Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Doporučení ohledně zásad softwaru Dell Threat Defense

Summary: Přečtěte si o doporučených zásadách a definicích zásad pro software Dell Threat Defense.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Poznámka:

Software Dell Threat Defense využívá zásady k:

  • definování řešení hrozeb,
  • určení, co se stane se soubory v karanténě,
  • konfiguraci správy skriptů.

Dotčené produkty:

  • Dell Threat Defense

Další informace získáte po kliknutí na možnost Doporučené zásady nebo Definice zásad.

Definice zásad softwaru Threat Defense:

File Actions

Auto Quarantine with Execution Control for Unsafe

Tato zásada určuje, co se stane se zjištěnými soubory při jejich spuštění. Ve výchozím nastavení je hrozba zablokována, i v případě, že je nebezpečný soubor zjištěn jako spuštěný. Nebezpečný je charakterizován kumulativním skóre přenosného spustitelného souboru, které přesahuje 60 v rámci systému hodnocení Advanced Threat Prevention a je založen na vyhodnocených indikátorech hrozeb.

Auto Quarantine with Execution Control for Abnormal

Tato zásada určuje, co se stane se zjištěnými soubory při jejich spuštění. Ve výchozím nastavení je hrozba zablokována, i v případě, že je abnormální soubor zjištěn jako spuštěný. Abnormální je charakterizováno kumulativním skóre přenosného spustitelného souboru, které překračuje 0, ale nepřekračuje 60 v rámci systému hodnocení Advanced Threat Prevention. Bodovací systém je založen na indikátorech hrozeb, které byly vyhodnoceny.

Enable auto-delete for quarantined files

Pokud jsou nebezpečné nebo abnormální soubory umístěny do karantény na základě karantén na úrovni zařízení, globálních seznamů karantén nebo zásad automatické karantény, se uloží do izolované cache v místním zařízení. Když je povolená možnost Povolit automatické mazání souborů v karanténě, označuje počet dní (minimálně 14 dní, maximálně 365 dní), po které se má soubor před jeho trvalým odstraněním uchovávat na místním zařízení. Je-li tato možnost povolena, budete moci změnit počet dní.

Auto-Upload

Označuje hrozby, které prostředí Threat Defense SaaS (software jako služba) nepodrobilo další analýze. Pokud je soubor označen místním modelem jako potenciální hrozba, dojde k vyjmutí hashe SHA256 z přenosného spustitelného souboru a k jeho odeslání do prostředí SaaS. Pokud nelze odeslaný hash SHA256 spojit s hrozbou a je povolena funkce Auto-Upload, software bezpečně odešle hrozbu do prostředí SaaS k vyhodnocení. Tato data jsou bezpečně uložena a společnost Dell ani její partneři k nim nemají přístup.

Policy Safe List

Seznam Policy Safe List je seznam souborů, u kterých bylo rozhodnuto, že jsou v prostředí bezpečné a byly ručně vypuštěny odesláním jejich hashe SHA256 a jakýchkoliv dalších informací do tohoto seznamu. Pokud je hash SHA256 do tohoto seznamu umístěn, nebude při spuštění souboru vyhodnocen místními ani cloudovými modely hrozeb. Jedná se o "absolutní" cesty k souborům.

Příklady výjimek:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Protection Settings

Kill unsafe running processes and their sub processes

Pokud je povolena možnost Ukončit nebezpečné spuštěné procesy a jejich podprocesy , určuje, zda hrozba generuje podřízené procesy nebo zda aplikace převzala jiné procesy, které jsou aktuálně spuštěny v paměti. Pokud existuje přesvědčení, že proces byl převzat hrozbou, primární hrozba a všechny procesy, které vygenerovala nebo aktuálně vlastní, jsou okamžitě ukončeny.

Background Threat Detection

Pokud je detekce hrozeb na pozadí povolená, vyhledá v celém zařízení přenosný spustitelný soubor a pak tento spustitelný soubor vyhodnotí pomocí místního modelu hrozeb a vyžádá si potvrzení vyhodnocení spustitelného souboru pomocí cloudového SaaS na základě indikátorů hrozeb spustitelného souboru. Při použití detekce hrozeb na pozadí jsou možné dvě možnosti: Spustit jednou a spustit opakovaně. Nástroj Run Once provede kontrolu všech fyzických jednotek připojených k zařízení na pozadí v okamžiku, kdy je nainstalována a aktivována služba Threat Defense. Možnost Run Recurring provádí kontrolu na pozadí všech zařízení připojených k zařízení v okamžiku, kdy je nainstalována a aktivována služba Threat Defense. Kontrola se opakuje každých 9 dní (nelze ji konfigurovat).

Watch for New Files

Pokud je povolená funkce Watch for New Files , každý přenosný spustitelný soubor, který je zavedený do zařízení, se okamžitě vyhodnotí pomocí indikátorů hrozeb, které se zobrazí pomocí místního modelu, a toto skóre se potvrdí proti SaaS hostovanému v cloudu.

Copy File Samples

Funkce Copy File Samples umožňuje automatické escenci všech hrozeb nalezených v zařízení do definovaného úložiště na základě cesty UNC. To se doporučuje pouze pro interní výzkum hrozeb nebo pro bezpečné uložení zabalených hrozeb v prostředí. Všechny soubory, které jsou uloženy pomocí příkazu Copy File Samples , jsou komprimovány s heslem infected.

Agent Settings

Enable Auto-Upload of log files

Povolení automatického odesílání souborů protokolu umožňuje koncovým bodům odesílat své soubory protokolu pro službu Dell Threat Defense každou noc o půlnoci nebo když velikost souboru dosáhne 100 MB. Protokoly se odesílají každou noc bez ohledu na velikost souboru. Všechny přenesené protokoly se před výstupem ze sítě zkomprimují.

