Uppdateringar av identifieringsmetoden i Dell Endpoint Security Suite Enterprise Advanced Threat Protection

Berörda produkter:

• Dell Endpoint Security Suite Enterprise
• Dell Threat Defense

Berörda versioner:

• 1.2.137x 
• 1.2.139x
• 2.0.145x

Produkter för Advanced Threat Protection från Dell Data Protection; Det kan förekomma tillfälliga uppdateringar för Dell Threat Defense och Dell Endpoint Security Suite Enterprise som ändrar hur hot utvärderas. Uppdateringarna kallas ofta för "modell"-uppdateringar eftersom de är uppdateringar av hotmodellen.

För att hjälpa användare att veta hur en ny modell kan påverka deras organisation finns det två kolumner på sidan Skydd i konsolen. Du kan använda en jämförelse av produktionsstatus och ny status för att se vilka filer på dina enheter som modellen ändras så som påverkas.

Användare bör testa de nya modellerna innan en fullständig produktionslansering. Detta bör minimera alla oavsiktliga avbrott som orsakas av modelländringar.

De scenarier som du bör vara medveten om är:

• En fil som ansågs säker i den aktuella modellen kan ändras till Osäker i den nya modellen. Om din organisation behöver den filen kan du lägga till den i säkerhetslistan.
• En fil som den aktuella modellen aldrig har sett eller bedömt och den nya modellen anser vara osäker. Om din organisation behöver den filen kan du lägga till den i säkerhetslistan.

Nya skyddskolumner

De två kolumnerna är: Produktionsstatus och ny status:

• Produktionsstatus: Visar aktuell modellstatus (säker, onormal eller osäker) för filen
• Ny status: Visar filens modellstatus i den nya modellen

Endast filer som finns på enheter i organisationen som har ändringar i hotpoängen visas. Vissa filer kan ha en ändring av hotpoängen men ligger kvar inom den aktuella statusen.

Exempel:

Hotpoängen för en fil går från 10 till 20, filstatusen förblir onormal och filen visas i den uppdaterade modelllistan (om den finns på enheter i organisationen).

Så här visar du kolumnerna Aktuell modell och Ny modell:

1. Logga in på Dell Data Protection Remote Management Console, välj Populations -> Enterprise -> Advanced Threats och välj sedan fliken Skydd.
2. Klicka på nedåtpilen i ett kolumnhuvud.
3. Välj kolumnerna Produktionsstatus och Ny status.
4. Klicka på nedåtpilen eller klicka var som helst på sidan för att stänga menyn med kolumnalternativ.

Du kan nu granska skillnaderna mellan de två hotmodellerna.

De två scenarier du bör vara medveten om är:

• Aktuell modell = säker, ny modell = onormal eller osäker
• Organisationen anser att filen är säker eller att klassificeringen är betrodd lokal.
• Din organisation har onormal eller osäker inställd på automatisk karantän (AQT).
• Aktuell modell = Null (visas inte eller upptäcks inte), ny modell = onormal eller osäker
• Organisationen anser att filen är säker eller att klassificeringen är betrodd lokal.
• Din organisation har onormal eller osäker inställd på automatisk karantän (AQT).

I ovanstående scenarier rekommenderar vi att du säkrar de filer du vill tillåta i din organisation.

Identifiera klassificeringar

För att identifiera klassificeringar som kan påverka din organisation rekommenderar vi följande metod:

• Använd ett filter i kolumnen Ny modell för att visa alla osäkra, onormala och karantänsatta filer. Om din policy är inställd på Automatisk karantän kan du inte se några osäkra eller onormala filer eftersom dessa hot har satts i karantän.
• Använd ett filter i kolumnen Produktionsstatus för att visa alla säkra filer.
• Använd ett filter i kolumnen Klassificering för att endast visa betrodda – lokala hot. Betrodda – Lokala filer analyseras med Dells ATP och är säkra (säkra dessa objekt efter granskning). Om du har många filer i den filtrerade listan kanske du vill prioritera med fler attribut. Exempel: Lägg till ett filter i kolumnen Background Detection för att granska hot som hittas av Körningskontroll. Dessa dömdas när en användare försökte köra ett program och behöver mer brådskande uppmärksamhet än viktiga filer som dömds av Background Threat Detection eller File Watcher.

Bild 1: (Endast på engelska) Avancerade hot 

Rekommenderad produktionslansering

I det här avsnittet beskrivs strategier som hjälper användare att uppgradera till en nyare prediktiv modell. Vi rekommenderar starkt att ombud tilldelas en policy med automatisk karantän som är aktiverad för osäkra och onormala filer.

Automatiska uppdateringar med automatisk karantän

Om agenter är inställda på automatisk uppdatering bör du inaktivera automatiska uppdateringar för agenter när nya prediktiva modeller släpps. Om det inte går att inaktivera automatisk karantän eller testa den nya agenten ska du varna dina Dell Data Protection-administratörer. De kanske vill lista objekt som är felklassade för att avblockera användare.

Manuella uppdateringar med automatisk karantän

Om du uppdaterar agenter manuellt är automatisk uppdatering inte ett problem. Vi rekommenderar att du använder följande anvisningar innan du uppdaterar ombuden.

1. Testa den nya agenten (med den nya modellen) på en representantuppsättning datorer. De här testdatorerna placeras helst i en policy för automatisk karantän. Om ett säkert program blockeras lägger du till filen i din säkra lista.
2. När testningen är klar kan du distribuera den nya agenten till alla dina datorer.

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.