Updates to Dell Endpoint Security Suite Enterprise Advanced Threat Protection detection method (Aktualisierungen der Dell Endpoint Security Suite Enterprise Advanced Threat Protection-Erkennungsmethode)

Betroffene Produkte:

• Dell Endpoint Security Suite Enterprise
• Dell Threat Defense

Betroffene Versionen:

• 1,2,137 x 
• x 1.2.139
• x 2.0.145

Advanced Threat Protection-Produkte von Dell Data Protection Dell Threat Defense und Dell Endpoint Security Suite Enterprise verfügen möglicherweise über gelegentliche Aktualisierungen, die die Bewertung von Bedrohungen ändern. Diese Aktualisierungen werden häufig als "Modellaktualisierungen" bezeichnet, da es sich um Aktualisierungen des Bedrohungsmodells handelt.

Um Benutzern zu helfen, zu wissen, wie sich ein neues Modell auf ihr Unternehmen auswirken kann, gibt es zwei Spalten auf der Seite Protection in der Konsole. Sie können den Vergleich des Produktionsstatus und des neuen Status verwenden, um zu sehen, welche Dateien auf Ihren Geräten sich das Modell geändert hat.

Benutzer sollten die neuen Modelle vor einem vollständigen Produktions-Rollout testen. Dadurch sollten unbeabsichtigte Ausfälle durch Modelländerungen minimiert werden.

Die Szenarien, die Sie kennen sollten, sind:

• Eine Datei, die im aktuellen Modell als sicher eingestuft wurde, kann im neuen Modell in "Unsicher" geändert werden. Wenn Ihr Unternehmen diese Datei benötigt, können Sie sie zur Sicheren Liste hinzufügen.
• Eine Datei, die das aktuelle Modell nie gesehen oder bewertet hat, und das neue Modell betrachtet es als unsicher. Wenn Ihr Unternehmen diese Datei benötigt, können Sie sie zur Sicheren Liste hinzufügen.

Neue Schutzspalten

Die beiden Spalten sind: Produktionsstatus und neuer Status:

• Produktionsstatus: Zeigt den aktuellen Modellstatus (sicher, abnormal oder unsicher) für die Datei an.
• Neuer Status: Zeigt den Modellstatus für die Datei im neuen Modell an.

Nur Dateien, die auf Geräten in Ihrem Unternehmen gefunden wurden, die Änderungen in ihrer Bedrohungsbewertung aufweisen, werden angezeigt. Einige Dateien haben möglicherweise eine Änderung der Bedrohungsbewertung, bleiben aber innerhalb ihres aktuellen Status.

Beispiele:

Die Bedrohungsbewertung für eine Datei geht von 10 auf 20, der Dateistatus bleibt abnormal und die Datei wird in der aktualisierten Modellliste angezeigt (wenn diese Datei auf Geräten in Ihrem Unternehmen vorhanden ist).

So zeigen Sie die Spalten "Aktuelles Modell" und "Neues Modell" an:

1. Melden Sie sich bei der Dell Data Protection Remote Management Console an, wählen Sie Bestückungen -> Enterprise -> Advanced Threats aus und wählen Sie dann die Registerkarte Schutz aus.
2. Klicken Sie auf den Pfeil nach unten in einer Spaltenüberschrift.
3. Wählen Sie die Spalten Produktionsstatus und Neuer Status aus.
4. Klicken Sie auf den Abwärtspfeil oder klicken Sie auf eine beliebige Stelle auf der Seite, um das Menü mit den Spaltenoptionen zu schließen.

Sie können nun die Unterschiede zwischen den beiden Bedrohungsmodellen überprüfen.

