Dell Threat Defense gebruikt policy's voor:
Betreffende producten:
Dell Threat Defense
Niet van toepassing.
Klik op Aanbevolen beleidsregels of policydefinities voor meer informatie.
Het is raadzaam policy's in te stellen in de Leermodus of de Beveiligingsmodus. De leermodus wordt door Dell aangeraden om Dell Threat Defense in een omgeving te testen. Dit is het effectiefst wanneer Dell Threat Defense wordt geïmplementeerd op eindpunten met het standaardbedrijfsimage.
Er kunnen meer wijzigingen nodig zijn voor applicatieservers vanwege een hogere dan normale schijf-I/O.
Zodra alle waarschuwingen door de beheerder in de Dell Threat Defense-beheerconsole zijn afgehandeld, raadt Dell u aan over te schakelen naar de policyaanbevelingen voor de Beveiligingsmodus. Dell raadt u aan een paar weken of langer in de Leermodus te testen voordat u overschakelt naar het policy voor de Beveiligingsmodus.
Klik op Application Server Recommendations, Learning Mode of Protect Mode voor meer informatie.
In zowel leer- als beveiligingsmodi kunnen applicatieservers extra overhead en ongelijk gedrag vertonen ten aanzien van clientbesturingssystemen. AQT (Auto Quarantine) heeft er in zeldzame gevallen toe geleid dat sommige bestanden niet kunnen worden uitgevoerd totdat een score kan worden berekend. Dit is waargenomen wanneer een applicatie het vergrendelen van de bestanden detecteert als sabotage, of wanneer een proces in een verwachte tijdsperiode niet kan worden voltooid.
Als 'Controleren op nieuwe bestanden' is ingeschakeld, kan dit de werking van het apparaat vertragen. Wanneer een nieuw bestand wordt gegenereerd, wordt het geanalyseerd. Hoewel dit proces lichtgewicht is, kan een groot aantal bestanden tegelijk een prestatie-impact veroorzaken.
Voorgestelde policywijzigingen voor Windows Server-besturingssystemen:
Met deze aanbevelingen wordt meestal ook aangeraden om apparaten met serverbesturingssystemen in afzonderlijke zones te bevatten. Meer informatie over het genereren van zones vindt u in Het beheren van zones in Dell Threat Defense.
Beleid | Aanbevolen instelling |
---|---|
Bestandsacties | |
Automatische quarantaine met uitvoeringscontrole voor onveilige bestanden | Disabled |
Automatische quarantaine met uitvoeringscontrole voor abnormale bestanden | Disabled |
Automatisch verwijderen inschakelen voor bestanden in quarantaine | Disabled |
Automatisch uploaden | Enabled |
Veilige lijst | Afhankelijk van de omgeving |
Beveiligingsinstellingen | |
Voorkomen dat de service wordt afgesloten op het apparaat | Disabled |
Onveilige actieve processen en hun subprocessen beëindigen | Disabled |
Detectie van bedreigingen op de achtergrond | Disabled |
Eenmalig uitvoeren/Herhaald uitvoeren | N.v.t. wanneer Bescherming tegen bedreigingen op de achtergrond is ingesteld op Uitgeschakeld |
Controleren op nieuwe bestanden | Disabled |
Bestandsvoorbeelden kopiëren | Afhankelijk van de omgeving |
Agentinstellingen | |
Automatisch uploaden van logbestanden inschakelen | Afhankelijk van de omgeving |
Bureaubladmelding inschakelen | Afhankelijk van de omgeving |
Scriptcontrole | |
Scriptcontrole | Enabled |
1370 en lager Active Script en PowerShell | Waarschuwing |
1380 en hoger Active Script | Waarschuwing |
1380 en hoger PowerShell | Waarschuwing |
PowerShell-consolegebruik blokkeren | N.v.t. wanneer PowerShell is ingesteld op Alert |
