Recomendações de política do Dell Threat Defense

Recomenda-se que as políticas sejam configuradas no Modo de aprendizagem ou Modo de proteção. Modo de aprendizado é como a Dell Technologies recomenda testar o Dell Threat Defense em um ambiente. Isso é mais eficaz quando o Dell Threat Defense é implantado em endpoints com a imagem padrão da empresa.

Talvez sejam necessárias outras alterações em Application Servers devido à E/S de disco superior ao normal.

Depois que todos os alertas forem tratados pelo administrador do Dell Threat Defense Console do Dell ThreatDefense, a Dell Technologies recomenda mudar para as recomendações de política do Modo de proteção. A Dell Technologies recomenda algumas semanas ou mais de testes no modo de aprendizado antes de mudar para as políticas do modo de proteção.

Clique em Recomendações do Servidor de Aplicativos, Modo de Aprendizado ou Modo de Proteção para obter mais informações.

Recomendações do servidor de aplicativos

Nos modos de aprendizagem e de proteção, os servidores de aplicativos podem notar um comportamento diferente e uma sobrecarga adicional nos sistemas operacionais de client. A Quarentena automática (AQT) impede, em raros casos, que alguns arquivos sejam executados até que uma Pontuação seja calculada. Isso é observado quando um aplicativo detecta o bloqueio de seus arquivos como adulteração ou quando um processo pode não ser concluído com êxito em um período esperado.

Se a opção Procurar novos arquivos estiver ativada, as operações do dispositivo poderão ficar mais lentas. Quando um novo arquivo for gerado, ele será analisado. Embora esse processo seja leve, um grande volume de arquivos de uma só vez pode afetar o desempenho.

Alterações de política sugeridas para os sistemas operacionais Windows Server:

• Ative a detecção de ameaças em segundo plano e faça com que ela seja executada uma vez.
• Certifique-se de que o Controle de execução esteja ativado.
• Desative a opção Procurar novos arquivos.

Com essas recomendações, normalmente é sugerido também conter dispositivos que executam sistemas operacionais de servidor em zonas separadas. Para obter informações sobre como gerar zonas, consulte Como gerenciar zonas no Dell Threat Defense.

Modo de aprendizagem

Tabela 1: Ações de arquivo do modo de aprendizagem

Política	Configuração recomendada
Quarentena automática com controle de execução para arquivos desprotegidos	Disabled
Quarentena automática com controle de execução para arquivos anormais	Disabled
Ativar exclusão automática de arquivos em quarentena	Disabled
Upload automático	Enabled
Lista segura de políticas	Depende do ambiente

Tabela 2: Configurações de proteção do modo de aprendizagem

Política	Configuração recomendada
Impedir o desligamento do serviço pelo dispositivo	Disabled
Eliminar processos desprotegidos em execução e seus subprocessos	Disabled
Detecção de ameaças em segundo plano	Disabled
Executar uma vez/executar recorrente	Não aplicável quando a proteção contra ameaças em segundo plano está definida como Disabled
Procurar novos arquivos	Disabled
Copiar amostras de arquivo	Depende do ambiente

Tabela 3: Configurações do agente do modo de aprendizagem

Política	Configuração recomendada
Ativar upload automático de arquivos de log	Depende do ambiente
Ativar notificação da área de trabalho	Depende do ambiente

Tabela 4: Controle de script do modo de aprendizagem

Política	Configuração recomendada
Script Control	Enabled
1370 and below Active Script and PowerShell	Alerta
1380 e acima de Active Script	Alerta
1380 and above PowerShell	Alerta
Block PowerShell Console Usage	Não aplicável quando o PowerShell está definido como Alert
1380 e acima das macros	Alerta
Desativar Script Control Active Script	Disabled
Disable Script Control PowerShell	Disabled
Desativar macros de Script Control	Disabled
Exclusões de pasta (inclui subpastas)	Depende do ambiente

Modo de proteção

Tabela 5: Ações do arquivo do modo de proteção

Política	Configuração recomendada
Quarentena automática com controle de execução para arquivos desprotegidos	Enabled
Quarentena automática com controle de execução para arquivos anormais	Enabled
Ativar exclusão automática de arquivos em quarentena	Depende do ambiente
Upload automático	Depende do ambiente
Lista segura de políticas	Depende do ambiente

Tabela 6: Configurações de proteção do modo de proteção

Política	Configuração recomendada
Impedir o desligamento do serviço pelo dispositivo	Enabled
Eliminar processos desprotegidos em execução e seus subprocessos	Enabled
Detecção de ameaças em segundo plano	Enabled
Executar uma vez/executar recorrente	Executar uma vez
Procurar novos arquivos	Enabled
Copiar amostras de arquivo	Depende do ambiente

Tabela 7: Configurações do agente do modo de proteção

Política	Configuração recomendada
Ativar upload automático de arquivos de log	Depende do ambiente
Ativar notificação da área de trabalho	Depende do ambiente

Tabela 8: Controle de script do modo de proteção

Política	Configuração recomendada
Script Control	Enabled
1370 and below Active Script and PowerShell	Bloquear
1380 e acima de Active Script	Bloquear
1380 and above PowerShell	Bloquear
Block PowerShell Console Usage	Bloquear
1380 e acima das macros	Bloquear
Desativar Script Control Active Script	Disabled
Disable Script Control PowerShell	Disabled
Desativar macros de Script Control	Disabled
Exclusões de pasta (inclui subpastas)	Depende do ambiente

Definições das políticas do Threat Defense:

Ações do arquivo

Quarentena automática com controle de execução para arquivos desprotegidos

Essa política determina o que acontece com os arquivos detectados durante a execução. Por padrão, mesmo quando a execução de um arquivo não seguro é detectada, a ameaça é bloqueada. Unsafe é caracterizada por uma pontuação cumulativa para o executável portátil que excede 60 dentro do sistema de pontuação do Advanced Threat Prevention com base nos indicadores de ameaças que foram avaliados.

Quarentena automática com controle de execução para arquivos anormais

Essa política determina o que acontece com os arquivos detectados durante a execução. Por padrão, mesmo quando a execução de um arquivo anormal é detectada, a ameaça é bloqueada. Anormal é caracterizada por uma pontuação cumulativa para o executável portátil que excede 0, mas não excede 60 no sistema de pontuação do Advanced Threat Prevention. O sistema de pontuação é baseado em indicadores de ameaça que foram avaliados.

Ativar exclusão automática de arquivos em quarentena

Quando arquivos não seguros ou anormais são colocados em quarentena no nível do dispositivo, em listas de quarentena globais ou conforme as políticas de quarentena automática, eles são mantidos dentro de um cache de quarentena isolado no sistema local. Quando a opção Habilitar exclusão automática para arquivos em quarentena está ativada, ela indica o número de dias (mínimo de 14 dias, máximo de 365 dias) para manter o arquivo no dispositivo local antes de excluí-lo permanentemente. Quando ativada, a capacidade de modificar o número de dias se torna possível.

Upload automático

Marca as ameaças que não foram vistas pelo ambiente Threat Defense SaaS (Software como serviço) para análise posterior. Quando um arquivo é marcado como uma possível ameaça pelo modelo local, um hash SHA256 é retirado do executável portátil e enviado para o SaaS. Se o hash SHA256 que foi enviado não puder ser correspondido a uma ameaça e o Upload automático estiver ativado, isso permitirá um upload seguro da ameaça para o SaaS para fins de avaliação. Esses dados são armazenados de forma segura e não podem ser acessados pela Dell ou seus parceiros.

Lista segura de políticas

A Lista segura de políticas contém arquivos que foram considerados seguros dentro do ambiente e que foram excluídos manualmente enviando seu hash SHA256 e quaisquer informações adicionais para esta lista. Se um hash SHA256 for colocado nessa lista, assim que o arquivo for executado, ele não será avaliado pelos modelos de ameaça locais ou na nuvem. Esses são caminhos de arquivo "absolutos".

Exemplo de exclusões:

Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Configurações de proteção

Eliminar processos desprotegidos em execução e seus subprocessos

Quando a opção Kill unsafe running processes and their sub processes está ativada, isso determina se uma ameaça está gerando processos filhos ou se o aplicativo assumiu o controle de outros processos que estão em execução atualmente na memória. Se houver a crença de que um processo foi tomado por uma ameaça, a ameaça primária e quaisquer processos que ela tenha gerado ou que ela possua atualmente serão imediatamente encerrados.

Detecção de ameaças em segundo plano

A Detecção de ameaças em segundo plano, quando ativada, verifica todo o dispositivo em busca de qualquer executável portátil e, em seguida, avalia esse executável com o modelo de ameaça local e solicita confirmação para a pontuação do executável com o SaaS baseado em nuvem com base nos indicadores de ameaça do executável. Duas opções são possíveis com a Detecção de ameaças em segundo plano: Executar uma vez e executar regularmente. A opção Run Once executa uma verificação em segundo plano de todas as unidades físicas conectadas ao dispositivo no momento em que o Threat Defense é instalado e ativado. A execução recorrente executa uma verificação em segundo plano de todos os dispositivos conectados ao dispositivo no momento em que o Threat Defense é instalado e ativado. Ele repete a varredura a cada nove dias (não configurável).

Procurar novos arquivos

Quando a opção Procurar novos arquivos está ativada, qualquer executável portátil introduzido no dispositivo é imediatamente avaliado com os indicadores de ameaça exibidos usando o modelo local, e essa pontuação é confirmada em relação ao SaaS hospedado na nuvem.

Copiar amostras de arquivo

As amostras de arquivo de cópia permitem que todas as ameaças encontradas no dispositivo sejam automaticamente depositadas em um repositório definido com base no caminho UNC. Isso só é recomendado para pesquisas de ameaças internas ou para manter um repositório seguro de ameaças compactadas dentro do ambiente. Todos os arquivos armazenados pelo Copy File Samples são compactados com uma senha de infected.

Configurações do agente

Ativar upload automático de arquivos de log

Ativar o carregamento automático de arquivos de log permite que os endpoints carreguem seus arquivos de log do Dell Threat Defense à noite à meia-noite ou quando o arquivo atingir 100 MB. Os logs são carregados todas as noites, independentemente do tamanho do arquivo. Todos os logs transferidos são compactados antes de saírem da rede.

Ativar notificação da área de trabalho

Habilitar notificação da área de trabalho permite que os usuários do dispositivo permitam prompts em seus dispositivos se um arquivo for marcado como anormal ou inseguro. Essa é uma opção no menu do botão direito do mouse do ícone da bandeja do Dell Threat Defense em endpoints com esta política ativada.

Script Control

Script Control

O Script Control opera por meio de uma solução baseada em filtro de memória para identificar scripts que estão sendo executados no dispositivo e impedi-los se a política estiver definida como Bloquear para esse tipo de script. As configurações de alerta nessas políticas só observam scripts que foram bloqueados nos logs e no console do Dell Threat Defense.

1370 e abaixo

Essas políticas se aplicam a clients com versões anteriores à 1370, que estavam disponíveis antes de junho de 2016. Somente scripts baseados em Active Scripts e Powershell são executados com essas versões.

1380 e acima

Essas políticas se aplicam a clientes posteriores a 1370, que estavam disponíveis depois de junho de 2016.

Active Script

Active Scripts incluem qualquer script interpretado pelo host de script do Windows, incluindo JavaScript, VBScript, arquivos em lotes e muitos outros.

Powershell

Os scripts Powershell incluem quaisquer scripts de várias linhas que sejam executados como um único comando. (Configuração padrão – Alert)

Block PowerShell Console Usage (indisponível quando o PowerShell está definido como Alert)

No Powershell v3 (introduzido no Windows 8.1) e nas versões posteriores, a maioria dos scripts Powershell são executados como um comando de linha única; embora possam conter várias linhas, eles são executados na ordem. Com isso, o interpretador de scripts Powershell poderá ser ignorado. A opção Block PowerShell console pode ser usada como alternativa, pois incapacita a abertura de qualquer aplicativo no console do Powershell. O ISE (Integrated Scripting Environment) não é afetado por essa política.

Macros

A configuração Macro interpreta as macros presentes nos documentos do Office e em PDFs e bloqueia macros mal-intencionadas que podem tentar fazer download de ameaças.

Desativar Script Control

Essas políticas incapacitam totalmente qualquer alerta no tipo de script definido dentro de cada política. Quando desativado, nenhum registro é coletado e nenhuma tentativa de detectar ou bloquear possíveis ameaças é executada.

Active Script

Quando marcada, impede a coleta de logs e bloqueia possíveis ameaças baseadas em Active Script. Active Scripts incluem qualquer script interpretado pelo host de script do Windows, incluindo JavaScript, VBScript, arquivos em lotes e muitos outros.

Powershell

Quando marcada, impede a coleta de logs e bloqueia possíveis ameaças baseadas no PowerShell. Os scripts Powershell incluem quaisquer scripts de várias linhas que sejam executados como um único comando.

Macros

Quando marcada, impede a coleta de logs e bloqueia possíveis ameaças baseadas em macros. A configuração Macro interpreta as macros presentes nos documentos do Office e em PDFs e bloqueia macros mal-intencionadas que podem tentar fazer download de ameaças.

Exclusões de pasta (inclui subpastas)

As exclusões de pasta permitem definir pastas em que os scripts podem ser executados e podem ser excluídos. Essa seção pede exclusões em um formato de caminho relativo.

• Os caminhos das pastas podem ser um caminho de convenção de nomenclatura universal (UNC), de uma unidade de rede mapeada ou uma unidade local.
• As exclusões de pastas de script devem especificar o caminho relativo da pasta ou subpasta.
• Qualquer caminho de pasta especificado também inclui as subpastas.
• As exclusões de caracteres curinga devem usar barras no estilo Unix para computadores com Windows. Exemplo: /windows/system*/.
• O único caractere aceito para caracteres curinga é *.
• As exclusões de pasta com um caractere curinga devem ter uma barra no final do caminho para diferenciar entre uma pasta e um arquivo.
  • Exclusão de pastas: /windows/system32/*/
  • Exclusão de arquivos: /windows/system32/*
• É necessário adicionar um caractere curinga para cada nível de detalhamento de pasta. Por exemplo, /folder/*/script.vbs Corresponde \folder\test\script.vbs ou \folder\exclude\script.vbs mas não funciona para \folder\test\001\script.vbs. Isso exigiria /folder/*/001/script.vbs ou /folder/*/*/script.vbs.
• Os caracteres curinga oferecem suporte a exclusões completas e parciais.
  • Exemplo de caractere curinga completo: /folder/*/script.vbs
  • Exemplo de caractere curinga parcial: /folder/test*/script.vbs
• Os caminhos de rede também são compatíveis com caracteres curinga.
  • //*/login/application
  • //abc*/logon/application

Correto (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correto (Windows): \Cases\ScriptsAllowed
Incorreto: C:\Application\SubFolder\application.vbs
Incorreto: \Program Files\Dell\application.vbs

Exemplos de caractere curinga:

/users/*/temp abrangeria:

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs abrangeria:

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs