Article Number: 000126777
如何在 Dell Endpoint Security Suite Enterprise 中管理威胁
Summary: Dell Endpoint Security Suite Enterprise 如何管理威胁。
Article Content
Symptoms
提醒:
- 从 2022 年 5 月起,Dell Endpoint Security Suite Enterprise 停止维护。戴尔不再更新本文。有关更多信息,请参阅 戴尔数据安全产品生命周期(支持终止/停售)政策。如果您对其他文章有任何疑问,请联系您的销售团队或联系 endpointsecurity@dell.com。
- 请参阅端点安全性,了解有关当前产品的其他信息。
受影响的产品:
- Dell Endpoint Security Suite Enterprise
Dell Endpoint Security Suite Enterprise 的 Advance Threat Protection Client 组件在威胁缓解方面使用三个阶段:
- 检测:如何找到威胁。
- 分析:如何将文件确定为威胁。
- 补救措施:如何处理威胁
提醒:
- 本文旨在概括介绍威胁缓解过程。
- 如果本地型号通过 ATP 客户端更新进行更新,则会针对 Dell Endpoint Security Suite Enterprise 启动后台威胁检测,并且可能会对所有威胁进行重新评分。有关详细信息,请参阅 Dell Endpoint Security Suite Enterprise Advanced Threat Protection 检测方法的更新 。
Cause
不适用
Resolution
图 1:(仅限英文)检测阶段
文件哈希:Advanced Threat Protection 客户端最初检查文件校验和(称为哈希)以前是否被标识为威胁。哈希可以设置为:
- 将文件列入安全列表
- 隔离文件
如果哈希不可用,则 Advanced Threat Protection 通过以下方式检测威胁:
- 执行控制:启动(运行)文件
- 进程扫描:运行并配置用于自动启动的进程
- 内存保护:内存中的数据
- 后台威胁检测:Advanced Threat Protection 在后台运行并扫描所有内容。
如果检测到威胁,则 Advanced Threat Protection 将进入 分析阶段。
图 2:(仅限英文)分析阶段
检测到威胁后,Advanced Threat Protection 会对以下内容进行分类:
如果在检测阶段发现威胁,则 会分配本地威胁评分。
如果端点 已连接 并 联机,则威胁的哈希值将发送到云。如果云威胁评分与本地威胁评分不同,则云威胁评分将传递到端点,而云威胁评分会覆盖本地威胁评分。
提醒:全局威胁评分选择在本地之上,因为它反映有关文件的最新信息。如果启用了自动上传策略,并且云中的威胁哈希未知,则威胁将上传到 Cylance 租户。
如果启用了自动上传策略,则 威胁将上传到 Cylance 租户。
分配威胁分数后,数据将获得 不安全或异常属性 ,然后 Advanced Threat Protection 进入 补救阶段。
图 3:(仅限英文)补救阶段
分配威胁评分和分类后,高级威胁防护将确定:
是否应安全列出威胁?如果是这样, 文件哈希将添加到端点 ,并且不会对文件采取进一步操作。
如果威胁未安全列出,则 Advanced Threat Protection 会检查是否已启用自动隔离策略。如果 启用了自动隔离,则威胁将被隔离。
如果未启用自动隔离,则执行检查以确定文件是否已被 DDP 管理员 手动设置为隔离 。如果将威胁设置为隔离,则 文件哈希将添加到端点的本地数据库,然后将文件隔离。
如果威胁未安全列出或隔离,则会将警报发送到控制台以获得 DDP 管理可见性和潜在操作。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Article Properties
Affected Product
Dell Endpoint Security Suite Enterprise
Last Published Date
14 Nov 2023
Version
9
Article Type
Solution