1380 en hoger Macro's | Waarschuwing |
Active Script voor scriptcontrole uitschakelen | Disabled |
PowerShell voor Scriptcontrole uitschakelen | Disabled |
Macro's voor scriptcontrole uitschakelen | Disabled |
Mapuitsluitingen (inclusief submappen) | Afhankelijk van de omgeving |
Beleid | Aanbevolen instelling |
---|---|
Bestandsacties | |
Automatische quarantaine met uitvoeringscontrole voor onveilige bestanden | Enabled |
Automatische quarantaine met uitvoeringscontrole voor abnormale bestanden | Enabled |
Automatisch verwijderen inschakelen voor bestanden in quarantaine | Afhankelijk van de omgeving |
Automatisch uploaden | Afhankelijk van de omgeving |
Veilige lijst | Afhankelijk van de omgeving |
Beveiligingsinstellingen | |
Voorkomen dat de service wordt afgesloten op het apparaat | Enabled |
Onveilige actieve processen en hun subprocessen beëindigen | Enabled |
Detectie van bedreigingen op de achtergrond | Enabled |
Eenmalig uitvoeren/Herhaald uitvoeren | Eenmaal uitvoeren |
Controleren op nieuwe bestanden | Enabled |
Bestandsvoorbeelden kopiëren | Afhankelijk van de omgeving |
Agentinstellingen | |
Automatisch uploaden van logbestanden inschakelen | Afhankelijk van de omgeving |
Bureaubladmelding inschakelen | Afhankelijk van de omgeving |
Scriptcontrole | |
Scriptcontrole | Enabled |
1370 en lager Active Script en PowerShell | Blokkeren |
1380 en hoger Active Script | Blokkeren |
1380 en hoger PowerShell | Blokkeren |
PowerShell-consolegebruik blokkeren | Blokkeren |
1380 en hoger Macro's | Blokkeren |
Active Script voor scriptcontrole uitschakelen | Disabled |
PowerShell voor Scriptcontrole uitschakelen | Disabled |
Macro's voor scriptcontrole uitschakelen | Disabled |
Mapuitsluitingen (inclusief submappen) | Afhankelijk van de omgeving |
Deze policy bepaalt wat er gebeurt met bestanden die worden gedetecteerd terwijl ze worden uitgevoerd. Standaard wordt de bedreiging geblokkeerd, zelfs wanneer een onveilig bestand wordt gedetecteerd als actief. Onveilig wordt gekenmerkt door een cumulatieve score voor het draagbare uitvoerbare bestand dat hoger is dan 60 in het scoresysteem van Advanced Threat Prevention dat is gebaseerd op bedreigingsindicatoren die zijn geëvalueerd.
Deze policy bepaalt wat er gebeurt met bestanden die worden gedetecteerd terwijl ze worden uitgevoerd. Standaard wordt de bedreiging geblokkeerd, zelfs wanneer een abnormaal bestand wordt gedetecteerd als actief. Abnormaal wordt gekenmerkt door een cumulatieve score voor het draagbare uitvoerbare bestand dat hoger is dan 0, maar niet hoger is dan 60 in het scoresysteem van Advanced Threat Prevention dat is gebaseerd op bedreigingsindicatoren die zijn geëvalueerd.
Wanneer onveilige of abnormale bestanden in quarantaine worden geplaatst op basis van quarantaines op apparaatniveau, globale quarantainelijsten of door automatische quarantainepolicy's, worden deze opgeslagen in een lokale quarantainecache op het lokale apparaat. Wanneer Automatisch verwijderen inschakelen voor in quarantaine geplaatste bestanden is ingeschakeld, wordt het aantal dagen (minimaal 14 dagen, maximaal 365 dagen) aangegeven om het bestand op het lokale apparaat te houden voordat u het bestand permanent verwijdert. Wanneer dit is ingeschakeld, wordt de mogelijkheid om het aantal dagen te wijzigen mogelijk.
