Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Recomendaciones de políticas de Dell Threat Defense

Summary: Obtenga información sobre las políticas recomendadas y las definiciones de políticas para Dell Threat Defense.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Nota:

Dell Threat Defense utiliza políticas para lo siguiente:

  • Definir cómo se abordan las amenazas
  • Determinar qué se hace con los archivos en cuarentena
  • Configurar el control de script

Productos afectados:

  • Dell Threat Defense

Haga clic en Políticas recomendadas o Definiciones de políticas para obtener más información.

Definiciones de la política de Threat Defense:

Acciones de archivos

Cuarentena automática con control de ejecución para no seguro

Esta política determina lo que sucede con los archivos que se detectan mientras se ejecutan. La amenaza se bloquea de manera predeterminada, incluso cuando se detecta un archivo no seguro en estado de ejecución. No seguro se caracteriza por un puntaje acumulativo para el ejecutable portátil que supera 60 dentro del sistema de puntaje de Advanced Threat Prevention que se basa en indicadores de amenazas que se evaluaron.

Cuarentena automática con control de ejecución para anómalo

Esta política determina lo que sucede con los archivos que se detectan mientras se ejecutan. La amenaza se bloquea de manera predeterminada, incluso cuando se detecta un archivo anómalo en estado de ejecución. Lo anómalo se caracteriza por una puntuación acumulativa para el ejecutable portátil que supera 0, pero no supera 60 dentro del sistema de puntuación de Advanced Threat Prevention. El sistema de puntuación se basa en indicadores de amenazas que han sido evaluados.

Habilitar la eliminación automática de los archivos en cuarentena

Cuando los archivos no seguros o anómalos se ponen en cuarentena según las cuarentenas a nivel de dispositivo, las listas de cuarentena global o las políticas de cuarentena automática, estos se conservan en una caché de cuarentena local en un espacio aislado dentro del sistema local. Cuando la opción Habilitar eliminación automática para archivos en cuarentena está activada, indica la cantidad de días (mínimo de 14 días, máximo de 365 días) que se conservará el archivo en el dispositivo local antes de eliminarlo permanentemente. Cuando esta opción está habilitada, es posible realizar una modificación en la cantidad de días.

Carga automática

Marca las amenazas que el entorno de SaaS (software como servicio) de Threat Defense no detectó para un análisis más profundo. Cuando el modelo local marca un archivo como posible amenaza, se obtiene un hash SHA256 del archivo ejecutable portátil, el que se envía al SaaS. Si el algoritmo hash SHA256 enviado no se puede relacionar con una amenaza y la Carga automática está habilitada, se realizará una carga segura de la amenaza en el SaaS para evaluarla. Estos datos se almacenan de manera segura y Dell o sus socios no pueden acceder a ellos.

Lista segura de políticas

La Lista segura de políticas es una lista de archivos que se determinaron como seguros dentro del entorno y que se eximieron de forma manual mediante el envío del hash SHA256 y cualquier información adicional a esta lista. Cuando se coloca un hash SHA256 dentro de esta lista, cuando se ejecuta el archivo, los modelos de amenazas locales o en la nube no lo evalúan. Estas son rutas de archivo "absolutas".

Exclusiones de ejemplo:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Configuración de protección

Cerrar procesos en ejecución no seguros y los subprocesos

Cuando se habilita la opción Eliminar procesos en ejecución no seguros y sus subprocesos , esto determina si una amenaza está generando procesos secundarios o si la aplicación se ha apoderado de otros procesos que se están ejecutando actualmente en la memoria. Si existe la creencia de que una amenaza se ha apoderado de un proceso, la amenaza principal y cualquier proceso que haya generado o que posea actualmente se interrumpen de inmediato.

Detección de amenazas de fondo

Cuando se habilita, la detección de amenazas en segundo plano escanea todo el dispositivo en busca de cualquier archivo ejecutable portátil y, a continuación, evalúa ese archivo ejecutable con el modelo de amenaza local y solicita confirmación para la calificación del archivo ejecutable con el SaaS basado en la nube en función de los indicadores de amenazas del archivo ejecutable. Hay dos opciones posibles con la detección de amenazas en segundo plano: Ejecutar una vez y ejecutar de forma recurrente. Ejecutar una vez realiza un análisis en segundo plano de todas las unidades físicas que están conectadas al dispositivo en el momento en que se instala y activa Threat Defense. La ejecución recurrente realiza un análisis en segundo plano de todos los dispositivos conectados al dispositivo en el momento en que se instala y activa Threat Defense. Repite el escaneo cada nueve días (no se puede configurar).

Buscar nuevos archivos

Cuando la opción Buscar nuevos archivos está habilitada, cualquier archivo ejecutable portátil que se introduzca en el dispositivo se evalúa inmediatamente con los indicadores de amenazas que muestra mediante el modelo local, y este puntaje se confirma con respecto al SaaS alojado en la nube.

Copiar muestras de archivos

Copiar muestras de archivos permite que cualquier amenaza que se encuentre en el dispositivo se guarde automáticamente en un repositorio definido basado en la ruta UNC. Esto solo se recomienda para la investigación de amenazas interna o para mantener un repositorio seguro de las amenazas contenidas dentro del entorno. Todos los archivos almacenados por Copy File Samples se comprimen con la contraseña de infected.

Configuración del agente

Habilitar la carga automática de archivos de registro

Habilitar la carga automática de archivos de registro permite que los terminales carguen sus archivos de registro para Dell Threat Defense todas las noches a medianoche o cuando el archivo alcance los 100 MB. Los registros se cargan por la noche, sin importar el tamaño del archivo. Todos los registros que se transfieren se comprimen antes de que salgan de la red.

Habilitar notificación en escritorio

Habilitar notificación de escritorio permite que los usuarios del dispositivo permitan avisos en su dispositivo si un archivo está marcado como anormal o no seguro. Esta es una opción dentro del menú accesible haciendo clic con el botón secundario en el icono de la bandeja de Dell Threat Defense de los terminales con esta política habilitada.

Control de scripts

Control de scripts

El control de scripts funciona a través de una solución basada en filtros de memoria para identificar los scripts que se ejecutan en el dispositivo y evitarlos si la política está establecida en Bloquear para ese tipo de script. La configuración de alertas de estas políticas solo nota scripts que se habrían bloqueado dentro de los registros y en la consola de Dell Threat Defense.

1370 y versiones anteriores

Estas políticas se aplican a los clientes anteriores a la versión 1370, que estaba disponible antes de junio del 2016. En estas versiones, solo se realizan acciones en los scripts activos y los scripts basados en PowerShell.

1380 y versiones posteriores

Estas políticas se aplican a los clientes posteriores a la versión 1370, que estaba disponible después de junio del 2016.

Script activo

Los scripts activos incluyen cualquier script que se interprete mediante el host de script de Windows, incluidos JavaScript, VBScript, archivos por lotes y muchos otros.

PowerShell

Los scripts de PowerShell incluyen cualquier script de varias líneas que se ejecuta como un solo comando. (Configuración predeterminada: alerta)

Block PowerShell Console Usage: (no está presente cuando PowerShell está configurado en Alert)

En PowerShell v3 (presentado en Windows 8.1) y versiones posteriores, la mayoría de los scripts de PowerShell se ejecutan como un comando de una sola línea. Aunque pueden contener varias líneas, se ejecutan en orden. Esto puede omitir el intérprete de scripts de PowerShell. La opción Block PowerShell console funciona en torno a esto, ya que deshabilita la capacidad para que cualquier aplicación inicie la consola de PowerShell. Esta política no afecta al entorno de scripting integrado (ISE).

Macros

La configuración de Macro interpreta las macros que están presentes dentro de los documentos de Office y archivos PDF, y bloquea las macros maliciosas que puedan intentar descargar amenazas.

Deshabilitar el control de scripts

Estas políticas deshabilitan por completo la capacidad de incluso alertar sobre el tipo de script definido dentro de cada política. Cuando está deshabilitado, no se recolecta ningún registro y no se realiza ningún intento de detección o de bloqueo de posibles amenazas.

Script activo

Cuando se selecciona esta opción, evita la recopilación de registros y bloquea cualquier posible amenaza basada en Active Script. Los scripts activos incluyen cualquier script que se interprete mediante el host de script de Windows, incluidos JavaScript, VBScript, archivos por lotes y muchos otros.

PowerShell

Cuando se selecciona esta opción, evita la recopilación de registros y bloquea cualquier posible amenaza basada en PowerShell. Los scripts de PowerShell incluyen cualquier script de varias líneas que se ejecuta como un solo comando.

Macros

Cuando se selecciona esta opción, evita la recopilación de registros y bloquea cualquier posible amenaza basada en macros. La configuración de Macro interpreta las macros que están presentes dentro de los documentos de Office y archivos PDF, y bloquea las macros maliciosas que puedan intentar descargar amenazas.

Exclusiones de carpetas (incluye subcarpetas)

Las exclusiones de carpetas permiten definir las carpetas en las que se pueden ejecutar los scripts y en los que se pueden excluir. En esta sección, se solicitan exclusiones en un formato de ruta de acceso relativa.

  • Las rutas de carpetas pueden ser un disco local, una unidad de red asignada o una ruta de convención de nomenclatura universal (UNC).
  • Las exclusiones de la carpeta de script deben especificar la ruta de acceso relativa de la carpeta o subcarpeta.
  • Todas las rutas de carpetas especificadas también incluyen las subcarpetas.
  • Las exclusiones de comodines deben utilizar barras diagonales en el estilo UNIX para las computadoras Windows. Ejemplo: /windows/system*/.
  • El único carácter compatible con los comodines es *.
  • Las exclusiones de carpetas con un comodín deben contar con una barra diagonal al final de la ruta para diferenciar una carpeta de un archivo.
    • Exclusión de carpetas: /windows/system32/*/
    • Exclusión de archivos: /windows/system32/*
  • Se debe agregar un comodín por cada nivel de profundidad de carpeta. Por ejemplo: /folder/*/script.vbs Partidos \folder\test\script.vbs o \folder\exclude\script.vbs pero no funciona para \folder\test\001\script.vbs. Para ello se requerirían: /folder/*/001/script.vbs o /folder/*/*/script.vbs.
  • Los comodines admiten exclusiones completas y parciales.
    • Ejemplo de comodín completo: /folder/*/script.vbs
    • Ejemplo de comodín parcial: /folder/test*/script.vbs
  • Las rutas de red también admiten comodines.
    • //*/login/application
    • //abc*/logon/application

Correcto (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correcto (Windows): \Cases\ScriptsAllowed
Incorrect: C:\Application\SubFolder\application.vbs
Incorrect: \Program Files\Dell\application.vbs

Ejemplos de comodín:

/users/*/temp cubriría:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs cubriría:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

Additional Information

 

Videos

 

Affected Products

Dell Threat Defense
Article Properties
Article Number: 000124588
Article Type: How To
Last Modified: 07 Nov 2024
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.