Dell Endpoint Security Suite Enterprise 進階威脅防護偵測方法的更新

受影響的產品：

• Dell Endpoint Security Suite Enterprise
• Dell Threat Defense

受影響的版本：

• 1.2.137 倍 
• 1.2.139 倍
• 2.0.145 倍

Dell Data Protection 的進階威脅保護產品;Dell 威脅防禦和 Dell Endpoint Security Suite Enterprise 可能偶爾會更新，以改變威脅的評估方式。這些更新通常稱為「型號」更新，因為它們是威脅模型的更新。

為了協助使用者瞭解新模式可能會如何影響其組織，主控台的保護頁面上有兩欄。您可以使用「生產狀態」和「新狀態」比較來查看裝置上哪些檔案，該型號會變更為受影響。

使用者應在全面展開生產前測試新機型。這應該會將機型變更造成的任何意外中斷降至最低。

您應該注意的案例包括：

• 在目前型號中視為安全的檔案可能會在新模式中變更為「不安全」。如果您的組織需要該檔案，您可以將其新增至 Safelist。
• 目前型號從未出現或已通過評分的檔案，而新機型則認為不安全。如果您的組織需要該檔案，您可以將其新增至 Safelist。

新的保護欄

這兩欄是：生產狀態和新狀態：

• 生產狀態：顯示檔案目前的型號狀態 （安全、異常或不安全）
• 新狀態：顯示新機型中檔案的機型狀態

只有在貴組織中已變更其威脅分數的裝置上找到的檔案才會顯示。某些檔案可能有威脅分數變更，但仍處於目前狀態。

範例：

檔案的威脅分數為 10 到 20，檔案狀態將保持異常，而且檔案會顯示在更新的型號清單中 （如果此檔案存在於貴組織的裝置上）。

若要檢視目前的型號和新型號欄：

1. 登入 Dell 資料保護遠端管理主控台，選取「人口」->企業->進階威脅，然後選取「保護」標籤。
2. 按一下欄標題上的向下箭頭。
3. 選取「生產狀態」和「新狀態」欄。
4. 按一下向下箭頭或按一下頁面上的任何地方，以關閉欄選項功能表。

您現在可以檢閱這兩種威脅模型之間的差異。

您應該注意的兩個案例是：

• 目前型號 = 安全、新型號 = 異常或不安全
• 您的組織會將檔案視為安全，或是「分類」為「受信任的本機」。
• 您的組織有異常或不安全設定為自動隔離 （AQT）。
• 目前型號 = Null （未顯示或評分），新型號 = 異常或不安全
• 您的組織會將檔案視為安全，或是「分類」為「受信任的本機」。
• 您的組織有異常或不安全設定為自動隔離 （AQT）。

在上述情況下，建議將您想要在組織中允許的檔案安全清單。

識別分類

若要識別可能影響組織的分類，我們建議使用下列方法：

• 將篩選器套用至「新型號」欄，以顯示所有「不安全」、「異常」和「隔離」的檔案。如果您的原則設為「自動隔離」，您就看不到任何「不安全」或「異常」檔案，因為這些威脅已隔離。
• 將篩選器套用至「生產狀態」欄，以顯示所有安全檔案。
• 在「分類」欄套用篩選器，僅顯示「受信任 - 本機威脅」。受信任 - 本機檔案會與 Dell 的 ATP 進行分析，併發現安全 （檢閱後請安全列出這些專案）。如果您在篩選的清單中有很多檔案，則可能需要使用更多屬性來排定優先順序。範例：將篩選器新增至「背景偵測」欄，以檢閱「執行控制」找到的威脅。當使用者嘗試執行應用程式時，這些檔案已判定有罪，而且需要比背景威脅偵測或檔案觀察程式判定的休眠檔案更為緊急。

圖 1：（僅限英文）進階威脅 

建議生產推出

本節概述了協助使用者升級至較新預測模式的策略。強烈建議將代理程式指派給啟用「不安全」和「異常」檔案的自動隔離原則。

自動更新與自動隔離

如果代理程式設為自動更新，則應在發佈新的預測模型時停用代理程式的自動更新。如果無法停用自動隔離或測試新的代理程式，請向 Dell Data Protection Administrator 發出警示。他們可能想要安全清單專案，這些專案被錯誤分類以解除封鎖使用者。

自動隔離的手動更新

如果您手動更新代理程式，則不需擔心自動更新。建議您在更新代理程式前先使用下列指示。

1. 在有代表性的電腦上測試新的代理程式 （使用新機型）。理想情況下，這些測試機器會置於自動隔離原則中。如果安全應用程式遭到封鎖，請將檔案新增至您的安全清單。
2. 測試完成後，請將新的代理程式導入您的所有電腦。

如要聯絡支援部門，請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect，以線上產生技術支援要求。
如需更多深入見解與資源，請加入 Dell 安全性社群論壇。