Geeft bedreigingen aan die niet door de Threat Defense SaaS-omgeving (Software as a Service) zijn waargenomen voor verdere analyse. Wanneer een bestand wordt gemarkeerd als een mogelijke bedreiging door het lokale model, wordt een SHA256-hash van het draagbare uitvoerbare bestand gemaakt en dit wordt naar de SaaS verzonden. Als de SHA256-hash die is verzonden niet kan worden gekoppeld aan een bedreiging en Automatisch uploaden is ingeschakeld, kan de bedreiging veilig worden geüpload naar de SaaS voor evaluatie. Deze data worden veilig opgeslagen en zijn niet toegankelijk voor Dell of haar partners.
De Veilige lijst is een lijst met bestanden die zijn aangemerkt als veilig binnen de omgeving en die handmatig zijn goedgekeurd door hun SHA256-hash en eventuele aanvullende informatie in deze lijst te plaatsen. Wanneer een SHA256-hash in deze lijst wordt geplaatst en het bestand wordt uitgevoerd, wordt het niet geëvalueerd door de lokale of cloud bedreigingsmodellen. Dit zijn 'Absolute' bestandspaden.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Wanneer Onveilige actieve processen beëindigen en hun subprocessen zijn ingeschakeld, bepaalt dit of een bedreiging onderliggende processen genereert of dat de applicatie andere processen heeft overgenomen die momenteel in het geheugen worden uitgevoerd. Als er wordt aangenomen dat een proces is overgenomen door een bedreiging, worden de primaire bedreiging en alle processen die het heeft gegenereerd of die momenteel eigendom zijn, onmiddellijk beëindigd.
Detectie van bedreigingen op de achtergrond scant, indien ingeschakeld, het hele apparaat op draagbare uitvoerbare bestanden en evalueert vervolgens dat uitvoerbare bestand met het lokale bedreigingsmodel en vraagt om bevestiging voor het scoren van het uitvoerbare bestand met de cloudgebaseerde SaaS op basis van de bedreigingsindicatoren van het uitvoerbare bestand. Er zijn twee opties mogelijk met Detectie van bedreigingen op de achtergrond: Voer eenmaal uit en voer terugkerend uit. Run Once voert een achtergrondscan uit van alle fysieke schijven die zijn verbonden met het apparaat op het moment dat Threat Defense is geïnstalleerd en geactiveerd. Run Recurring voert een achtergrondscan uit van alle aangesloten apparaten op het apparaat zodra Threat Defense is geïnstalleerd en geactiveerd, en herhaalt de scan elke negen dagen (niet configureerbaar).
Wanneer Controleren op nieuwe bestanden is ingeschakeld, wordt elk draagbaar uitvoerbaar bestand dat op het apparaat wordt geïntroduceerd onmiddellijk geëvalueerd met de bedreigingsindicatoren die worden weergegeven met behulp van het lokale model en wordt deze score bevestigd aan de saaS die in de cloud wordt gehost.
Met Copy File Samples kunnen alle bedreigingen die op het apparaat worden gevonden, automatisch naar een gedefinieerde repository worden doorgestuurd op basis van het UNC-pad. Dit wordt alleen aanbevolen voor intern onderzoek naar bedreigingen of voor een veilige opslagplaats van verpakte bedreigingen binnen de omgeving. Alle bestanden die worden opgeslagen door Copy File Samples worden gezipt met een wachtwoord van infected
.
Als u Automatisch uploaden van logboekbestanden inschakelt, kunnen eindpunten hun logboekbestanden 's nachts om 00:00 uur uploaden naar Dell Threat Defense of wanneer het bestand 100 MB bereikt. Logboeken worden elke nacht geüpload, ongeacht de bestandsgrootte. Alle logboeken die worden overgedragen, worden gecomprimeerd voordat ze het netwerk uitgaan.
Met Enable Desktop Notification kunnen apparaatgebruikers prompts op hun apparaat toestaan als een bestand is gemarkeerd als abnormaal of onveilig. Dit is een optie in het snelmenu van het Dell Threat Defense-systeemvakpictogram op eindpunten waarop deze policy is ingeschakeld.
