Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Aktualizacje metody wykrywania programu Dell Endpoint Security Suite Enterprise Advanced Threat Protection

Summary: Aktualizacje rozwiązania Dell Endpoint Security Suite Enterprise lub Programu Dell Threat Defense mogą spowodować zmiany w sposobie szacowania zagrożeń.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Uwaga:

Dotyczy produktów:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Dotyczy wersji:

  • 1,2,137x 
  • 1.2.139x
  • 2,0,145x

Cause

Produkty Dell Data Protection Advanced Threat Protection; Programy Dell Threat Defense i Dell Endpoint Security Suite Enterprise mogą mieć okazjonalne aktualizacje, które zmieniają sposób oceny zagrożeń. Aktualizacje te są powszechnie używane jako aktualizacje "modelu", ponieważ są aktualizacjami modelu zagrożenia.

Resolution

Aby ułatwić użytkownikom wpływ nowego modelu na jego organizację, na stronie Ochrona znajdują się dwie kolumny w konsoli. Można skorzystać z porównania stanu produkcji i nowego stanu, aby sprawdzić, które pliki na urządzeniach, których model zmienia się jako zagrożony.

Użytkownicy powinni przetestować nowe modele przed pełnym wdrożeniem produkcji. Powinno to zminimalizować wszelkie niezamierzone przerwy w pracy spowodowane zmianami modelu.

Scenariusze, o których należy pamiętać:

  • Plik, który w bieżącym modelu został uznany za bezpieczny, może zmienić się na niebezpieczny w nowym modelu. Jeśli Twoja organizacja potrzebuje tego pliku, możesz dodać go do listy bezpiecznych plików.
  • Plik, który bieżący model nigdy nie widział lub nie został oceniony, a nowy model uznaje go za niebezpieczny. Jeśli Twoja organizacja potrzebuje tego pliku, możesz dodać go do listy bezpiecznych plików.

Nowe kolumny ochrony

Te dwie kolumny: Stan produkcji i nowy stan:

  • Stan produkcji: Wyświetla bieżący stan modelu (bezpieczny, nietypowy lub niebezpieczny) dla pliku
  • Nowy stan: Wyświetla stan modelu pliku w nowym modelu

Wyświetlane są tylko pliki znalezione na urządzeniach w organizacji, na których dokonano zmian w wynikach zagrożeń. Niektóre pliki mogą mieć zmianę wyniku zagrożenia, ale pozostają w ich obecnym stanie.

Przykłady:

Ocena zagrożenia dla pliku wzrasta z 10 do 20, stan pliku pozostanie nieprawidłowy, a plik pojawi się na zaktualizowanej liście modeli (jeśli ten plik istnieje na urządzeniach w organizacji).

Uwaga: Informacje na temat porównania modeli pochodzą z bazy danych, a nie z twoich urządzeń. Dlatego nie przeprowadzono ponownej analizy dla porównania modelu. Jeśli jednak dostępny jest nowy model i zainstalowano odpowiedniego agenta, w organizacji zostanie wykonana ponowna analiza i zostaną zastosowane wszelkie zmiany modelu.

Aby wyświetlić kolumny Bieżący model i nowy model:

  1. Zaloguj się do konsoli Dell Data Protection Remote Management Console, wybierz opcję Populations -> Enterprise -> Advanced Threats, a następnie wybierz kartę Ochrona.
  2. Kliknij strzałkę w dół w nagłówku kolumny.
  3. Wybierz kolumny Stan produkcji i Nowy stan.
  4. Kliknij strzałkę w dół lub kliknij dowolne miejsce na stronie, aby zamknąć menu opcji kolumn.

Teraz można sprawdzić różnice między dwoma modelami zagrożeń.

Oto dwa scenariusze, o których należy pamiętać:

  • Bieżący model = bezpieczny, nowy model = nietypowy lub niebezpieczny
  • Organizacja uważa plik za bezpieczny lub klasyfikacja jest zaufana lokalnie.
  • W Organizacji ustawiono ustawienie Nietypowe lub Niebezpieczne na automatyczną kwarantannę (AQT).
  • Bieżący model = null (niewidoczny lub oceniony), nowy model = nietypowy lub niebezpieczny
  • Organizacja uważa plik za bezpieczny lub klasyfikacja jest zaufana lokalnie.
  • W Organizacji ustawiono ustawienie Nietypowe lub Niebezpieczne na automatyczną kwarantannę (AQT).

W powyższych scenariuszach zaleca się wprowadzenie listy bezpiecznych plików, na które chcesz zezwolić w organizacji.

Identyfikacja klasyfikacji

Aby zidentyfikować klasyfikacje, które mogą wpłynąć na organizację, zalecamy następujące podejście:

  • Zastosuj filtr do kolumny Nowy model, aby wyświetlić wszystkie pliki niebezpieczne, nietypowe i poddane kwarantannie. Jeśli zasady są ustawione na automatyczną kwarantannę, nie widzisz żadnych niebezpiecznych lub nietypowych plików, ponieważ zagrożenia te zostały poddane kwarantannie.
  • Zastosuj filtr do kolumny Production Status, aby wyświetlić wszystkie bezpieczne pliki.
  • Zastosuj filtr do kolumny Klasyfikacja, aby wyświetlać tylko zaufane – lokalne zagrożenia. Zaufane — pliki lokalne są analizowane za pomocą atp firmy Dell i uznane za bezpieczne (lista bezpiecznych tych elementów po przejrzeniu). Jeśli na liście filtrowanych znajduje się wiele plików, warto określić priorytet przy użyciu większej liczby atrybutów. Przykład: Dodaj filtr do kolumny Wykrywanie w tle, aby przejrzeć zagrożenia wykryte przez kontrolę wykonania. Zostały one uznany za zagrożenie, gdy użytkownik próbował uruchomić aplikację i wymaga pilniejszej uwagi niż pliki uznany za wykrywanie zagrożeń w tle lub narzędzie File Watcher.

Zaawansowane zagrożenia 
Rysunek 1. (tylko w języku angielskim) Zaawansowane zagrożenia 

Zalecane wdrożenie produkcji

W tej sekcji przedstawiono strategie, które pomagają użytkownikom w uaktualnieniu do nowszego modelu predykcyjnego. Zdecydowanie zaleca się przypisanie agentów do zasad z automatyczną kwarantanną włączoną dla plików niebezpiecznych i nietypowych.

Automatyczne aktualizacje z automatyczną kwarantanną

Jeśli agenty są ustawione na automatyczną aktualizację, należy wyłączyć automatyczne aktualizacje dla agentów po opublikowaniu nowych modeli predykcyjnych. Jeśli nie można wyłączyć automatycznej kwarantanny lub przetestować nowego agenta, należy powiadomić administratorów Dell Data Protection. Mogą chcieć odszyfikować elementy listy bezpiecznych, które są nieprawidłowo klasyfikowane do odblokowywanie użytkowników.

Ręczne aktualizacje z automatyczną kwarantanną

W przypadku ręcznej aktualizacji agentów automatyczna aktualizacja nie stanowi problemu. Zaleca się korzystanie z poniższych instrukcji przed aktualizacją agentów.

  1. Przetestuj nowego agenta (z nowym modelem) na reprezentatywnym zestawie komputerów. W idealnym przypadku te komputery testowe zostałyby umieszczone w zasadach automatycznej kwarantanny. Jeśli bezpieczna aplikacja zostanie zablokowana, dodaj plik do listy bezpiecznych plików.
  2. Po zakończeniu testów należy wdrożyć nowego agenta we wszystkich komputerach.

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

 

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126632
Article Type: Solution
Last Modified: 02 Oct 2023
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.