Aanbevelingen voor Dell Threat Defense-policy
Samenvatting: Meer informatie over aanbevolen beleidsregels en beleidsdefinities voor Dell Threat Defense.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Instructies
Opmerking:
- Vanaf mei 2022 heeft Dell Threat Defense het einde van het onderhoud bereikt. Dit product en de artikelen worden niet meer bijgewerkt door Dell. Raadpleeg voor meer informatie Beleid voor productlevenscyclus (einde support en einde levensduur) voor Dell Data Security. Als u vragen heeft over alternatieve artikelen, neem dan contact op met uw verkoopteam of neem contact op met endpointsecurity@dell.com.
- Raadpleeg Eindpuntbeveiliging voor meer informatie over huidige producten.
Dell Threat Defense gebruikt policy's voor:
- Definiëren hoe bedreigingen worden aangepakt
- Bepalen wat wordt gedaan met bestanden in quarantaine
- Scriptcontrole configureren
Betreffende producten:
- Dell Threat Defense
Klik op Aanbevolen beleid of Beleidsdefinities voor meer informatie.
Het is raadzaam policy's in te stellen in de Leermodus of de Beveiligingsmodus. In de leermodus raadt Dell Technologies aan om Dell Threat Defense in een omgeving te testen. Dit is het effectiefst wanneer Dell Threat Defense wordt geïmplementeerd op eindpunten met het standaardbedrijfsimage.
Er kunnen meer wijzigingen nodig zijn voor applicatieservers vanwege een hoger dan normale schijf-I/O.
Wanneer alle waarschuwingen in de Dell Threat Defense beheerconsole door de beheerder zijn afgehandeld, raadt Dell Technologies u aan over te schakelen naar de beleidsaanbevelingen voor de Protect Mode. Dell Technologies raadt aan om een paar weken of langer te testen in de leermodus voordat u overschakelt naar beleid voor de beveiligingsmodus.
Klik op Application Server Recommendations, Learning Mode of Protect Mode voor meer informatie.
Aanbevelingen voor applicatieservers
In zowel de Leer- als de Beveiligingsmodus kunnen applicatieservers extra overhead en onvergelijkbaar gedrag vertonen als clientbesturingssystemen. AQT (Auto Quarantine) heeft er in zeldzame gevallen toe geleid dat sommige bestanden niet kunnen worden uitgevoerd totdat een score kan worden berekend. Dit is waargenomen wanneer een toepassing de vergrendeling van zijn bestanden als sabotage detecteert, of wanneer een proces mogelijk niet binnen een verwacht tijdsbestek wordt voltooid.
Als Naar nieuwe bestanden kijken is ingeschakeld, kan dit de werking van het apparaat vertragen. Wanneer een nieuw bestand wordt gegenereerd, wordt het geanalyseerd. Hoewel dit proces licht van gewicht is, kan een groot aantal bestanden tegelijk een impact hebben op de prestaties.
Voorgestelde policywijzigingen voor Windows Server-besturingssystemen:
- Schakel Detectie van achtergrondbedreigingen in en laat deze één keer uitvoeren.
- Zorg ervoor dat Execution Control is ingeschakeld.
- Let op nieuwe bestanden uitschakelen.
Met deze aanbevelingen wordt meestal ook aangeraden om apparaten met serverbesturingssystemen in aparte zones te plaatsen. Raadpleeg voor meer informatie over het genereren van zones Zones beheren in Dell Threat Defense.