Scriptcontrole werkt via een geheugenfilteroplossing om scripts te identificeren die op het apparaat worden uitgevoerd en deze te voorkomen als het beleid is ingesteld op Blokkeren voor dat scripttype. Waarschuwingsinstellingen voor deze policy's noteren alleen scripts die zouden zijn geblokkeerd in logboeken en op de Dell Threat Defense console.
Deze beleidsregels zijn van toepassing op clients van vóór 1370, die beschikbaar waren vóór juni 2016. Alleen actieve scripts en op PowerShell gebaseerde scripts worden met deze versies uitgevoerd.
Deze policy's zijn van toepassing op clients van ná 1370, die beschikbaar waren ná juni 2016.
Actieve scripts bevatten elk script dat wordt geïnterpreteerd door de Windows Script Host, inclusief JavaScript, VBScript, batchbestanden en vele andere.
PowerShell-scripts bevatten elk script met meerdere regels dat als één opdracht wordt uitgevoerd. (Standaardinstelling - Waarschuwing)
In PowerShell v3 (geïntroduceerd in Windows 8.1) en hoger worden de meeste PowerShell-scripts uitgevoerd als een opdracht met één regel; hoewel ze meerdere regels kunnen bevatten, worden ze op volgorde uitgevoerd. Dit kan de PowerShell-script-interpretator omzeilen. Block PowerShell console werkt hierom door de mogelijkheid uit te schakelen om een applicatie de PowerShell-console te laten starten. De Integrated Scripting Environment (ISE) wordt niet beïnvloed door deze policy.
De macro-instelling interpreteert macro's die aanwezig zijn in Office-documenten en PDF's en blokkeert schadelijke macro's die kunnen proberen bedreigingen te downloaden.
Met deze policy's wordt de mogelijkheid om waarschuwingen te ontvangen over het scripttype dat in elke policy is gedefinieerd, volledig uitgeschakeld. Als deze optie is uitgeschakeld, worden geen logboekdata verzameld en wordt geen poging gedaan om potentiële bedreigingen te detecteren of te blokkeren.
Wanneer deze is aangevinkt, voorkomt u het verzamelen van logboeken en worden mogelijke op Active Script gebaseerde bedreigingen geblokkeerd. Actieve scripts bevatten elk script dat wordt geïnterpreteerd door de Windows Script Host, inclusief JavaScript, VBScript, batchbestanden en vele andere.
Wanneer deze is aangevinkt, voorkomt u het verzamelen van logboeken en worden mogelijke PowerShell-bedreigingen geblokkeerd. PowerShell-scripts bevatten elk script met meerdere regels dat als één opdracht wordt uitgevoerd.
Wanneer deze is aangevinkt, wordt het verzamelen van logboeken voorkomen en worden mogelijke op macro's gebaseerde bedreigingen geblokkeerd. De macro-instelling interpreteert macro's die aanwezig zijn in Office-documenten en PDF's en blokkeert schadelijke macro's die kunnen proberen bedreigingen te downloaden.
Met Mapuitsluitingen kunt u mappen definiëren waarin scripts kunnen worden uitgevoerd die kunnen worden uitgesloten. In dit gedeelte wordt gevraagd om uitsluitingen in een relatieve padindeling.
/windows/system*/
./windows/system32/*/
/windows/system32/*
/folder/*/script.vbs
overeen met \folder\test\script.vbs
of \folder\exclude\script.vbs
maar werkt niet voor \folder\test\001\script.vbs
. Hiervoor is een of meer./folder/*/001/script.vbs
/folder/*/*/script.vbs
/folder/*/script.vbs
/folder/test*/script.vbs
//*/login/application
//abc*/logon/application
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows): \Cases\ScriptsAllowed
Onjuiste: C:\Application\SubFolder\application.vbs
Onjuiste: \Program Files\Dell\application.vbs
Voorbeelden van jokertekens:
/users/*/temp
zou betrekking hebben op:
\users\john\temp
\users\jane\temp
/program files*/app/script*.vbs
zou betrekking hebben op:
\program files(x86)\app\script1.vbs
\program files(x64)\app\script2.vbs
program files(x64)\app\script3.vbs
Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.