Aktualizace způsobu detekce v sadě Dell Endpoint Security Suite Enterprise Advanced Threat Protection

Dotčené produkty:

• Dell Endpoint Security Suite Enterprise
• Dell Threat Defense

Dotčené verze:

• 1.2.137x 
• 1.2.139x
• 2.0.145x

produkty Advanced Threat Protection nástroje Dell Data Protection; Software Dell Threat Defense a Dell Endpoint Security Suite Enterprise mohou občasné aktualizace, které mění způsob vyhodnocování hrozeb. Tyto aktualizace se běžně označují jako "modely" aktualizací, jelikož představují aktualizace modelu hrozeb.

Chcete-li uživatelům pomoci zjistit, jak může nový model ovlivnit jejich organizaci, jsou na stránce Ochrana v konzoli dva sloupce. Pomocí porovnání Stav výroby a Nový stav můžete zjistit, které soubory na vašich zařízeních se podle dopadu změní model.

Před úplným produkčním nasazením by měli uživatelé nové modely otestovat. To by mělo minimalizovat všechny nežádoucí výpadky způsobené změnami modelu.

Situace, o kterých byste měli vědět, jsou:

• Soubor, který byl v aktuálním modelu považován za bezpečný, se může u nového modelu změnit na nebezpečné. Pokud vaše organizace tento soubor potřebuje, můžete jej přidat na seznam bezpečných položek.
• Soubor, který aktuální model nikdy nezpozoroval nebo hodnotil, a nový model jej považuje za nebezpečný. Pokud vaše organizace tento soubor potřebuje, můžete jej přidat na seznam bezpečných položek.

Nové sloupce ochrany

Dva sloupce jsou: Stav výroby a nový stav:

• Stav výroby: Zobrazí aktuální stav modelu souboru (bezpečné, abnormální nebo nebezpečné).
• Nový stav: Zobrazí stav modelu souboru v novém modelu.

Zobrazí se pouze soubory nalezené na zařízeních ve vaší organizaci, která mají změny v jejich skóre hrozeb. U některých souborů může dojít ke změně skóre hrozeb, ale zůstávají v jejich aktuálním stavu.

Příklady:

Skóre hrozby pro soubor se přesune z 10 na 20, stav souboru zůstane abnormální a soubor se zobrazí v aktualizovaném seznamu modelů (pokud se tento soubor nachází na zařízeních ve vaší organizaci).

Zobrazení sloupců Current Model a New Model:

1. Přihlaste se do konzole pro vzdálenou správu nástroje Dell Data Protection, vyberte možnost Populations -> Enterprise -> Advanced Threats a poté kartu Protection.
2. Klikněte na šipku dolů v záhlaví sloupce.
3. Vyberte sloupce Stav výroby a Nový stav.
4. Kliknutím na šipku dolů nebo kliknutím kamkoli na stránku zavřete nabídku možností sloupce.

Nyní můžete zkontrolovat rozdíly mezi dvěma modely hrozeb.

Měli byste si být vědomi těchto dvou scénářů:

• Aktuální model = Bezpečný, Nový model = Abnormální nebo Nebezpečné
• Vaše organizace považuje soubor za bezpečný nebo za důvěryhodný místní.
• Vaše organizace má abnormální nebo nebezpečné soubory nastavené do automatické karantény (AQT).
• Current Model = Null (not seen or scored), New Model = Abnormal or Unsafe
• Vaše organizace považuje soubor za bezpečný nebo za důvěryhodný místní.
• Vaše organizace má abnormální nebo nebezpečné soubory nastavené do automatické karantény (AQT).

Ve výše uvedených případech se doporučuje přidat na seznam bezpečných souborů, které chcete povolit ve své organizaci.

Identifikace klasifikací

Pokud chcete identifikovat klasifikace, které by mohly mít vliv na vaši organizaci, doporučujeme následující postup:

• Použití filtru ve sloupci Nový model pro zobrazení všech nebezpečných, abnormálních a souborů v karanténě. Pokud je vaše zásada nastavena na automatickou karanténu, neuvidíte žádné nebezpečné nebo abnormální soubory, protože tyto hrozby byly umístěny do karantény.
• Použití filtru ve sloupci Stav výroby pro zobrazení všech bezpečných souborů.
• Použití filtru ve sloupci Classification zobrazí pouze hrozby Trusted – Local. Důvěryhodné – Místní soubory jsou analyzovány pomocí služby ATP společnosti Dell a ověřeny jako bezpečné (po kontrole tyto položky zařazujte na seznam bezpečných). Pokud je ve filtrovaném seznamu velké množství souborů, můžete upřednostnit použití více atributů. Příklad: Přidejte do sloupce Background Detection filtr, který zkontroluje hrozby nalezené kontrolou spuštění. Ty byly usvědčeny, když se uživatel pokusil spustit aplikaci a potřebuje naléhavou pozornost než ty, které byly usvědčeny pomocí funkce Background Threat Detection nebo File Watcher.

Obrázek 1: (Pouze v angličtině) Pokročilé hrozby 

Doporučené produkční uvedení

Tato část popisuje strategie, které uživatelům pomáhají s upgradem na novější prediktivní model. Důrazně doporučujeme přiřazovat agenty k zásadám s automatickou karanténou, která je povolena pro nebezpečné a abnormální soubory.

Automatické aktualizace s automatickou karanténou

Pokud jsou agenti nastaveni na možnost Auto-Update, měli byste deaktivovat automatické aktualizace agentů po vydání nových prediktivních modelů. Pokud není možné zakázat automatickou karanténu nebo testovat nového agenta, upozorněte správce nástroje Dell Data Protection. Mohou chtít přidat položky Safelist, které jsou nesprávně odlišeny odblokování uživatelů.

Ruční aktualizace s automatickou karanténou

Pokud agenty aktualizujete ručně, pak není automatické aktualizace problém. Před aktualizací agentů doporučujeme použít následující pokyny.

1. Otestujte nového agenta (s novým modelem) na sady zástupců počítačů. V ideálním případě by tyto testovací počítače byly umístěny do zásady automatické karantény. Pokud je aplikace Safe blokována, přidejte soubor na seznam bezpečných souborů.
2. Po dokončení testování zaveďte nového agenta do všech svých počítačů.

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.