如何在 Dell Endpoint Security Suite Enterprise 中管理威脅
Summary: Dell Endpoint Security Suite Enterprise 如何管理威脅。
Symptoms
注意:
- 截至 2022 年 5 月,Dell Endpoint Security Suite Enterprise 已達到維護結束的期限。Dell 已不再更新本文。如需詳細資訊,請參閱 Dell 資料安全性的產品生命週期 (支援結束/生命週期結束) 政策。如果您對其他文章有任何問題,請聯絡您的銷售團隊或聯絡 endpointsecurity@dell.com。
- 請參考端點安全性,以取得有關目前產品的其他資訊。
受影響的產品:
- Dell Endpoint Security Suite Enterprise
Dell Endpoint Security Suite Enterprise 的進階威脅防護用戶端元件在威脅緩解方面使用三個階段:
- 偵測:找到威脅的方式。
- 分析:如何識別威脅檔案。
- 補救措施:處理威脅的方式
注意:
- 本文意指威脅緩解程式的高概觀。
- 如果本機機型以 ATP 用戶端更新進行更新,則會針對 Dell Endpoint Security Suite Enterprise 啟動背景威脅偵測,並且可能再次檢查所有威脅。如需詳細資訊,請參閱Dell Endpoint Security Suite Enterprise 進階威脅防護偵測方法的更新。
Cause
不適用
Resolution
圖 1:(僅限英文)偵測階段
檔案雜湊:進階威脅防護用戶端一開始會檢查檔案總和 (稱為雜湊) 是否先前已識別為威脅。雜湊可以設定為:
- 安全列出檔案
- 隔離盤案
如果無法使用雜湊,進階威脅保護會透過以下方式偵測威脅:
- 執行控制:已啟動 (執行) 檔案
- 程式掃描:執行和設定自動啟動的程式
- 記憶體保護:記憶體中的資料
- 背景威脅偵測:進階威脅保護會在背景執行,並掃描全部。
如果偵測到威脅,進階威脅保護會進入 分析階段。
圖 2:(僅限英文)分析階段
偵測到威脅後,進階威脅保護會分類:
如果在偵測階段發現威脅,則 會指派本機威脅分數。
如果端點 已連線 並 聯機,則威脅的雜湊值會傳送至雲端。如果雲端威脅分數與本機威脅分數不同,雲端威脅分數會轉送至端點,而雲端威脅分數會覆寫本機威脅分數。
注意:全域威脅分數會選擇在本機以上,因為它會反映檔案最新的相關資訊。如果自動上傳原則已啟用,且雲端的威脅雜湊不明,則威脅會上傳至 Cylance 租戶。
如果啟用自動上傳原則,則 威脅會上傳至 Cylance 租戶。
一旦指派威脅分數後,資料會獲得 不安全或異常屬性 ,進階威脅保護會進入 補救階段。
圖 3:(僅限英文)補救階段
一旦指派威脅分數和分類後,進階威脅保護就會決定:
威脅應安全列出嗎?如果是這樣, 檔案雜湊會新增至端點 ,且不會對檔案採取進一步動作。
如果威脅未安全列出,進階威脅防護會檢查自動隔離原則是否已啟用。如果 啟用自動隔離,則威脅會隔離。
如果未啟用自動隔離,則會檢查檔案,以判斷檔案是否已由 DDP 系統管理員 手動設定為隔離 。如果威脅已設為隔離,則 檔案雜湊會新增至端點的本機資料庫,然後隔離該檔案。
如果威脅未安全列出或隔離,則會將警示傳送至主控台,以便 DDP 管理可見度和可能的動作。
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。