Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

更新 Dell Endpoint Security Suite Enterprise Advanced Threat Protection 检测方法

Summary: 更新 Dell Endpoint Security Suite Enterprise 或 Dell Threat Defense 可能会导致威胁评估方式发生变化。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

提醒:

受影响的产品:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

受影响的版本:

  • 1.2.137 倍 
  • 1.2.139 倍
  • 2.0.145 倍

Cause

Dell Data Protection 的高级威胁防护产品;Dell Threat Defense 和 Dell Endpoint Security Suite Enterprise 可能会偶尔进行更新,以改变威胁的评估方式。这些更新通常称为“型号”更新,因为它们是威胁模型的更新。

Resolution

为了帮助用户了解新模型可能如何影响他们的组织,控制台中的 Protection 页面上有两列。您可以使用“Production Status”和“New Status”比较来查看模型更改为受影响的设备上的哪些文件。

在全面部署生产之前,用户应测试新型号。这应该会更大限度地减少因型号更改而导致的任何意外中断。

您应该注意的情形包括:

  • 在当前模型中被视为安全的文件可能会在新型号中更改为 不安全 。如果您的组织需要该文件,您可以将其添加到 Safelist 中。
  • 当前模型从未看到或评分的文件,新模型认为它不安全。如果您的组织需要该文件,您可以将其添加到 Safelist 中。

新的保护列

这两列包括:生产状态和新状态:

  • 生产状态:显示文件的当前型号状态(安全、异常或不安全)
  • 新状态:在新型号中显示文件的型号状态

仅显示在组织中的设备上存在威胁评分更改的文件。某些文件可能具有威胁评分更改,但仍处于其当前状态。

示例:

文件的威胁评分从 10 到 20,文件状态将保持异常,并且文件将显示在更新的模型列表中(如果此文件存在于组织中的设备上)。

提醒:模型比较的信息来自数据库,而不是您的设备。因此,不会对模型进行重新分析。但是,当新型号可用并且安装了正确的代理时,将在您的组织上进行重新分析,并应用任何模型更改。

要查看 Current Model 和 New Model 列:

  1. 登录到 Dell Data Protection Remote Management Console,选择 Populations -> Enterprise -> Advanced Threat ,然后选择 Protection 选项卡。
  2. 单击列标题上的向下箭头。
  3. 选择“Production Status”和“New Status”列。
  4. 单击向下箭头或单击页面上的任意位置以关闭列选项菜单。

现在,您可以查看两种威胁模型之间的差异。

您应该了解的两种情形包括:

  • 当前型号 = 安全,新型号 = 异常或不安全
  • 您的组织将文件视为“安全”或“分类”为“受信任本地”。
  • 您的组织已将“异常”或“不安全”设置为“自动隔离”(AQT)。
  • 当前型号 = 空(未看到或评分),新型号 = 异常或不安全
  • 您的组织将文件视为“安全”或“分类”为“受信任本地”。
  • 您的组织已将“异常”或“不安全”设置为“自动隔离”(AQT)。

在上述情况下,建议将您希望在组织中允许的文件列入安全列表。

识别分类

为了确定可能影响您的组织的分类,我们建议采用以下方法:

  • 将筛选器应用到 New Model 列,以显示所有不安全、异常和隔离的文件。如果您的策略设置为 自动隔离 ,则无法看到任何不安全或异常文件,因为这些威胁已被隔离。
  • 将筛选器应用到“生产状态”列以显示所有安全文件。
  • 将筛选器应用于“分类”列,以仅显示受信任 - 本地威胁。受信任 - 使用戴尔的 ATP 分析本地文件,并发现这些文件是安全的(在审查后将这些项目列入安全列表)。如果筛选列表中有大量文件,则可能需要使用更多属性进行优先级排序。示例:将筛选器添加到“后台检测”列,以查看执行控制发现的威胁。当用户尝试运行应用程序时,这些内容被判定不起眼,并且需要比后台威胁检测或文件监视程序认定的休眠文件更紧急。

高级威胁 
图 1:(仅限英文)高级威胁 

建议的生产部署

本节概述了帮助用户升级到较新的预测模型的战略。强烈建议将代理分配给为不安全和异常文件启用自动隔离的策略。

使用自动隔离自动更新

如果代理设置为 自动更新 ,则应在发布新的预测模型时禁用代理的自动更新。如果无法禁用自动隔离或测试新代理,请提醒您的 Dell Data Protection 管理员。他们可能想要将分类错误的项目列入安全列表,以取消阻止用户。

使用自动隔离进行手动更新

如果您手动更新代理,则无需担心自动更新。建议您在更新代理之前使用以下说明。

  1. 在一组具有代表性的计算机上测试新代理(使用新型号)。理想情况下,这些测试机将置于自动隔离策略中。如果安全应用程序被阻止,请将文件添加到您的安全列表。
  2. 测试完成后,将新代理部署到您的所有计算机。

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

 

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126632
Article Type: Solution
Last Modified: 02 Oct 2023
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.