Recomendaciones de políticas de Dell Threat Defense

Se recomienda configurar las políticas en el Modo de aprendizaje o Modo de protección. El Modo de aprendizaje es la forma en que Dell recomienda probar Dell Threat Defense en un entorno. Esto es más eficaz cuando Dell Threat Defense se implementa en terminales con la imagen de la empresa estándar.

Es posible que se requieran más cambios en los servidores de aplicaciones, debido a una mayor cantidad de I/O en el disco de lo normal.

Una vez que el administrador haya abordado todas las alertas en la consola administrativa de Dell Threat Defense, Dell recomienda cambiar a las recomendaciones de políticas del Modo de protección. Dell recomienda un par de semanas o más de pruebas en el Modo de aprendizaje antes de cambiar a las políticas del Modo de protección.

Para obtener más información, haga clic en Application Server Recommendations, Learning Mode o Protect Mode.

Definiciones de la política de Threat Defense:

Acciones de archivos

Cuarentena automática con control de ejecución para no seguro

En esta política, se determina lo que ocurre con los archivos detectados a medida que se ejecutan. La amenaza se bloquea de manera predeterminada, incluso cuando se detecta un archivo no seguro en estado de ejecución. La denominación No seguro se caracteriza por una puntuación acumulativa del archivo ejecutable portátil que supera los 60 en el sistema de puntuación de Advanced Threat Prevention, según los indicadores de amenazas que se evaluaron.

Cuarentena automática con control de ejecución para anómalo

En esta política, se determina lo que ocurre con los archivos detectados a medida que se ejecutan. La amenaza se bloquea de manera predeterminada, incluso cuando se detecta un archivo anómalo en estado de ejecución. La denominación Anómalo se caracteriza por una puntuación acumulativa del archivo ejecutable portátil que supera el 0, pero no excede los 60, en el sistema de puntuación de Advanced Threat Prevention, según los indicadores de amenazas que se evaluaron.

Habilitar la eliminación automática de los archivos en cuarentena

Cuando los archivos no seguros o anómalos se ponen en cuarentena según las cuarentenas a nivel de dispositivo, las listas de cuarentena global o las políticas de cuarentena automática, estos se conservan en una caché de cuarentena local en un espacio aislado dentro del sistema local. Cuando la opción Enable auto-delete for quarantined files está activada, esta denota la cantidad de días (un mínimo de 14 días y un máximo de 365 días) que se conservará el archivo en el dispositivo local antes de eliminarlo de forma permanente. Cuando esta opción está habilitada, es posible realizar una modificación en la cantidad de días.

Carga automática

Marca las amenazas que el entorno de SaaS (software como servicio) de Threat Defense no detectó para un análisis más profundo. Cuando el modelo local marca un archivo como posible amenaza, se obtiene un hash SHA256 del archivo ejecutable portátil, el que se envía al SaaS. Si el algoritmo hash SHA256 enviado no se puede relacionar con una amenaza y la Carga automática está habilitada, se realizará una carga segura de la amenaza en el SaaS para evaluarla. Estos datos se almacenan de manera segura y Dell o sus socios no pueden acceder a ellos.

Lista segura de políticas

La Lista segura de políticas es una lista de archivos que se determinaron como seguros dentro del entorno y que se eximieron de forma manual mediante el envío del hash SHA256 y cualquier información adicional a esta lista. Cuando se coloca un hash SHA256 dentro de esta lista, cuando se ejecuta el archivo, los modelos de amenazas locales o en la nube no lo evalúan. Estas son rutas de acceso a archivos “absolutas”.

Exclusiones de ejemplo:

Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\

Configuración de protección

Cerrar procesos en ejecución no seguros y los subprocesos

Cuando se activa Kill unsafe running processes and their sub processes, se determina si una amenaza genera procesos secundarios o si la aplicación tomó el control de otros procesos que se ejecutan en la memoria en ese momento. Si se cree que una amenaza tomó el control de un proceso, se cierran de inmediato la amenaza principal y cualquier proceso que haya generado o que sea actualmente de su propiedad.

Detección de amenazas de fondo

Cuando la opción Background Threat Detection está activada, se analiza todo el dispositivo en busca de cualquier archivo ejecutable portátil. Luego, se evalúa ese archivo con el modelo de amenazas local y se solicita una confirmación de la puntuación del archivo ejecutable con el SaaS basado en la nube según los indicadores de amenazas del archivo ejecutable. Dos opciones son posibles con Background Threat Detection: Run Once y Run Recurring. La opción Run Once realiza un análisis en segundo plano de todas las unidades físicas conectadas al dispositivo cuando Threat Defense se instala y activa. La opción Run Recurring realiza un análisis en segundo plano de todos los dispositivos conectados al dispositivo cuando Threat Defense se instala y activa, y repite el análisis cada nueve días (no configurable).

Buscar nuevos archivos

Cuando la opción Watch for New Files está habilitada, cualquier ejecutable portátil que se introduzca al dispositivo se evalúa de forma inmediata con los indicadores de amenazas que se muestran con el modelo local, y esta puntuación se confirmará en relación al SaaS alojado en la nube.

Copiar muestras de archivos

La opción Copy Files Samples permite depositar de forma automática cualquier amenaza que se encuentre en el dispositivo dentro de un repositorio definido según la ruta de acceso UNC. Esto solo se recomienda para la investigación de amenazas interna o para mantener un repositorio seguro de las amenazas contenidas dentro del entorno. Todos los archivos almacenados en Copy File Samples se comprimen con la contraseña infected.

