibilità dell'amministrazione DDP e la potenziale azione.
Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.
Article Properties
Affected Product
Dell Endpoint Security Suite Enterprise
Last Published Date
14 Nov 2023
Version
9
Article Type
Solution