Oppdateringer i oppdagelsesmetode for Dell Endpoint Security Suite Enterprise Advanced Threat Protection (på engelsk)

Berørte produkter:

• Dell Endpoint Security Suite Enterprise
• Dell Threat Defense

Berørte versjoner:

• 1.2.137x 
• 1.2.139x
• 2.0.145x

Dell Data Protections Advanced Threat Protection-produkter; Dell Threat Defense og Dell Endpoint Security Suite Enterprise kan ha sporadiske oppdateringer som endrer hvordan trusler evalueres. Disse oppdateringene kalles ofte «modelloppdateringer», siden de er oppdateringer av trusselmodellen.

For å hjelpe brukerne med å finne ut hvordan en ny modell kan påvirke organisasjonen, finnes det to kolonner på siden Beskyttelse i konsollen. Du kan bruke produksjonsstatus og ny status-sammenligning for å se hvilke filer på enhetene som modellendringen er berørt av.

Brukere bør teste de nye modellene før full produksjonsopprulling. Dette bør minimere utilsiktede strømbrudd som skyldes modellendringer.

Scenariene du bør være klar over, er:

• En fil som anses som sikker i gjeldende modell, kan bli endret til Usikker i den nye modellen. Hvis organisasjonen din trenger denne filen, kan du legge den til i sikkerlisten.
• En fil som gjeldende modell aldri har sett eller fått, og den nye modellen mener den er usikker. Hvis organisasjonen din trenger denne filen, kan du legge den til i sikkerlisten.

Nye beskyttelseskolonner

De to kolonnene er: Produksjonsstatus og ny status:

• Produksjonsstatus: Viser gjeldende modellstatus (sikker, unormal eller usikker) for filen
• Ny status: Viser modellstatus for filen i den nye modellen

Bare filer som finnes på enheter i organisasjonen din som har endringer i trusselpoengsummen, vises. Noen filer kan ha en endring i trusselpoengsummen, men forblir innenfor gjeldende status.

Eksempler:

Trusselpoengsummen for en fil går fra 10 til 20, filstatusen forblir unormal, og filen vises i den oppdaterte modelllisten (hvis denne filen finnes på enheter i organisasjonen din).

Slik viser du kolonnene Current Model (Gjeldende modell) og New Model (Ny modell):

1. Logg på Dell Data Protection Remote Management Console, velg Populations -> Enterprise -> Advanced Threats (Avanserte trusler), og velg deretter beskyttelse-fanen.
2. Klikk på pil ned på en kolonneoverskrift.
3. Velg kolonnene Produksjonsstatus og Ny status.
4. Klikk på pil ned, eller klikk hvor som helst på siden for å lukke menyen for kolonnealternativer.

Du kan nå se gjennom forskjellene mellom de to trusselmodellene.

De to scenariene du bør være klar over, er:

• Gjeldende modell = sikker, ny modell = unormal eller usikker
• Organisasjonen anser filen som sikker, eller klassifiseringen er klarert lokal.
• Organisasjonen din har et unormalt eller usikkert sett til automatisk karantene (AQT).
• Current Model = Null (not seen or scored), New Model = Abnormal or Unsafe
• Organisasjonen anser filen som sikker, eller klassifiseringen er klarert lokal.
• Organisasjonen din har et unormalt eller usikkert sett til automatisk karantene (AQT).

I scenarioene ovenfor er anbefalingen å sikre listen over filene du vil tillate i organisasjonen din.

Identifisere klassifiseringer

Hvis du vil identifisere klassifiseringer som kan påvirke organisasjonen din, anbefaler vi følgende tilnærming:

• Bruk et filter i kolonnen New Model (Ny modell) for å vise alle usikre, unormale filer og filer i karantene. Hvis policyen er satt til automatisk karantene, kan du ikke se usikre eller unormale filer fordi disse truslene er satt i karantene.
• Bruk et filter i produksjonsstatuskolonnen for å vise alle sikre filer.
• Bruk et filter i klassifiseringskolonnen for bare å vise klarerte – lokale trusler. Klarert – Lokale filer analyseres med Dells ATP og er sikre (tryggliste disse elementene etter gjennomgang). Hvis du har mange filer i den filtrerte listen, kan det være lurt å prioritere ved hjelp av flere attributter. Eksempel: Legg til et filter i kolonnen Background Detection (Bakgrunnsregistrering) for å se gjennom trusler som ble funnet av Execution Control (Utførelseskontroll). Disse ble dømt da en bruker forsøkte å kjøre en applikasjon og trenger mer presserende oppmerksomhet enn filer som er dømt for trusseloppdagelse i bakgrunnen eller filkontroll.

Figur 1: (Bare på engelsk) Avanserte trusler 

Anbefalt utrulling av produksjon

Denne delen beskriver strategier for å hjelpe brukerne med å oppgradere til en nyere prediktiv modell. Det anbefales på det sterkeste å tilordne agenter til en policy med automatisk karantene som er aktivert for usikre og unormale filer.

Automatiske oppdateringer med automatisk karantene

Hvis agentene er satt til Automatisk oppdatering, bør du deaktivere automatiske oppdateringer for agenter når nye prediktive modeller lanseres. Hvis det ikke er mulig å deaktivere automatisk karantene eller teste den nye agenten, må du varsle administratorene for Dell Data Protection. Det kan hende at de ønsker å klarere elementer som er feilklassifisert for å oppheve blokkeringen av brukere.

Manuelle oppdateringer med automatisk karantene

Hvis du oppdaterer agentene manuelt, er automatisk oppdatering ikke et problem. Det anbefales at du bruker følgende instruksjoner før du oppdaterer agentene.

1. Test den nye agenten (med den nye modellen) på et representantsett med datamaskiner. Ideelt sett vil disse testmaskinene bli plassert i en automatisk karantenepolicy. Hvis en sikker applikasjon blir blokkert, legger du til filen i sikkerlisten.
2. Når testingen er fullført, ruller du ut den nye agenten til alle datamaskinene dine.

Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.