Configuración del agente

Habilitar la carga automática de archivos de registro

La opción Enable Auto-Upload of log files permite que los terminales carguen los archivos de registro en Dell Threat Defense a la medianoche, o cuando el archivo alcance los 100 Mb. Los registros se cargan por la noche, sin importar el tamaño del archivo. Todos los registros que se transfieren se comprimen antes de que salgan de la red.

Habilitar notificación en escritorio

La opción Enable Desktop Notification permite que los usuarios del dispositivo habiliten los avisos en el dispositivo si un archivo se marca como anómalo o no seguro. Esta es una opción dentro del menú accesible haciendo clic con el botón secundario en el icono de la bandeja de Dell Threat Defense de los terminales con esta política habilitada.

Control de scripts

Control de scripts

El control de scripts funciona a través de una solución basada en filtro de memoria para identificar los scripts que se ejecutan en el dispositivo y evitarlos si la política está configurada en “Block for that script type”. La configuración de alertas de estas políticas solo nota scripts que se habrían bloqueado dentro de los registros y en la consola de Dell Threat Defense.

1370 y versiones anteriores

Estas políticas se aplican a los clientes anteriores a la versión 1370, que estaba disponible antes de junio del 2016. En estas versiones, solo se realizan acciones en los scripts activos y los scripts basados en PowerShell.

1380 y versiones posteriores

Estas políticas se aplican a los clientes posteriores a la versión 1370, que estaba disponible después de junio del 2016.

Script activo

Los scripts activos incluyen cualquier script que se interprete mediante el host de script de Windows, incluidos JavaScript, VBScript, archivos por lotes y muchos otros.

PowerShell

Los scripts de PowerShell incluyen cualquier script de varias líneas que se ejecuta como un solo comando. (Configuración predeterminada: alerta)

Block PowerShell Console Usage: (no está presente cuando PowerShell está configurado en Alert)

En PowerShell v3 (presentado en Windows 8.1) y versiones posteriores, la mayoría de los scripts de PowerShell se ejecutan como un comando de una sola línea. Aunque pueden contener varias líneas, se ejecutan en orden. Esto puede omitir el intérprete de scripts de PowerShell. La opción Block PowerShell console funciona en torno a esto, ya que deshabilita la capacidad para que cualquier aplicación inicie la consola de PowerShell. Esta política no afecta al entorno de scripting integrado (ISE).

Macros

La configuración de Macro interpreta las macros que están presentes dentro de los documentos de Office y archivos PDF, y bloquea las macros maliciosas que puedan intentar descargar amenazas.

Deshabilitar el control de scripts

Estas políticas deshabilitan por completo la capacidad de incluso alertar sobre el tipo de script definido dentro de cada política. Cuando está deshabilitado, no se recolecta ningún registro y no se realiza ningún intento de detección o de bloqueo de posibles amenazas.

Script activo

Cuando se selecciona esta opción, se impide la recopilación de registros y se bloquean todas las posibles amenazas basadas en scripts activos. Los scripts activos incluyen cualquier script que se interprete mediante el host de script de Windows, incluidos JavaScript, VBScript, archivos por lotes y muchos otros.

PowerShell

Cuando se selecciona esta opción, se impide la recopilación de registros y se bloquean todas las posibles amenazas basadas en Powershell. Los scripts de PowerShell incluyen cualquier script de varias líneas que se ejecuta como un solo comando.

Macros

Cuando se selecciona esta opción, se impide la recopilación de registros y se bloquean todas las posibles amenazas basadas en macros. La configuración de Macro interpreta las macros que están presentes dentro de los documentos de Office y archivos PDF, y bloquea las macros maliciosas que puedan intentar descargar amenazas.

Exclusiones de carpetas (incluye subcarpetas)

Las exclusiones de carpetas permiten definir las carpetas en las que se pueden ejecutar los scripts y en los que se pueden excluir. En esta sección, se solicitan exclusiones en un formato de ruta de acceso relativa.

• Las rutas de carpetas pueden ser un disco local, una unidad de red asignada o una ruta de convención de nomenclatura universal (UNC).
• Las exclusiones de la carpeta de script deben especificar la ruta de acceso relativa de la carpeta o subcarpeta.
• Todas las rutas de carpetas especificadas también incluyen las subcarpetas.
• Las exclusiones de comodines deben utilizar barras diagonales en el estilo UNIX para las computadoras Windows. Ejemplo: /windows/system*/.
• El único carácter compatible con los comodines es *.
• Las exclusiones de carpetas con un comodín deben contar con una barra diagonal al final de la ruta para diferenciar una carpeta de un archivo.
  • Exclusión de carpetas: /windows/system32/*/
  • Exclusión de archivos: /windows/system32/*
• Se debe agregar un comodín por cada nivel de profundidad de carpeta. Por ejemplo, /folder/*/script.vbs coincide con \folder\test\script.vbs o \folder\exclude\script.vbs, pero no funciona para \folder\test\001\script.vbs. Esto requeriría /folder/*/001/script.vbs o /folder/*/*/script.vbs.
• Los comodines admiten exclusiones completas y parciales.
  • Ejemplo de comodín completo: /folder/*/script.vbs
  • Ejemplo de comodín parcial: /folder/test*/script.vbs
• Las rutas de red también admiten comodines.
  • //*/login/application
  • //abc*/logon/application

Correcto (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correcto (Windows): \Cases\ScriptsAllowed
Incorrecto: C:\Application\SubFolder\application.vbs
Incorrecto: \Program Files\Dell\application.vbs

Ejemplos de comodín:

/users/*/temp cubriría lo siguiente:

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs cubriría lo siguiente:

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs