Ga naar hoofdinhoud
  • Snel en eenvoudig bestellen
  • Bestellingen en de verzendstatus bekijken
  • Een lijst met producten maken en openen

Aanbevelingen voor Dell Threat Defense-policy

Samenvatting: Dit artikel bevat policy-aanbevelingen voor Dell Threat Defense.

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.

Symptomen

Opmerking:

Dell Threat Defense gebruikt policy's voor:

  • Bepaal hoe bedreigingen worden aangepakt.
  • Bepaal wat er wordt gedaan met in quarantaine geplaatste bestanden.
  • Configureer scriptcontrole.

Betreffende producten:

Dell Threat Defense


Oorzaak

Niet van toepassing.

Oplossing

Klik op Aanbevolen beleidsregels of policydefinities voor meer informatie.

Het is raadzaam policy's in te stellen in de Leermodus of de Beveiligingsmodus. De leermodus wordt door Dell aangeraden om Dell Threat Defense in een omgeving te testen. Dit is het effectiefst wanneer Dell Threat Defense wordt geïmplementeerd op eindpunten met het standaardbedrijfsimage.

Er kunnen meer wijzigingen nodig zijn voor applicatieservers vanwege een hogere dan normale schijf-I/O.

Zodra alle waarschuwingen door de beheerder in de Dell Threat Defense-beheerconsole zijn afgehandeld, raadt Dell u aan over te schakelen naar de policyaanbevelingen voor de Beveiligingsmodus. Dell raadt u aan een paar weken of langer in de Leermodus te testen voordat u overschakelt naar het policy voor de Beveiligingsmodus.

Klik op Application Server Recommendations, Learning Mode of Protect Mode voor meer informatie.

Opmerking: Niet alle beleidsadviezen passen bij elke omgeving.

In zowel leer- als beveiligingsmodi kunnen applicatieservers extra overhead en ongelijk gedrag vertonen ten aanzien van clientbesturingssystemen. AQT (Auto Quarantine) heeft er in zeldzame gevallen toe geleid dat sommige bestanden niet kunnen worden uitgevoerd totdat een score kan worden berekend. Dit is waargenomen wanneer een applicatie het vergrendelen van de bestanden detecteert als sabotage, of wanneer een proces in een verwachte tijdsperiode niet kan worden voltooid.

Als 'Controleren op nieuwe bestanden' is ingeschakeld, kan dit de werking van het apparaat vertragen. Wanneer een nieuw bestand wordt gegenereerd, wordt het geanalyseerd. Hoewel dit proces lichtgewicht is, kan een groot aantal bestanden tegelijk een prestatie-impact veroorzaken.

Voorgestelde policywijzigingen voor Windows Server-besturingssystemen:

  • Inschakelen Detectie van bedreigingen op de achtergrond en laat deze eenmaal uitvoeren.
  • Zorg ervoor dat Uitvoeringsbeheer is ingeschakeld.
  • Uitschakelen Kijk of er nieuwe bestanden zijn.

Met deze aanbevelingen wordt meestal ook aangeraden om apparaten met serverbesturingssystemen in afzonderlijke zones te bevatten. Meer informatie over het genereren van zones vindt u in Het beheren van zones in Dell Threat Defense.

