Article Number: 000126777
Dell Endpoint Security Suite Enterprise 的 Advance Threat Protection Client 组件在威胁缓解方面使用三个阶段:
不适用
图 1:(仅限英文)检测阶段
文件哈希:Advanced Threat Protection 客户端最初检查文件校验和(称为哈希)以前是否被标识为威胁。哈希可以设置为:
如果哈希不可用,则 Advanced Threat Protection 通过以下方式检测威胁:
如果检测到威胁,则 Advanced Threat Protection 将进入 分析阶段。
图 2:(仅限英文)分析阶段
检测到威胁后,Advanced Threat Protection 会对以下内容进行分类:
如果在检测阶段发现威胁,则 会分配本地威胁评分。
如果端点 已连接 并 联机,则威胁的哈希值将发送到云。如果云威胁评分与本地威胁评分不同,则云威胁评分将传递到端点,而云威胁评分会覆盖本地威胁评分。
如果启用了自动上传策略,则 威胁将上传到 Cylance 租户。
分配威胁分数后,数据将获得 不安全或异常属性 ,然后 Advanced Threat Protection 进入 补救阶段。
图 3:(仅限英文)补救阶段
分配威胁评分和分类后,高级威胁防护将确定:
是否应安全列出威胁?如果是这样, 文件哈希将添加到端点 ,并且不会对文件采取进一步操作。
如果威胁未安全列出,则 Advanced Threat Protection 会检查是否已启用自动隔离策略。如果 启用了自动隔离,则威胁将被隔离。
如果未启用自动隔离,则执行检查以确定文件是否已被 DDP 管理员 手动设置为隔离 。如果将威胁设置为隔离,则 文件哈希将添加到端点的本地数据库,然后将文件隔离。
如果威胁未安全列出或隔离,则会将警报发送到控制台以获得 DDP 管理可见性和潜在操作。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Dell Endpoint Security Suite Enterprise
14 Nov 2023
9
Solution