Cómo se administran las amenazas en Dell Endpoint Security Suite Enterprise

Figura 2: (Solo en inglés) Fase de análisis

Una vez que se detecta una amenaza, Advanced Threat Protection clasifica lo siguiente:

Si se encontró una amenaza durante la fase de detección, se asigna un puntaje de amenaza local.

Si el extremo está conectado y en línea, el valor hash de la amenaza se envía a la nube. Si el puntaje de amenaza de la nube difiere del puntaje de amenaza local, el puntaje de amenaza de la nube se transmite al terminal y el puntaje de amenaza de la nube sobrescribe el puntaje de amenaza local.

Si la política de carga automática está habilitada, la amenaza se carga en el grupo de usuarios de Cylance.

Una vez que se asigna un puntaje de amenaza, los datos reciben un atributo no seguro o anómalo y, a continuación, Advanced Threat Protection pasa a la fase de corrección.

Figura 3: (Solo en inglés) Fase de corrección

Una vez que se ha asignado un puntaje y una clasificación de amenaza, Advanced Threat Protection determina lo siguiente:

¿Debe aparecer la amenaza en la lista de seguridad? Si es así, el hash de archivo se agrega al terminal y no se realiza ninguna otra acción en el archivo.

Si la amenaza no aparece en la lista de seguridad, Advanced Threat Protection comprueba si la política En cuarentena automática está activada. Si la cuarentena automática está activada, la amenaza estará en cuarentena.

Si la cuarentena automática no está habilitada, se realiza una comprobación para determinar si el administrador de DDP configuró manualmente el archivo en cuarentena . Si la amenaza está configurada para cuarentena, el hash de archivo se agrega a la base de datos local del extremo y, a continuación, el archivo se pone en cuarentena.

Si la amenaza no aparece en la lista de seguridad ni está en cuarentena, se envía una alerta a la consola para la visibilidad de la administración de DDP y la posible acción.