Dell Endpoint Security Suite Enterprise Advanced Threat Protectionin tunnistusmenetelmän päivitykset

Tuotteet, joita asia koskee:

• Dell Endpoint Security Suite Enterprise
• Dell Threat Defense

Versiot, joita asia koskee:

• 1,2,137 x 
• 1,2,139 x
• 2,0,145 x

Dell Data Protectionin Advanced Threat Protection -tuotteet Dell Threat Defensessä ja Dell Endpoint Security Suite Enterprisessa saattaa olla ajoittaisia päivityksiä, jotka muuttavat uhkien arviointia. Näihin päivityksiin viitataan yleisesti mallipäivityksinä, koska ne ovat uhkamallin päivityksiä.

Voit auttaa käyttäjiä tietämään, miten uusi malli voi vaikuttaa heidän organisaatioonsa. Konsolin Protection-sivulla on kaksi saraketta. Voit tarkistaa tuotantotilan ja uuden tilan vertailulla, mitkä laitteiden tiedostot mallin mukaan muuttuvat.

Käyttäjien on testattava uudet mallit ennen täydellistä tuotantojärjestelmän käyttöönottoa. Näin voidaan minimoida mallimuutoksista johtuvat tahattomat käyttökatkokset.

Huomioi seuraavat skenaariot:

• Nykyisessä mallissa turvalliseksi katsottu tiedosto voi muuttua vaaralliseksi uudessa mallissa. Jos organisaatio tarvitsee kyseisen tiedoston, voit lisätä sen turvallisten osoitteiden luetteloon.
• Tiedosto, jota nykyinen malli ei ole koskaan havainnenut tai arvioinut, ja uusi malli pitää sitä vaarallisena. Jos organisaatio tarvitsee kyseisen tiedoston, voit lisätä sen turvallisten osoitteiden luetteloon.

Uudet Protection-sarakkeet

Sarakkeet ovat seuraavat: Tuotannon tila ja uusi tila:

• Tuotannon tila: Näyttää tiedoston nykyisen mallin tilan (turvallinen, poikkeava tai vaarallinen).
• Uusi tila: Näyttää tiedoston mallin tilan uudessa mallissa

Vain organisaation laitteista löytyneet tiedostot, joiden uhkapisteytykseen on tehty muutoksia, tulevat näkyviin. Joidenkin tiedostojen uhkapisteet voivat muuttua, mutta ne jäävät nykyiseen tilaan.

Esimerkkejä:

Tiedoston uhkapisteet ovat 10–20, tiedoston tila pysyy Poikkeavana ja tiedosto näkyy päivitetyssä malliluettelossa (jos tiedosto on organisaation laitteissa).

Nykyisen mallin ja uuden mallin sarakkeiden tarkasteleminen:

1. Kirjaudu sisään Dell Data Protection Remote Management Consoleen, valitse Populations -> Enterprise -> Advanced Threats ja valitse Protection-välilehti.
2. Napsauta sarakkeen ylätunnisteen alanuolta.
3. Valitse Production Status- ja New Status -sarakkeet.
4. Sulje sarakeasetusten valikko napsauttamalla alanuolta tai napsauttamalla mitä tahansa sivua.

Voit nyt tarkastella uhkamallien välisiä eroja.

Huomioi seuraavat kaksi tilannetta:

• Nykyinen malli = turvallinen, uusi malli = poikkeava tai vaarallinen
• Organisaatio pitää tiedostoa turvallisena tai se on Luotettu paikallinen.
• Organisaatiossa on määritetty epätavallinen tai vaarallinen asetukseksi Automaattinen karanteeni (AQT).
• Nykyinen malli = null (ei näy tai määritetty), uusi malli = poikkeava tai vaarallinen
• Organisaatio pitää tiedostoa turvallisena tai se on Luotettu paikallinen.
• Organisaatiossa on määritetty epätavallinen tai vaarallinen asetukseksi Automaattinen karanteeni (AQT).

Edellä mainituissa tilanteissa on suositeltavaa lisätä turvallisesti tiedostot, jotka haluat sallia organisaatiossasi.

Tunnista luokitukset

Suosittelemme seuraavaa lähestymistapaa, jotta voit tunnistaa luokitteluja, jotka voivat vaikuttaa organisaatioon:

• Käytä Uuden mallin sarakkeessa suodatinta, jotta näet kaikki vaaralliset, poikkeavat ja karanteeniin asetetut tiedostot. Jos käytäntöasetuksena on Automaattinen karanteeni, vaaralliset tai poikkeavat tiedostot eivät näy, koska nämä uhat on asetettu karanteeniin.
• Näytä kaikki turvalliset tiedostot suodattimella Production Status -sarakkeessa.
• Käytä luokitussarakkeessa suodatinta, jotta näet vain luotetut paikalliset uhat. Trusted - Local -tiedostot analysoidaan Dellin ATP-protokollan kanssa, ja niiden on todettu olevan turvallisia (lisää nämä kohteet turvallisten luetteloon tarkistuksen jälkeen). Jos suodattetun luettelon tiedostoja on paljon, sinun kannattaa ehkä priorisoida käyttämällä enemmän määritteitä. Esimerkki: Lisää Background Detection -sarakkeeseen suodatin, jotta voit tarkastella Suorittamisen hallinnan löytämiä uhkia. Heidät tuomitettiin, kun käyttäjä yritti suorittaa sovellusta ja tarvitsevat enemmän kiireellistä huomiota kuin uhkien taustatarkistuksen tai File Watcherin tuomat lepotilatiedostot.

Kuva 1: (Englanninkielinen) Kehittyneet uhat 

Suositeltu tuotannon käyttöönotto

Tässä osiossa esitellään strategioita, joiden avulla käyttäjät voivat päivittää uudempaan ennakoivaan malliin. On erittäin suositeltavaa määrittää agentit käytäntöön, jossa automaattinen karanteeni on käytössä ja jotka ovat käytössä vaarallisissa ja poikkeavissa tiedostoissa.

Automaattiset päivitykset, joissa on automaattinen karanteeni

Jos agentteihin on määritetty automaattinen päivitys, agenttien automaattiset päivitykset on poistettava käytöstä uusien ennakoivien mallien julkaisun yhteydessä. Jos automaattinen karanteeniin asettaminen tai uuden agentin testaaminen ei onnistu, hälytä Dell Data Protection -järjestelmänvalvojat. He haluavat ehkä lisätä turvallisten osoitteiden luettelon kohteisiin, jotka on luokiteltu väärin käyttäjien estoa varten.

Manuaaliset päivitykset, joissa on automaattinen karanteeni

Jos päivität agentit manuaalisesti, automaattisesta päivityksestä ei ole huolta. Suosittelemme, että käytät seuraavia ohjeita ennen agenttien päivittämistä.

1. Testaa uutta agenttia (uudella mallilla) edustajalla varustetuissa tietokoneissa. Ihannetapauksessa nämä testikoneet asetetaan automaattisesti karanteeniin. Jos jokin turvallinen sovellus estetään, lisää tiedosto turvallisten osoitteiden luetteloon.
2. Kun testaus on valmis, ota uusi agentti käyttöön kaikissa tietokoneissasi.

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.