Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Dell Endpoint Security Suite Enterprise 進階威脅防護偵測方法的更新

Summary: Dell Endpoint Security Suite Enterprise 或 Dell Threat Defense 的更新可能會改變威脅的評估方式。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

注意:

受影響的產品:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

受影響的版本:

  • 1.2.137 倍 
  • 1.2.139 倍
  • 2.0.145 倍

Cause

Dell Data Protection 的進階威脅保護產品;Dell 威脅防禦和 Dell Endpoint Security Suite Enterprise 可能偶爾會更新,以改變威脅的評估方式。這些更新通常稱為「型號」更新,因為它們是威脅模型的更新。

Resolution

為了協助使用者瞭解新模式可能會如何影響其組織,主控台的保護頁面上有兩欄。您可以使用「生產狀態」和「新狀態」比較來查看裝置上哪些檔案,該型號會變更為受影響。

使用者應在全面展開生產前測試新機型。這應該會將機型變更造成的任何意外中斷降至最低。

您應該注意的案例包括:

  • 在目前型號中視為安全的檔案可能會在新模式中變更為「不安全」。如果您的組織需要該檔案,您可以將其新增至 Safelist。
  • 目前型號從未出現或已通過評分的檔案,而新機型則認為不安全。如果您的組織需要該檔案,您可以將其新增至 Safelist。

新的保護欄

這兩欄是:生產狀態和新狀態:

  • 生產狀態:顯示檔案目前的型號狀態 (安全、異常或不安全)
  • 新狀態:顯示新機型中檔案的機型狀態

只有在貴組織中已變更其威脅分數的裝置上找到的檔案才會顯示。某些檔案可能有威脅分數變更,但仍處於目前狀態。

範例:

檔案的威脅分數為 10 到 20,檔案狀態將保持異常,而且檔案會顯示在更新的型號清單中 (如果此檔案存在於貴組織的裝置上)。

注意:型號比較的資訊來自資料庫,而非您的裝置。因此,您不會對機型比較進行重新分析。但是,當有可用的新機型並安裝適當的代理程式時,會對您的組織進行重新分析,並套用任何型號變更。

若要檢視目前的型號和新型號欄:

  1. 登入 Dell 資料保護遠端管理主控台,選取「人口」->企業->進階威脅,然後選取「保護」標籤。
  2. 按一下欄標題上的向下箭頭。
  3. 選取「生產狀態」和「新狀態」欄。
  4. 按一下向下箭頭或按一下頁面上的任何地方,以關閉欄選項功能表。

您現在可以檢閱這兩種威脅模型之間的差異。

您應該注意的兩個案例是:

  • 目前型號 = 安全、新型號 = 異常或不安全
  • 您的組織會將檔案視為安全,或是「分類」為「受信任的本機」。
  • 您的組織有異常或不安全設定為自動隔離 (AQT)。
  • 目前型號 = Null (未顯示或評分),新型號 = 異常或不安全
  • 您的組織會將檔案視為安全,或是「分類」為「受信任的本機」。
  • 您的組織有異常或不安全設定為自動隔離 (AQT)。

在上述情況下,建議將您想要在組織中允許的檔案安全清單。

識別分類

若要識別可能影響組織的分類,我們建議使用下列方法:

  • 將篩選器套用至「新型號」欄,以顯示所有「不安全」、「異常」和「隔離」的檔案。如果您的原則設為「自動隔離」,您就看不到任何「不安全」或「異常」檔案,因為這些威脅已隔離。
  • 將篩選器套用至「生產狀態」欄,以顯示所有安全檔案。
  • 在「分類」欄套用篩選器,僅顯示「受信任 - 本機威脅」。受信任 - 本機檔案會與 Dell 的 ATP 進行分析,併發現安全 (檢閱後請安全列出這些專案)。如果您在篩選的清單中有很多檔案,則可能需要使用更多屬性來排定優先順序。範例:將篩選器新增至「背景偵測」欄,以檢閱「執行控制」找到的威脅。當使用者嘗試執行應用程式時,這些檔案已判定有罪,而且需要比背景威脅偵測或檔案觀察程式判定的休眠檔案更為緊急。

進階威脅 
圖 1:(僅限英文)進階威脅 

建議生產推出

本節概述了協助使用者升級至較新預測模式的策略。強烈建議將代理程式指派給啟用「不安全」和「異常」檔案的自動隔離原則。

自動更新與自動隔離

如果代理程式設為自動更新,則應在發佈新的預測模型時停用代理程式的自動更新。如果無法停用自動隔離或測試新的代理程式,請向 Dell Data Protection Administrator 發出警示。他們可能想要安全清單專案,這些專案被錯誤分類以解除封鎖使用者。

自動隔離的手動更新

如果您手動更新代理程式,則不需擔心自動更新。建議您在更新代理程式前先使用下列指示。

  1. 在有代表性的電腦上測試新的代理程式 (使用新機型)。理想情況下,這些測試機器會置於自動隔離原則中。如果安全應用程式遭到封鎖,請將檔案新增至您的安全清單。
  2. 測試完成後,請將新的代理程式導入您的所有電腦。

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

 

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126632
Article Type: Solution
Last Modified: 02 Oct 2023
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.