Die beiden Szenarien, die Sie kennen sollten, sind:

• Aktuelles Modell = sicher, neues Modell = abnormal oder unsicher
• Ihr Unternehmen betrachtet die Datei als sicher oder die Klassifizierung als vertrauenswürdig lokal.
• In Ihrem Unternehmen ist abnormal oder unsicher auf Automatische Quarantäne (Auto Quarantine, AQT) gesetzt.
• Aktuelles Modell = Null (nicht gesehen oder bewertet), Neues Modell = abnormal oder unsicher
• Ihr Unternehmen betrachtet die Datei als sicher oder die Klassifizierung als vertrauenswürdig lokal.
• In Ihrem Unternehmen ist abnormal oder unsicher auf Automatische Quarantäne (Auto Quarantine, AQT) gesetzt.

In den obigen Szenarien wird empfohlen, die Dateien, die Sie in Ihrem Unternehmen zulassen möchten, auf die sichere Liste zu setzen.

Klassifikationen identifizieren

Um Klassifizierungen zu identifizieren, die sich auf Ihr Unternehmen auswirken könnten, empfehlen wir den folgenden Ansatz:

• Wenden Sie einen Filter auf die Spalte New Model an, um alle unsicheren, abnormalen und unter Quarantäne gestellten Dateien anzuzeigen. Wenn Ihre Richtlinie auf Automatische Quarantäne eingestellt ist, können Sie keine unsicheren oder abnormalen Dateien sehen, da diese Bedrohungen unter Quarantäne gestellt wurden.
• Wenden Sie einen Filter auf die Spalte Produktionsstatus an, um alle sicheren Dateien anzuzeigen.
• Wenden Sie einen Filter auf die Spalte Klassifizierung an, um nur vertrauenswürdige – lokale Bedrohungen anzuzeigen. Vertrauenswürdig – Lokale Dateien werden mit dem ATP von Dell analysiert und als sicher befunden (diese Elemente nach der Überprüfung auf eine sichere Liste setzen). Wenn viele Dateien in der gefilterten Liste enthalten sind, sollten Sie die Verwendung weiterer Attribute priorisieren. Beispiel: Fügen Sie der Spalte "Hintergrunderkennung" einen Filter hinzu, um die von der Ausführungskontrolle gefundenen Bedrohungen zu überprüfen. Diese wurden bewertet, wenn ein Benutzer versuchte, eine Anwendung auszuführen, und eine dringendere Aufmerksamkeit als ruhende Dateien erfordern, die von Der Erkennung von Hintergrundbedrohungen oder File Watcher bewertet wurden.

Abbildung 1: (Nur in englischer Sprache) Advanced Threats 

Empfohlene Produktions-Rollouts

In diesem Abschnitt werden Strategien beschrieben, mit denen Nutzer ein Upgrade auf ein neueres prädiktives Modell durchführen können. Es wird dringend empfohlen, Agents einer Richtlinie mit automatischer Quarantäne zuzuweisen, die für unsichere und ungewöhnliche Dateien aktiviert ist.

Automatische Aktualisierungen mit automatischer Quarantäne

Wenn Agents auf Auto-Update eingestellt sind, sollten Sie die automatische Aktualisierung für Agents deaktivieren, wenn neue vorausschauende Modelle veröffentlicht werden. Wenn es nicht möglich ist, die automatische Quarantäne zu deaktivieren oder den neuen Agent zu testen, warnen Sie Ihre Dell Data Protection-Administratoren. Möglicherweise möchten sie Elemente, die fälschlicherweise für die Entsperrung von Benutzern klassifiziert wurden, auf die sichere Liste setzen.

Manuelle Aktualisierungen mit automatischer Quarantäne

Wenn Sie Agents manuell aktualisieren, ist die automatische Aktualisierung kein Problem. Es wird empfohlen, die folgenden Anweisungen zu verwenden, bevor Sie Ihre Agents aktualisieren.

1. Testen Sie den neuen Agent (mit dem neuen Modell) auf einem repräsentativen Computersatz. Idealerweise werden diese Testmaschinen in eine Richtlinie zur automatischen Quarantäne gestellt. Wenn eine sichere Anwendung blockiert wird, fügen Sie die Datei zu Ihrer Sicheren Liste hinzu.
2. Sobald der Test abgeschlossen ist, führen Sie den neuen Agent für alle Ihre Computer aus.

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.