Leermodus
| Beleid | Aanbevolen instelling |
|---|---|
| Automatische quarantaine met uitvoeringscontrole voor onveilige bestanden | Disabled |
| Automatische quarantaine met uitvoeringscontrole voor abnormale bestanden | Disabled |
| Automatisch verwijderen inschakelen voor bestanden in quarantaine | Disabled |
| Automatisch uploaden | Enabled |
| Veilige lijst | Afhankelijk van de omgeving |
| Beleid | Aanbevolen instelling |
|---|---|
| Voorkomen dat de service wordt afgesloten op het apparaat | Disabled |
| Onveilige actieve processen en hun subprocessen beëindigen | Disabled |
| Detectie van bedreigingen op de achtergrond | Disabled |
| Eenmalig uitvoeren/Herhaald uitvoeren | Niet van toepassing wanneer bescherming tegen achtergronddreigingen is ingesteld op Uitgeschakeld |
| Controleren op nieuwe bestanden | Disabled |
| Bestandsvoorbeelden kopiëren | Afhankelijk van de omgeving |
| Beleid | Aanbevolen instelling |
|---|---|
| Automatisch uploaden van logbestanden inschakelen | Afhankelijk van de omgeving |
| Bureaubladmelding inschakelen | Afhankelijk van de omgeving |
| Beleid | Aanbevolen instelling |
|---|---|
| Scriptcontrole | Enabled |
| 1370 en lager Actief script en PowerShell | Waarschuwing |
| 1380 en hoger Active Script | Waarschuwing |
| 1380 en hoger PowerShell | Waarschuwing |
| Gebruik van PowerShell-console blokkeren | Niet van toepassing wanneer PowerShell is ingesteld op Alert |
| 1380 en hoger Macro's | Waarschuwing |
| Active Script voor scriptcontrole uitschakelen | Disabled |
| Script Control PowerShell uitschakelen | Disabled |
| Macro's voor scriptcontrole uitschakelen | Disabled |
| Mapuitsluitingen (inclusief submappen) | Afhankelijk van de omgeving |
Beveiligingsmodus
| Beleid | Aanbevolen instelling |
|---|---|
| Automatische quarantaine met uitvoeringscontrole voor onveilige bestanden | Enabled |
| Automatische quarantaine met uitvoeringscontrole voor abnormale bestanden | Enabled |
| Automatisch verwijderen inschakelen voor bestanden in quarantaine | Afhankelijk van de omgeving |
| Automatisch uploaden | Afhankelijk van de omgeving |
| Veilige lijst | Afhankelijk van de omgeving |
| Beleid | Aanbevolen instelling |
|---|---|
| Voorkomen dat de service wordt afgesloten op het apparaat | Enabled |
| Onveilige actieve processen en hun subprocessen beëindigen | Enabled |
| Detectie van bedreigingen op de achtergrond | Enabled |
| Eenmalig uitvoeren/Herhaald uitvoeren | Eenmaal uitvoeren |
| Controleren op nieuwe bestanden | Enabled |
| Bestandsvoorbeelden kopiëren | Afhankelijk van de omgeving |
| Beleid | Aanbevolen instelling |
|---|---|
| Automatisch uploaden van logbestanden inschakelen | Afhankelijk van de omgeving |
| Bureaubladmelding inschakelen | Afhankelijk van de omgeving |
| Beleid | Aanbevolen instelling |
|---|---|
| Scriptcontrole | Enabled |
| 1370 en lager Actief script en PowerShell | Blokkeren |
| 1380 en hoger Active Script | Blokkeren |
| 1380 en hoger PowerShell | Blokkeren |
| Gebruik van PowerShell-console blokkeren | Blokkeren |
| 1380 en hoger Macro's | Blokkeren |
| Active Script voor scriptcontrole uitschakelen | Disabled |
| Script Control PowerShell uitschakelen | Disabled |
| Macro's voor scriptcontrole uitschakelen | Disabled |
| Mapuitsluitingen (inclusief submappen) | Afhankelijk van de omgeving |
Policydefinities voor bescherming tegen dreigingen:
Bestandsacties
Automatische quarantaine met uitvoeringscontrole voor onveilige bestanden
Dit beleid bepaalt wat er gebeurt met bestanden die worden gedetecteerd terwijl ze worden uitgevoerd. Standaard wordt de dreiging geblokkeerd, zelfs wanneer wordt gedetecteerd dat een onveilig bestand wordt uitgevoerd. Onveilig wordt gekenmerkt door een cumulatieve score voor het draagbare uitvoerbare bestand van meer dan 60 binnen het scoresysteem van Advanced Threat Prevention dat is gebaseerd op dreigingsindicatoren die zijn geëvalueerd.
Automatische quarantaine met uitvoeringscontrole voor abnormale bestanden
Dit beleid bepaalt wat er gebeurt met bestanden die worden gedetecteerd terwijl ze worden uitgevoerd. Standaard wordt de dreiging geblokkeerd, zelfs wanneer een abnormaal bestand wordt gedetecteerd als actief. Abnormaal wordt gekenmerkt door een cumulatieve score voor het draagbare uitvoerbare bestand die hoger is dan 0 maar niet hoger is dan 60 binnen het scoresysteem van Advanced Threat Prevention. Het scoresysteem is gebaseerd op dreigingsindicatoren die zijn geëvalueerd.
Automatisch verwijderen inschakelen voor bestanden in quarantaine
Wanneer onveilige of abnormale bestanden in quarantaine worden geplaatst op basis van quarantaines op apparaatniveau, algemene quarantainelijsten of door beleid voor automatische quarantaine, worden ze bewaard in een lokale quarantainecache in een sandbox op het lokale apparaat. Wanneer Automatische verwijdering inschakelen is ingeschakeld voor bestanden die in quarantaine zijn geplaatst, geeft dit het aantal dagen aan (minimaal 14 dagen, maximaal 365 dagen) om het bestand op het lokale apparaat te bewaren voordat het bestand permanent wordt verwijderd. Wanneer dit is ingeschakeld, wordt de mogelijkheid om het aantal dagen te wijzigen mogelijk.
Automatisch uploaden
Geeft bedreigingen aan die niet door de Threat Defense SaaS-omgeving (Software as a Service) zijn waargenomen voor verdere analyse. Wanneer een bestand door het lokale model wordt gemarkeerd als een potentiële bedreiging, wordt een SHA256-hash van het draagbare uitvoerbare bestand genomen en deze wordt naar de SaaS verzonden. Als de SHA256-hash die is verzonden niet kan worden gekoppeld aan een bedreiging en Automatisch uploaden is ingeschakeld, kan de bedreiging veilig worden geüpload naar de SaaS voor evaluatie. Deze data worden veilig opgeslagen en zijn niet toegankelijk voor Dell of haar partners.
Veilige lijst
De Veilige lijst is een lijst met bestanden die zijn aangemerkt als veilig binnen de omgeving en die handmatig zijn goedgekeurd door hun SHA256-hash en eventuele aanvullende informatie in deze lijst te plaatsen. Wanneer een SHA256-hash in deze lijst wordt geplaatst en het bestand wordt uitgevoerd, wordt het niet geëvalueerd door de lokale of cloudbedreigingsmodellen. Dit zijn "absolute" bestandspaden.
Voorbeelden van uitsluitingen:
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Beveiligingsinstellingen
Onveilige actieve processen en hun subprocessen beëindigen
Wanneer Kill unsafe actieve processen en hun subprocessen is ingeschakeld, bepaalt dit of een bedreiging onderliggende processen genereert of dat de applicatie andere processen heeft overgenomen die momenteel in het geheugen worden uitgevoerd. Als er een overtuiging bestaat dat een proces is overgenomen door een bedreiging, worden de primaire bedreiging en alle processen die het heeft gegenereerd of momenteel bezit, onmiddellijk beëindigd.
Detectie van bedreigingen op de achtergrond
Indien ingeschakeld scant detectie van achtergrondbedreigingen het hele apparaat op een draagbaar uitvoerbaar bestand, evalueert dat uitvoerbare bestand vervolgens met het lokale bedreigingsmodel en vraagt om bevestiging voor de score van het uitvoerbare bestand met de cloudgebaseerde SaaS op basis van de bedreigingsindicatoren van het uitvoerbare bestand. Er zijn twee opties mogelijk met Detectie van achtergrondbedreigingen: Voer één keer uit en voer terugkerend uit. Run Once voert een achtergrondscan uit van alle fysieke schijven die op het apparaat zijn aangesloten op het moment dat Threat Defense wordt geïnstalleerd en geactiveerd. Run Recurring voert een achtergrondscan uit van alle apparaten die op het apparaat zijn aangesloten op het moment dat Threat Defense wordt geïnstalleerd en geactiveerd. De scan wordt elke negen dagen herhaald (niet configureerbaar).
Controleren op nieuwe bestanden
Wanneer Controleren op nieuwe bestanden is ingeschakeld, wordt elk draagbaar uitvoerbaar bestand dat op het apparaat wordt geïntroduceerd onmiddellijk geëvalueerd met de bedreigingsindicatoren die het weergeeft met behulp van het lokale model, en wordt deze score bevestigd tegen de in de cloud gehoste SaaS.
Bestandsvoorbeelden kopiëren
Met voorbeelden van kopieerbestanden kunnen bedreigingen die op het apparaat worden aangetroffen, automatisch worden geblokkeerd naar een gedefinieerde repository op basis van het UNC-pad. Dit wordt alleen aanbevolen voor intern onderzoek naar bedreigingen of voor een veilige opslagplaats van verpakte bedreigingen binnen de omgeving. Alle bestanden die zijn opgeslagen door Copy File Samples worden gezipt met een wachtwoord van infectedte installeren.
Agentinstellingen
Automatisch uploaden van logbestanden inschakelen
Met Automatische upload van logbestanden kunnen eindpunten hun logbestanden uploaden voor Dell Threat Defense elke nacht om middernacht, of wanneer het bestand 100 MB bereikt. Logboeken worden elke nacht geüpload, ongeacht de bestandsgrootte. Alle logboeken die worden overgedragen, worden gecomprimeerd voordat ze het netwerk verlaten.
Bureaubladmelding inschakelen
Met Melding op het bureaublad inschakelen kunnen apparaatgebruikers prompts op hun apparaat toestaan als een bestand als abnormaal of onveilig is gemarkeerd. Dit is een optie in het snelmenu van het Dell Threat Defense-systeemvakpictogram op eindpunten waarop deze policy is ingeschakeld.
Scriptcontrole
Scriptcontrole
Script Control werkt via een op geheugenfilters gebaseerde oplossing om scripts te identificeren die op het apparaat worden uitgevoerd en deze te voorkomen als het beleid is ingesteld op Blokkeren voor dat scripttype. Waarschuwingsinstellingen op deze beleidsregels markeren alleen scripts die zouden zijn geblokkeerd in logboeken en op de Dell Threat Defense-console.
1370 en lager
Dit beleid is van toepassing op klanten vóór 1370, die vóór juni 2016 beschikbaar waren. Met deze versies wordt alleen actie ondernomen op actieve scripts en op PowerShell gebaseerde scripts.
1380 en hoger
Deze policy's zijn van toepassing op clients van ná 1370, die beschikbaar waren ná juni 2016.
Active Script
Actieve scripts omvatten elk script dat wordt geïnterpreteerd door de Windows-scripthost, inclusief JavaScript, VBScript, batchbestanden en vele andere.
Powershell
PowerShell-scripts omvatten elk script met meerdere regels dat als één opdracht wordt uitgevoerd. (Standaardinstelling - Waarschuwing)
Block PowerShell Console Usage - (not present when PowerShell is ingesteld to Alert)
In PowerShell v3 (geïntroduceerd in Windows 8.1) en later worden de meeste PowerShell-scripts uitgevoerd als een eenregelige opdracht; Hoewel ze meerdere regels kunnen bevatten, worden ze in volgorde uitgevoerd. Hiermee kan de PowerShell-scriptinterpreter worden omzeild. Block PowerShell console werkt hier omheen door de mogelijkheid uit te schakelen om elke applicatie de PowerShell console te laten starten. De Integrated Scripting Environment (ISE) wordt niet beïnvloed door deze policy.
Macro's
De instelling Macro interpreteert macro's die aanwezig zijn in Office-documenten en PDF's en blokkeert schadelijke macro's die mogelijk proberen bedreigingen te downloaden.
Scriptcontrole uitschakelen
Met deze policy's wordt de mogelijkheid om waarschuwingen te ontvangen over het scripttype dat in elke policy is gedefinieerd, volledig uitgeschakeld. Als deze optie is uitgeschakeld, worden geen logboekdata verzameld en wordt geen poging gedaan om potentiële bedreigingen te detecteren of te blokkeren.
Active Script
Als deze optie is aangevinkt, voorkomt dit dat logboeken worden verzameld en worden mogelijke op Active Script gebaseerde bedreigingen geblokkeerd. Actieve scripts omvatten elk script dat wordt geïnterpreteerd door de Windows-scripthost, inclusief JavaScript, VBScript, batchbestanden en vele andere.
Powershell
Als deze optie is aangevinkt, voorkomt dit dat logboeken worden verzameld en worden mogelijke op PowerShell gebaseerde bedreigingen geblokkeerd. PowerShell-scripts omvatten elk script met meerdere regels dat als één opdracht wordt uitgevoerd.
Macro's
Als deze optie is aangevinkt, wordt voorkomen dat logboeken worden verzameld en worden mogelijke macro-gebaseerde bedreigingen geblokkeerd. De instelling Macro interpreteert macro's die aanwezig zijn in Office-documenten en PDF's en blokkeert schadelijke macro's die mogelijk proberen bedreigingen te downloaden.
Mapuitsluitingen (inclusief submappen)
Met Mapuitsluitingen kunt u mappen definiëren waarin scripts kunnen worden uitgevoerd die kunnen worden uitgesloten. In deze sectie wordt gevraagd om uitsluitingen in een relatieve padindeling.
- Mappaden kunnen wijzen naar een lokaal station, een gekoppeld netwerkstation of een pad van een Universal Naming Convention (UNC).
- Uitsluiting van scriptmappen moet het relatieve pad van de map of submap opgeven.
- Elk opgegeven mappad bevat ook eventuele submappen.
- Uitsluitingen met jokertekens moeten voorwaartse schuine strepen gebruiken in de UNIX-stijl voor Windows-computers. Voorbeeld:
/windows/system*/te installeren. - Het enige teken dat wordt ondersteund voor jokertekens is *.
- Mapuitsluitingen met een jokerteken moeten een schuine streep hebben aan het einde van het pad om onderscheid te kunnen maken tussen een map en een bestand.
- Uitsluiting van mappen:
/windows/system32/*/ - Bestandsuitsluiting:
/windows/system32/*
- Uitsluiting van mappen:
- Er moet een jokerteken worden toegevoegd voor elk niveau van de mapdiepte. Bijvoorbeeld,
/folder/*/script.vbslucifers\folder\test\script.vbsof\folder\exclude\script.vbsmaar werkt niet voor\folder\test\001\script.vbste installeren. Dit vereist het volgende/folder/*/001/script.vbsof/folder/*/*/script.vbste installeren. - Jokertekens ondersteunen volledige en gedeeltelijke uitsluitingen.
- Voorbeeld van een volledig jokerteken:
/folder/*/script.vbs - Voorbeeld van een gedeeltelijk jokerteken:
/folder/test*/script.vbs
- Voorbeeld van een volledig jokerteken:
- Netwerkpaden worden ook ondersteund met jokertekens.
//*/login/application//abc*/logon/application
Juist (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows): \Cases\ScriptsAllowed
Onjuist: C:\Application\SubFolder\application.vbs
Onjuist: \Program Files\Dell\application.vbs
Voorbeelden van jokertekens:
/users/*/temp zou betrekking hebben op:
\users\john\temp\users\jane\temp
/program files*/app/script*.vbs zou betrekking hebben op:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbs- \
program files(x64)\app\script3.vbs
Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.
Extra informatie
Video's
Getroffen producten
Dell Threat DefenseArtikeleigenschappen
Artikelnummer: 000124588
Artikeltype: How To
Laatst aangepast: 07 nov. 2024
Versie: 13
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.