Beleid Aanbevolen instelling
Bestandsacties  
Automatische quarantaine met uitvoeringscontrole voor onveilige bestanden Disabled
Automatische quarantaine met uitvoeringscontrole voor abnormale bestanden Disabled
Automatisch verwijderen inschakelen voor bestanden in quarantaine Disabled
Automatisch uploaden Enabled
Veilige lijst Afhankelijk van de omgeving
Beveiligingsinstellingen  
Voorkomen dat de service wordt afgesloten op het apparaat Disabled
Onveilige actieve processen en hun subprocessen beëindigen Disabled
Detectie van bedreigingen op de achtergrond Disabled
Eenmalig uitvoeren/Herhaald uitvoeren N.v.t. wanneer Bescherming tegen bedreigingen op de achtergrond is ingesteld op Uitgeschakeld
Controleren op nieuwe bestanden Disabled
Bestandsvoorbeelden kopiëren Afhankelijk van de omgeving
Agentinstellingen  
Automatisch uploaden van logbestanden inschakelen Afhankelijk van de omgeving
Bureaubladmelding inschakelen Afhankelijk van de omgeving
Scriptcontrole  
Scriptcontrole Enabled
1370 en lager Active Script en PowerShell Waarschuwing
1380 en hoger Active Script Waarschuwing
1380 en hoger PowerShell Waarschuwing
PowerShell-consolegebruik blokkeren N.v.t. wanneer PowerShell is ingesteld op Alert
1380 en hoger Macro's Waarschuwing
Active Script voor scriptcontrole uitschakelen Disabled
PowerShell voor Scriptcontrole uitschakelen Disabled
Macro's voor scriptcontrole uitschakelen Disabled
Mapuitsluitingen (inclusief submappen) Afhankelijk van de omgeving
Beleid Aanbevolen instelling
Bestandsacties  
Automatische quarantaine met uitvoeringscontrole voor onveilige bestanden Enabled
Automatische quarantaine met uitvoeringscontrole voor abnormale bestanden Enabled
Automatisch verwijderen inschakelen voor bestanden in quarantaine Afhankelijk van de omgeving
Automatisch uploaden Afhankelijk van de omgeving
Veilige lijst Afhankelijk van de omgeving
Beveiligingsinstellingen  
Voorkomen dat de service wordt afgesloten op het apparaat Enabled
Onveilige actieve processen en hun subprocessen beëindigen Enabled
Detectie van bedreigingen op de achtergrond Enabled
Eenmalig uitvoeren/Herhaald uitvoeren Eenmaal uitvoeren
Controleren op nieuwe bestanden Enabled
Bestandsvoorbeelden kopiëren Afhankelijk van de omgeving
Agentinstellingen  
Automatisch uploaden van logbestanden inschakelen Afhankelijk van de omgeving
Bureaubladmelding inschakelen Afhankelijk van de omgeving
Scriptcontrole  
Scriptcontrole Enabled
1370 en lager Active Script en PowerShell Blokkeren
1380 en hoger Active Script Blokkeren
1380 en hoger PowerShell Blokkeren
PowerShell-consolegebruik blokkeren Blokkeren
1380 en hoger Macro's Blokkeren
Active Script voor scriptcontrole uitschakelen Disabled
PowerShell voor Scriptcontrole uitschakelen Disabled
Macro's voor scriptcontrole uitschakelen Disabled
Mapuitsluitingen (inclusief submappen) Afhankelijk van de omgeving

Policydefinities voor bescherming tegen dreigingen:

Bestandsacties

Automatische quarantaine met uitvoeringscontrole voor onveilige bestanden

Deze policy bepaalt wat er gebeurt met bestanden die worden gedetecteerd terwijl ze worden uitgevoerd. Standaard wordt de bedreiging geblokkeerd, zelfs wanneer een onveilig bestand wordt gedetecteerd als actief. Onveilig wordt gekenmerkt door een cumulatieve score voor het draagbare uitvoerbare bestand dat hoger is dan 60 in het scoresysteem van Advanced Threat Prevention dat is gebaseerd op bedreigingsindicatoren die zijn geëvalueerd.

Automatische quarantaine met uitvoeringscontrole voor abnormale bestanden

Deze policy bepaalt wat er gebeurt met bestanden die worden gedetecteerd terwijl ze worden uitgevoerd. Standaard wordt de bedreiging geblokkeerd, zelfs wanneer een abnormaal bestand wordt gedetecteerd als actief. Abnormaal wordt gekenmerkt door een cumulatieve score voor het draagbare uitvoerbare bestand dat hoger is dan 0, maar niet hoger is dan 60 in het scoresysteem van Advanced Threat Prevention dat is gebaseerd op bedreigingsindicatoren die zijn geëvalueerd.

Automatisch verwijderen inschakelen voor bestanden in quarantaine

Wanneer onveilige of abnormale bestanden in quarantaine worden geplaatst op basis van quarantaines op apparaatniveau, globale quarantainelijsten of door automatische quarantainepolicy's, worden deze opgeslagen in een lokale quarantainecache op het lokale apparaat. Wanneer Automatisch verwijderen inschakelen voor in quarantaine geplaatste bestanden is ingeschakeld, wordt het aantal dagen (minimaal 14 dagen, maximaal 365 dagen) aangegeven om het bestand op het lokale apparaat te houden voordat u het bestand permanent verwijdert. Wanneer dit is ingeschakeld, wordt de mogelijkheid om het aantal dagen te wijzigen mogelijk.

Automatisch uploaden

Geeft bedreigingen aan die niet door de Threat Defense SaaS-omgeving (Software as a Service) zijn waargenomen voor verdere analyse. Wanneer een bestand wordt gemarkeerd als een mogelijke bedreiging door het lokale model, wordt een SHA256-hash van het draagbare uitvoerbare bestand gemaakt en dit wordt naar de SaaS verzonden. Als de SHA256-hash die is verzonden niet kan worden gekoppeld aan een bedreiging en Automatisch uploaden is ingeschakeld, kan de bedreiging veilig worden geüpload naar de SaaS voor evaluatie. Deze data worden veilig opgeslagen en zijn niet toegankelijk voor Dell of haar partners.

