Aktualizacje metody wykrywania programu Dell Endpoint Security Suite Enterprise Advanced Threat Protection

Dotyczy produktów:

• Dell Endpoint Security Suite Enterprise
• Dell Threat Defense

Dotyczy wersji:

• 1,2,137x 
• 1.2.139x
• 2,0,145x

Produkty Dell Data Protection Advanced Threat Protection; Programy Dell Threat Defense i Dell Endpoint Security Suite Enterprise mogą mieć okazjonalne aktualizacje, które zmieniają sposób oceny zagrożeń. Aktualizacje te są powszechnie używane jako aktualizacje "modelu", ponieważ są aktualizacjami modelu zagrożenia.

Aby ułatwić użytkownikom wpływ nowego modelu na jego organizację, na stronie Ochrona znajdują się dwie kolumny w konsoli. Można skorzystać z porównania stanu produkcji i nowego stanu, aby sprawdzić, które pliki na urządzeniach, których model zmienia się jako zagrożony.

Użytkownicy powinni przetestować nowe modele przed pełnym wdrożeniem produkcji. Powinno to zminimalizować wszelkie niezamierzone przerwy w pracy spowodowane zmianami modelu.

Scenariusze, o których należy pamiętać:

• Plik, który w bieżącym modelu został uznany za bezpieczny, może zmienić się na niebezpieczny w nowym modelu. Jeśli Twoja organizacja potrzebuje tego pliku, możesz dodać go do listy bezpiecznych plików.
• Plik, który bieżący model nigdy nie widział lub nie został oceniony, a nowy model uznaje go za niebezpieczny. Jeśli Twoja organizacja potrzebuje tego pliku, możesz dodać go do listy bezpiecznych plików.

Nowe kolumny ochrony

Te dwie kolumny: Stan produkcji i nowy stan:

• Stan produkcji: Wyświetla bieżący stan modelu (bezpieczny, nietypowy lub niebezpieczny) dla pliku
• Nowy stan: Wyświetla stan modelu pliku w nowym modelu

Wyświetlane są tylko pliki znalezione na urządzeniach w organizacji, na których dokonano zmian w wynikach zagrożeń. Niektóre pliki mogą mieć zmianę wyniku zagrożenia, ale pozostają w ich obecnym stanie.

Przykłady:

Ocena zagrożenia dla pliku wzrasta z 10 do 20, stan pliku pozostanie nieprawidłowy, a plik pojawi się na zaktualizowanej liście modeli (jeśli ten plik istnieje na urządzeniach w organizacji).

Aby wyświetlić kolumny Bieżący model i nowy model:

1. Zaloguj się do konsoli Dell Data Protection Remote Management Console, wybierz opcję Populations -> Enterprise -> Advanced Threats, a następnie wybierz kartę Ochrona.
2. Kliknij strzałkę w dół w nagłówku kolumny.
3. Wybierz kolumny Stan produkcji i Nowy stan.
4. Kliknij strzałkę w dół lub kliknij dowolne miejsce na stronie, aby zamknąć menu opcji kolumn.

Teraz można sprawdzić różnice między dwoma modelami zagrożeń.

Oto dwa scenariusze, o których należy pamiętać:

• Bieżący model = bezpieczny, nowy model = nietypowy lub niebezpieczny
• Organizacja uważa plik za bezpieczny lub klasyfikacja jest zaufana lokalnie.
• W Organizacji ustawiono ustawienie Nietypowe lub Niebezpieczne na automatyczną kwarantannę (AQT).
• Bieżący model = null (niewidoczny lub oceniony), nowy model = nietypowy lub niebezpieczny
• Organizacja uważa plik za bezpieczny lub klasyfikacja jest zaufana lokalnie.
• W Organizacji ustawiono ustawienie Nietypowe lub Niebezpieczne na automatyczną kwarantannę (AQT).

W powyższych scenariuszach zaleca się wprowadzenie listy bezpiecznych plików, na które chcesz zezwolić w organizacji.

Identyfikacja klasyfikacji

Aby zidentyfikować klasyfikacje, które mogą wpłynąć na organizację, zalecamy następujące podejście:

• Zastosuj filtr do kolumny Nowy model, aby wyświetlić wszystkie pliki niebezpieczne, nietypowe i poddane kwarantannie. Jeśli zasady są ustawione na automatyczną kwarantannę, nie widzisz żadnych niebezpiecznych lub nietypowych plików, ponieważ zagrożenia te zostały poddane kwarantannie.
• Zastosuj filtr do kolumny Production Status, aby wyświetlić wszystkie bezpieczne pliki.
• Zastosuj filtr do kolumny Klasyfikacja, aby wyświetlać tylko zaufane – lokalne zagrożenia. Zaufane — pliki lokalne są analizowane za pomocą atp firmy Dell i uznane za bezpieczne (lista bezpiecznych tych elementów po przejrzeniu). Jeśli na liście filtrowanych znajduje się wiele plików, warto określić priorytet przy użyciu większej liczby atrybutów. Przykład: Dodaj filtr do kolumny Wykrywanie w tle, aby przejrzeć zagrożenia wykryte przez kontrolę wykonania. Zostały one uznany za zagrożenie, gdy użytkownik próbował uruchomić aplikację i wymaga pilniejszej uwagi niż pliki uznany za wykrywanie zagrożeń w tle lub narzędzie File Watcher.

Rysunek 1. (tylko w języku angielskim) Zaawansowane zagrożenia 

Zalecane wdrożenie produkcji

W tej sekcji przedstawiono strategie, które pomagają użytkownikom w uaktualnieniu do nowszego modelu predykcyjnego. Zdecydowanie zaleca się przypisanie agentów do zasad z automatyczną kwarantanną włączoną dla plików niebezpiecznych i nietypowych.

Automatyczne aktualizacje z automatyczną kwarantanną

Jeśli agenty są ustawione na automatyczną aktualizację, należy wyłączyć automatyczne aktualizacje dla agentów po opublikowaniu nowych modeli predykcyjnych. Jeśli nie można wyłączyć automatycznej kwarantanny lub przetestować nowego agenta, należy powiadomić administratorów Dell Data Protection. Mogą chcieć odszyfikować elementy listy bezpiecznych, które są nieprawidłowo klasyfikowane do odblokowywanie użytkowników.

Ręczne aktualizacje z automatyczną kwarantanną

W przypadku ręcznej aktualizacji agentów automatyczna aktualizacja nie stanowi problemu. Zaleca się korzystanie z poniższych instrukcji przed aktualizacją agentów.

1. Przetestuj nowego agenta (z nowym modelem) na reprezentatywnym zestawie komputerów. W idealnym przypadku te komputery testowe zostałyby umieszczone w zasadach automatycznej kwarantanny. Jeśli bezpieczna aplikacja zostanie zablokowana, dodaj plik do listy bezpiecznych plików.
2. Po zakończeniu testów należy wdrożyć nowego agenta we wszystkich komputerach.

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.