Article Number: 000126777
如何在 Dell Endpoint Security Suite Enterprise 中管理威脅
Summary: Dell Endpoint Security Suite Enterprise 如何管理威脅。
Article Content
Symptoms
注意:
- 截至 2022 年 5 月,Dell Endpoint Security Suite Enterprise 已達到維護結束的期限。Dell 已不再更新本文。如需詳細資訊,請參閱 Dell 資料安全性的產品生命週期 (支援結束/生命週期結束) 政策。如果您對其他文章有任何問題,請聯絡您的銷售團隊或聯絡 endpointsecurity@dell.com。
- 請參考端點安全性,以取得有關目前產品的其他資訊。
受影響的產品:
- Dell Endpoint Security Suite Enterprise
Dell Endpoint Security Suite Enterprise 的進階威脅防護用戶端元件在威脅緩解方面使用三個階段:
- 偵測:找到威脅的方式。
- 分析:如何識別威脅檔案。
- 補救措施:處理威脅的方式
注意:
- 本文意指威脅緩解程式的高概觀。
- 如果本機機型以 ATP 用戶端更新進行更新,則會針對 Dell Endpoint Security Suite Enterprise 啟動背景威脅偵測,並且可能再次檢查所有威脅。如需詳細資訊,請參閱Dell Endpoint Security Suite Enterprise 進階威脅防護偵測方法的更新。
Cause
不適用
Resolution
圖 1:(僅限英文)偵測階段
檔案雜湊:進階威脅防護用戶端一開始會檢查檔案總和 (稱為雜湊) 是否先前已識別為威脅。雜湊可以設定為:
- 安全列出檔案
- 隔離盤案
如果無法使用雜湊,進階威脅保護會透過以下方式偵測威脅:
- 執行控制:已啟動 (執行) 檔案
- 程式掃描:執行和設定自動啟動的程式
- 記憶體保護:記憶體中的資料
- 背景威脅偵測:進階威脅保護會在背景執行,並掃描全部。
如果偵測到威脅,進階威脅保護會進入 分析階段。
圖 2:(僅限英文)分析階段
偵測到威脅後,進階威脅保護會分類:
如果在偵測階段發現威脅,則 會指派本機威脅分數。
如果端點 已連線 並 聯機,則威脅的雜湊值會傳送至雲端。如果雲端威脅分數與本機威脅分數不同,雲端威脅分數會轉送至端點,而雲端威脅分數會覆寫本機威脅分數。
注意:全域威脅分數會選擇在本機以上,因為它會反映檔案最新的相關資訊。如果自動上傳原則已啟用,且雲端的威脅雜湊不明,則威脅會上傳至 Cylance 租戶。
如果啟用自動上傳原則,則 威脅會上傳至 Cylance 租戶。
一旦指派威脅分數後,資料會獲得 不安全或異常屬性 ,進階威脅保護會進入 補救階段。
圖 3:(僅限英文)補救階段
一旦指派威脅分數和分類後,進階威脅保護就會決定:
威脅應安全列出嗎?如果是這樣, 檔案雜湊會新增至端點 ,且不會對檔案採取進一步動作。
如果威脅未安全列出,進階威脅防護會檢查自動隔離原則是否已啟用。如果 啟用自動隔離,則威脅會隔離。
如果未啟用自動隔離,則會檢查檔案,以判斷檔案是否已由 DDP 系統管理員 手動設定為隔離 。如果威脅已設為隔離,則 檔案雜湊會新增至端點的本機資料庫,然後隔離該檔案。
如果威脅未安全列出或隔離,則會將警示傳送至主控台,以便 DDP 管理可見度和可能的動作。
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
Article Properties
Affected Product
Dell Endpoint Security Suite Enterprise
Last Published Date
14 Nov 2023
Version
9
Article Type
Solution