Veilige lijst

De Veilige lijst is een lijst met bestanden die zijn aangemerkt als veilig binnen de omgeving en die handmatig zijn goedgekeurd door hun SHA256-hash en eventuele aanvullende informatie in deze lijst te plaatsen. Wanneer een SHA256-hash in deze lijst wordt geplaatst en het bestand wordt uitgevoerd, wordt het niet geëvalueerd door de lokale of cloud bedreigingsmodellen. Dit zijn 'Absolute' bestandspaden.

Voorbeelden van uitsluitingen:
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\

Beveiligingsinstellingen

Onveilige actieve processen en hun subprocessen beëindigen

Wanneer Onveilige actieve processen beëindigen en hun subprocessen zijn ingeschakeld, bepaalt dit of een bedreiging onderliggende processen genereert of dat de applicatie andere processen heeft overgenomen die momenteel in het geheugen worden uitgevoerd. Als er wordt aangenomen dat een proces is overgenomen door een bedreiging, worden de primaire bedreiging en alle processen die het heeft gegenereerd of die momenteel eigendom zijn, onmiddellijk beëindigd.

Detectie van bedreigingen op de achtergrond

Detectie van bedreigingen op de achtergrond scant, indien ingeschakeld, het hele apparaat op draagbare uitvoerbare bestanden en evalueert vervolgens dat uitvoerbare bestand met het lokale bedreigingsmodel en vraagt om bevestiging voor het scoren van het uitvoerbare bestand met de cloudgebaseerde SaaS op basis van de bedreigingsindicatoren van het uitvoerbare bestand. Er zijn twee opties mogelijk met Detectie van bedreigingen op de achtergrond: Voer eenmaal uit en voer terugkerend uit. Run Once voert een achtergrondscan uit van alle fysieke schijven die zijn verbonden met het apparaat op het moment dat Threat Defense is geïnstalleerd en geactiveerd. Run Recurring voert een achtergrondscan uit van alle aangesloten apparaten op het apparaat zodra Threat Defense is geïnstalleerd en geactiveerd, en herhaalt de scan elke negen dagen (niet configureerbaar).

Controleren op nieuwe bestanden

Wanneer Controleren op nieuwe bestanden is ingeschakeld, wordt elk draagbaar uitvoerbaar bestand dat op het apparaat wordt geïntroduceerd onmiddellijk geëvalueerd met de bedreigingsindicatoren die worden weergegeven met behulp van het lokale model en wordt deze score bevestigd aan de saaS die in de cloud wordt gehost.

Bestandsvoorbeelden kopiëren

Met Copy File Samples kunnen alle bedreigingen die op het apparaat worden gevonden, automatisch naar een gedefinieerde repository worden doorgestuurd op basis van het UNC-pad. Dit wordt alleen aanbevolen voor intern onderzoek naar bedreigingen of voor een veilige opslagplaats van verpakte bedreigingen binnen de omgeving. Alle bestanden die worden opgeslagen door Copy File Samples worden gezipt met een wachtwoord van infected.

Agentinstellingen

Automatisch uploaden van logbestanden inschakelen

Als u Automatisch uploaden van logboekbestanden inschakelt, kunnen eindpunten hun logboekbestanden 's nachts om 00:00 uur uploaden naar Dell Threat Defense of wanneer het bestand 100 MB bereikt. Logboeken worden elke nacht geüpload, ongeacht de bestandsgrootte. Alle logboeken die worden overgedragen, worden gecomprimeerd voordat ze het netwerk uitgaan.

Bureaubladmelding inschakelen

Met Enable Desktop Notification kunnen apparaatgebruikers prompts op hun apparaat toestaan als een bestand is gemarkeerd als abnormaal of onveilig. Dit is een optie in het snelmenu van het Dell Threat Defense-systeemvakpictogram op eindpunten waarop deze policy is ingeschakeld.

Scriptcontrole

Scriptcontrole

Scriptcontrole werkt via een geheugenfilteroplossing om scripts te identificeren die op het apparaat worden uitgevoerd en deze te voorkomen als het beleid is ingesteld op Blokkeren voor dat scripttype. Waarschuwingsinstellingen voor deze policy's noteren alleen scripts die zouden zijn geblokkeerd in logboeken en op de Dell Threat Defense console.

1370 en lager

Deze beleidsregels zijn van toepassing op clients van vóór 1370, die beschikbaar waren vóór juni 2016. Alleen actieve scripts en op PowerShell gebaseerde scripts worden met deze versies uitgevoerd.

1380 en hoger

Deze policy's zijn van toepassing op clients van ná 1370, die beschikbaar waren ná juni 2016.

Active Script

Actieve scripts bevatten elk script dat wordt geïnterpreteerd door de Windows Script Host, inclusief JavaScript, VBScript, batchbestanden en vele andere.

