Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Aktualizace způsobu detekce v sadě Dell Endpoint Security Suite Enterprise Advanced Threat Protection

Summary: Aktualizace sady Dell Endpoint Security Suite Enterprise nebo Dell Threat Defense mohou způsobit změny v způsobu hodnocení hrozeb.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Poznámka:

Dotčené produkty:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Dotčené verze:

  • 1.2.137x 
  • 1.2.139x
  • 2.0.145x

Cause

produkty Advanced Threat Protection nástroje Dell Data Protection; Software Dell Threat Defense a Dell Endpoint Security Suite Enterprise mohou občasné aktualizace, které mění způsob vyhodnocování hrozeb. Tyto aktualizace se běžně označují jako "modely" aktualizací, jelikož představují aktualizace modelu hrozeb.

Resolution

Chcete-li uživatelům pomoci zjistit, jak může nový model ovlivnit jejich organizaci, jsou na stránce Ochrana v konzoli dva sloupce. Pomocí porovnání Stav výroby a Nový stav můžete zjistit, které soubory na vašich zařízeních se podle dopadu změní model.

Před úplným produkčním nasazením by měli uživatelé nové modely otestovat. To by mělo minimalizovat všechny nežádoucí výpadky způsobené změnami modelu.

Situace, o kterých byste měli vědět, jsou:

  • Soubor, který byl v aktuálním modelu považován za bezpečný, se může u nového modelu změnit na nebezpečné. Pokud vaše organizace tento soubor potřebuje, můžete jej přidat na seznam bezpečných položek.
  • Soubor, který aktuální model nikdy nezpozoroval nebo hodnotil, a nový model jej považuje za nebezpečný. Pokud vaše organizace tento soubor potřebuje, můžete jej přidat na seznam bezpečných položek.

Nové sloupce ochrany

Dva sloupce jsou: Stav výroby a nový stav:

  • Stav výroby: Zobrazí aktuální stav modelu souboru (bezpečné, abnormální nebo nebezpečné).
  • Nový stav: Zobrazí stav modelu souboru v novém modelu.

Zobrazí se pouze soubory nalezené na zařízeních ve vaší organizaci, která mají změny v jejich skóre hrozeb. U některých souborů může dojít ke změně skóre hrozeb, ale zůstávají v jejich aktuálním stavu.

Příklady:

Skóre hrozby pro soubor se přesune z 10 na 20, stav souboru zůstane abnormální a soubor se zobrazí v aktualizovaném seznamu modelů (pokud se tento soubor nachází na zařízeních ve vaší organizaci).

Poznámka: Informace pro porovnání modelu pocházejí z databáze, nikoli z vašich zařízení. Proto se pro porovnání modelů neprovede žádná opakovaná analýza. Pokud je však k dispozici nový model a je nainstalován správný agent, provede se ve vaší organizaci opakovaná analýza a použijí se veškeré změny modelu.

Zobrazení sloupců Current Model a New Model:

  1. Přihlaste se do konzole pro vzdálenou správu nástroje Dell Data Protection, vyberte možnost Populations -> Enterprise -> Advanced Threats a poté kartu Protection.
  2. Klikněte na šipku dolů v záhlaví sloupce.
  3. Vyberte sloupce Stav výroby a Nový stav.
  4. Kliknutím na šipku dolů nebo kliknutím kamkoli na stránku zavřete nabídku možností sloupce.

Nyní můžete zkontrolovat rozdíly mezi dvěma modely hrozeb.

Měli byste si být vědomi těchto dvou scénářů:

  • Aktuální model = Bezpečný, Nový model = Abnormální nebo Nebezpečné
  • Vaše organizace považuje soubor za bezpečný nebo za důvěryhodný místní.
  • Vaše organizace má abnormální nebo nebezpečné soubory nastavené do automatické karantény (AQT).
  • Current Model = Null (not seen or scored), New Model = Abnormal or Unsafe
  • Vaše organizace považuje soubor za bezpečný nebo za důvěryhodný místní.
  • Vaše organizace má abnormální nebo nebezpečné soubory nastavené do automatické karantény (AQT).

Ve výše uvedených případech se doporučuje přidat na seznam bezpečných souborů, které chcete povolit ve své organizaci.

Identifikace klasifikací

Pokud chcete identifikovat klasifikace, které by mohly mít vliv na vaši organizaci, doporučujeme následující postup:

  • Použití filtru ve sloupci Nový model pro zobrazení všech nebezpečných, abnormálních a souborů v karanténě. Pokud je vaše zásada nastavena na automatickou karanténu, neuvidíte žádné nebezpečné nebo abnormální soubory, protože tyto hrozby byly umístěny do karantény.
  • Použití filtru ve sloupci Stav výroby pro zobrazení všech bezpečných souborů.
  • Použití filtru ve sloupci Classification zobrazí pouze hrozby Trusted – Local. Důvěryhodné – Místní soubory jsou analyzovány pomocí služby ATP společnosti Dell a ověřeny jako bezpečné (po kontrole tyto položky zařazujte na seznam bezpečných). Pokud je ve filtrovaném seznamu velké množství souborů, můžete upřednostnit použití více atributů. Příklad: Přidejte do sloupce Background Detection filtr, který zkontroluje hrozby nalezené kontrolou spuštění. Ty byly usvědčeny, když se uživatel pokusil spustit aplikaci a potřebuje naléhavou pozornost než ty, které byly usvědčeny pomocí funkce Background Threat Detection nebo File Watcher.

Advanced Threats 
Obrázek 1: (Pouze v angličtině) Pokročilé hrozby 

Doporučené produkční uvedení

Tato část popisuje strategie, které uživatelům pomáhají s upgradem na novější prediktivní model. Důrazně doporučujeme přiřazovat agenty k zásadám s automatickou karanténou, která je povolena pro nebezpečné a abnormální soubory.

Automatické aktualizace s automatickou karanténou

Pokud jsou agenti nastaveni na možnost Auto-Update, měli byste deaktivovat automatické aktualizace agentů po vydání nových prediktivních modelů. Pokud není možné zakázat automatickou karanténu nebo testovat nového agenta, upozorněte správce nástroje Dell Data Protection. Mohou chtít přidat položky Safelist, které jsou nesprávně odlišeny odblokování uživatelů.

Ruční aktualizace s automatickou karanténou

Pokud agenty aktualizujete ručně, pak není automatické aktualizace problém. Před aktualizací agentů doporučujeme použít následující pokyny.

  1. Otestujte nového agenta (s novým modelem) na sady zástupců počítačů. V ideálním případě by tyto testovací počítače byly umístěny do zásady automatické karantény. Pokud je aplikace Safe blokována, přidejte soubor na seznam bezpečných souborů.
  2. Po dokončení testování zaveďte nového agenta do všech svých počítačů.

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

 

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126632
Article Type: Solution
Last Modified: 02 Oct 2023
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.