Updates to Dell Endpoint Security Suite Enterprise Advanced Threat Protection detection method (Opdateringer til Dell Endpoint Security Suite Enterprise Advanced Threat Protection-detektionsmetode)

Berørte produkter:

• Dell Endpoint Security Suite Enterprise
• Dell Threat Defense

Berørte versioner:

• 1.2.137x 
• 1.2.139x
• 2.0.145x

Dell Data Protections Advanced Threat Protection-produkter; Dell Threat Defense og Dell Endpoint Security Suite Enterprise kan lejlighedsvist have opdateringer, der ændrer, hvordan trusler evalueres. Disse opdateringer henvises normalt til som "model"-opdateringer, da de er opdateringer til trusselsmodellen.

For at hjælpe brugerne med at vide, hvordan en ny model kan påvirke deres organisation, er der to kolonner på siden Beskyttelse i konsollen. Du kan bruge sammenligningen Produktionsstatus og Ny status til at se, hvilke filer på dine enheder modelændringen har indvirkning på.

Brugere bør teste de nye modeller før en fuld produktionsudrulning. Dette bør minimere utilsigtede udfald forårsaget af modelændringer.

De scenarier, du bør være opmærksom på, er:

• En fil, der anses for at være sikker i den aktuelle model, kan blive ændret til Usikker i den nye model. Hvis din organisation har brug for den pågældende fil, kan du føje den til listen over sikre filer.
• En fil, som den aktuelle model aldrig har set eller scoret, og den nye model anser den for at være usikker. Hvis din organisation har brug for den pågældende fil, kan du føje den til listen over sikre filer.

Nye beskyttelseskolonner

De to kolonner er: Produktionsstatus og ny status:

• Produktionsstatus: Viser den aktuelle modelstatus (sikker, unormal eller usikker) for filen
• Ny status: Viser modelstatus for filen i den nye model

Kun filer, der findes på enheder i din organisation, som har ændringer i deres trusselsscore, vises. Nogle filer kan have en ændring af trusselsscore, men forbliver inden for deres aktuelle status.

Eksempler:

Trusselsscore for en fil går fra 10 til 20, filstatus forbliver unormal, og filen vises på den opdaterede modelliste (hvis denne fil findes på enheder i din organisation).

Sådan får du vist kolonnerne Aktuel model og Ny model:

1. Log på Dell Data Protection Remote Management Console, vælg Populationer -> Enterprise -> Advanced Threats, og vælg derefter fanen Beskyttelse.
2. Klik på pil ned på en kolonneoverskrift.
3. Vælg kolonnerne Produktionsstatus og Ny status.
4. Klik på pil ned, eller klik et vilkårligt sted på siden for at lukke menuen med kolonneindstillinger.

Du kan nu gennemgå forskellene mellem de to trusselsmodeller.

De to scenarier, du bør være opmærksom på, er:

• Aktuel model = Sikker, Ny model = Unormal eller Usikker
• Din organisation vurderer, at filen er sikker, eller at klassificeringen er betroet lokal.
• Din organisation har unormal eller usikker indstillet til automatisk karantæne (AQT).
• Aktuel model = Null (ikke set eller scoret), ny model = unormal eller usikker
• Din organisation vurderer, at filen er sikker, eller at klassificeringen er betroet lokal.
• Din organisation har unormal eller usikker indstillet til automatisk karantæne (AQT).

I ovenstående scenarier anbefales det at sikre listen over filer, du vil tillade i din organisation.

Identificer klassificeringer

For at identificere klassificeringer, der kan påvirke din organisation, anbefaler vi følgende fremgangsmåde:

• Anvend et filter på kolonnen Ny model for at få vist alle usikre, unormale og karantænefiler. Hvis din politik er indstillet til Automatisk karantæne, kan du ikke se usikre eller unormale filer, fordi disse trusler er sat i karantæne.
• Anvend et filter på kolonnen Produktionsstatus for at få vist alle sikre filer.
• Anvend et filter på klassificeringskolonnen for kun at vise Trusted - Local Threats. Betroede – Lokale filer analyseres med Dells ATP og findes at være sikre (sørg for at disse elementer er sikre efter gennemsyn). Hvis du har mange filer på den filtrerede liste, kan det være en god ide at prioritere ved hjælp af flere attributter. Eksempel: Føj et filter til kolonnen Background Detection for at gennemse trusler, der er fundet af Execution Control. Disse blev dømt, da en bruger forsøgte at køre et program og havde brug for mere vigtig opmærksomhed end almindelige filer, der blev dømt af Background Threat Detection eller File Watcher.

Figur 1: (Kun på engelsk) Avancerede trusler 

Anbefalet produktionsudrulning

Dette afsnit beskriver strategier til at hjælpe brugere med at opgradere til en nyere prædiktiv model. Det anbefales på det kraftigste at tildele agenter til en politik med automatisk karantæne, der er aktiveret for usikre og unormale filer.

Automatiske opdateringer med automatisk karantæne

Hvis konsulenterne er indstillet til Automatisk opdatering, skal du deaktivere automatiske opdateringer for agenter, når nye forudsigende modeller udgives. Hvis det ikke er muligt at deaktivere automatisk karantæne eller teste den nye agent, skal du give Dell Data Protection-administratorerne besked. Det kan være en god ide at liste elementer, der er forkert klassificeret til at fjerne blokering af brugere.

Manuelle opdateringer med automatisk karantæne

Hvis du manuelt opdaterer agenter, er automatisk opdatering ikke et problem. Det anbefales, at du bruger følgende instruktioner, før du opdaterer dine agenter.

1. Test den nye agent (med den nye model) på et repræsentative sæt computere. Ideelt set vil disse testcomputere blive placeret i en automatisk karantænepolitik. Hvis et sikkert program blokeres, skal du føje filen til din sikre liste.
2. Når testen er fuldført, skal du udrulle den nye agent på alle dine computere.

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.