Powershell

PowerShell-scripts bevatten elk script met meerdere regels dat als één opdracht wordt uitgevoerd. (Standaardinstelling - Waarschuwing)

Gebruik van PowerShell-console blokkeren - (niet aanwezig wanneer PowerShell is ingesteld op Waarschuwing)

In PowerShell v3 (geïntroduceerd in Windows 8.1) en hoger worden de meeste PowerShell-scripts uitgevoerd als een opdracht met één regel; hoewel ze meerdere regels kunnen bevatten, worden ze op volgorde uitgevoerd. Dit kan de PowerShell-script-interpretator omzeilen. Block PowerShell console werkt hierom door de mogelijkheid uit te schakelen om een applicatie de PowerShell-console te laten starten. De Integrated Scripting Environment (ISE) wordt niet beïnvloed door deze policy.

Macro's

De macro-instelling interpreteert macro's die aanwezig zijn in Office-documenten en PDF's en blokkeert schadelijke macro's die kunnen proberen bedreigingen te downloaden.

Scriptcontrole uitschakelen

Met deze policy's wordt de mogelijkheid om waarschuwingen te ontvangen over het scripttype dat in elke policy is gedefinieerd, volledig uitgeschakeld. Als deze optie is uitgeschakeld, worden geen logboekdata verzameld en wordt geen poging gedaan om potentiële bedreigingen te detecteren of te blokkeren.

Active Script

Wanneer deze is aangevinkt, voorkomt u het verzamelen van logboeken en worden mogelijke op Active Script gebaseerde bedreigingen geblokkeerd. Actieve scripts bevatten elk script dat wordt geïnterpreteerd door de Windows Script Host, inclusief JavaScript, VBScript, batchbestanden en vele andere.

Powershell

Wanneer deze is aangevinkt, voorkomt u het verzamelen van logboeken en worden mogelijke PowerShell-bedreigingen geblokkeerd. PowerShell-scripts bevatten elk script met meerdere regels dat als één opdracht wordt uitgevoerd.

Macro's

Wanneer deze is aangevinkt, wordt het verzamelen van logboeken voorkomen en worden mogelijke op macro's gebaseerde bedreigingen geblokkeerd. De macro-instelling interpreteert macro's die aanwezig zijn in Office-documenten en PDF's en blokkeert schadelijke macro's die kunnen proberen bedreigingen te downloaden.

Mapuitsluitingen (inclusief submappen)

Met Mapuitsluitingen kunt u mappen definiëren waarin scripts kunnen worden uitgevoerd die kunnen worden uitgesloten. In dit gedeelte wordt gevraagd om uitsluitingen in een relatieve padindeling.

  • Mappaden kunnen wijzen naar een lokaal station, een gekoppeld netwerkstation of een pad van een Universal Naming Convention (UNC).
  • Uitsluitingen van scriptmaps moeten het relatieve pad van de map of submap opgeven.
  • Elk opgegeven mappad bevat ook submappen.
  • Uitsluitingen van jokertekens moeten voorwaartse schuine strepen gebruiken in de UNIX-stijl voor Windows-computers. Voorbeeld: /windows/system*/.
  • Het enige teken dat wordt ondersteund voor jokertekens is *.
  • Mapuitsluitingen met een jokerteken moeten een schuine streep hebben aan het einde van het pad om onderscheid te kunnen maken tussen een map en een bestand.
    • Map-uitsluiting: /windows/system32/*/
    • Uitsluiting van bestanden: /windows/system32/*
  • Er moet een jokerteken worden toegevoegd voor elk niveau van de mapdiepte. Komt bijvoorbeeld /folder/*/script.vbs overeen met \folder\test\script.vbs of \folder\exclude\script.vbs maar werkt niet voor \folder\test\001\script.vbs. Hiervoor is een of meer./folder/*/001/script.vbs/folder/*/*/script.vbs
  • Jokertekens ondersteunen volledige en gedeeltelijke uitsluitingen.
    • Voorbeeld van volledige jokerteken: /folder/*/script.vbs
    • Voorbeeld van gedeeltelijke jokerteken: /folder/test*/script.vbs
  • Netwerkpaden worden ook ondersteund met jokertekens.
    • //*/login/application
    • //abc*/logon/application

Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows): \Cases\ScriptsAllowed
Onjuiste: C:\Application\SubFolder\application.vbs
Onjuiste: \Program Files\Dell\application.vbs

Voorbeelden van jokertekens:

/users/*/temp zou betrekking hebben op:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs zou betrekking hebben op:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.

Extra informatie

 

Video's

 

Getroffen producten

Dell Threat Defense
Artikeleigenschappen
Artikelnummer: 000124588
Artikeltype: Solution
Laatst aangepast: 20 dec. 2022
Versie:  11
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.