Enable Desktop Notification

Povolit oznámení na ploše umožňuje uživatelům zařízení povolit na svém zařízení výzvy, když je soubor označen jako neobvyklý nebo nebezpečný. Jedná se o možnost v nabídce po kliknutí pravým tlačítkem na ikonu softwaru Dell Threat Defense v hlavním panelu na koncových bodech, pokud je tato zásada povolena.

Script Control

Script Control

Správa skriptů funguje prostřednictvím řešení založeného na filtru paměti, aby identifikovala skripty, které jsou spuštěné na zařízení, a zabránila jim, pokud je zásada pro tento typ skriptu nastavená na Blokovat. Nastavení Alert v těchto zásadách se týká pouze skriptů, které by byly zablokovány v protokolech a v konzoli Dell Threat Defense.

1370 and Below

Tyto zásady platí pro klienty s verzemi staršími než 1370, které byly k dispozici před červnem 2016. V těchto verzích se používají pouze skripty Active Scripts a PowerShell.

1380 and Above

Tyto zásady platí pro klienty s verzemi vyššími než 1370, které byly k dispozici po červnu 2016.

Active Script

Nastavení Active Script zahrnuje libovolné skripty, které jsou interpretovány modulem Windows Script Host, včetně skriptů JavaScript, VBScript, dávkových souborů a mnoha dalších.

PowerShell

Skripty PowerShell obsahují libovolný víceřádkový skript, který se spouští jako jeden příkaz. (Výchozí nastavení – Alert)

Block PowerShell Console Usage – (není k dispozici, pokud je prostředí PowerShell nastaveno na možnost Alert)

V prostředí PowerShell v3 (zavedeném v systému Windows 8.1) a novějších se většina skriptů prostředí PowerShell spustí jako jednořádkový příkaz. Ačkoliv mohou obsahovat více řádků, spustí se v pořadí. Tak lze obejít překladač skriptů prostředí PowerShell. Funkce Block PowerShell Console situaci řeší tak, že v konzoli PowerShell zakáže možnost spuštění libovolné aplikace. Prostředí ISE (Integrated Scripting Environment) není touto zásadou nijak ovlivněno.

Macros

Nastavení maker interpretuje makra obsažená v dokumentech sady Office a v souborech PDF a blokuje škodlivá makra která by se mohla pokusit stáhnout hrozby.

Disable Script Control

Tyto zásady zcela zakážou možnost upozornit na typ skriptu, který je definovaný v rámci jednotlivých zásad. Je-li tato funkce zakázaná, neshromažďují se žádné protokoly a není proveden žádný pokus o detekci nebo blokování potenciálních hrozeb.

Active Script

Je-li zaškrtnuto, zabraňuje shromažďování protokolů a blokuje všechny potenciální hrozby založené na aktivních skriptech. Nastavení Active Script zahrnuje libovolné skripty, které jsou interpretovány modulem Windows Script Host, včetně skriptů JavaScript, VBScript, dávkových souborů a mnoha dalších.

PowerShell

Pokud je zaškrtnuté, zabrání shromažďování protokolů a zablokuje všechny potenciální hrozby založené na PowerShellu. Skripty PowerShell obsahují libovolný víceřádkový skript, který se spouští jako jeden příkaz.

Macros

Je-li tato možnost zaškrtnutá, zabrání shromažďování protokolů a zablokuje všechny potenciální hrozby založené na makrech. Nastavení maker interpretuje makra obsažená v dokumentech sady Office a v souborech PDF a blokuje škodlivá makra která by se mohla pokusit stáhnout hrozby.

Folder Exclusions (includes subfolders)

Vyloučení složek umožňuje definovat složky, ve kterých mohou být spuštěny skripty a které lze vyloučit. V této části je nutné vyloučení zadat ve formátu relativní cesty.

  • Cesty ke složce mohou vést na místní disk, mapovanou síťovou jednotku nebo cestu UNC (Universal Naming Convention).
  • Při vyloučení skriptové složky je nutné určit relativní cestu ke složce nebo podsložce.
  • Jakákoli zadaná cesta ke složce obsahuje také podsložky.
  • Výjimky zástupných znaků musí u počítačů se systémem Windows používat lomítka ve stylu UNIX. Příklad: /windows/system*/.
  • Jediný podporovaný znak pro zástupné znaky je *.
  • Vyloučení složky se zástupným znakem musí mít na konci cesty lomítko, aby bylo možné rozlišit složku a soubor.
    • Vyloučení složky: /windows/system32/*/
    • Vyloučení souboru: /windows/system32/*
  • Zástupný znak je nutné přidat pro každou úroveň složky. Například /folder/*/script.vbs zápasy \folder\test\script.vbs nebo \folder\exclude\script.vbs ale nefunguje pro \folder\test\001\script.vbs. To by vyžadovalo buď /folder/*/001/script.vbs nebo /folder/*/*/script.vbs.
  • Zástupné znaky podporují úplné i částečné vyloučení.
    • Příklad úplného zástupného znaku: /folder/*/script.vbs
    • Příklad částečného zástupného znaku: /folder/test*/script.vbs
  • Zástupné znaky jsou podporovány i pro síťové cesty.
    • //*/login/application
    • //abc*/logon/application

Správně (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Správně (Windows): \Cases\ScriptsAllowed
Špatně: C:\Application\SubFolder\application.vbs
Špatně: \Program Files\Dell\application.vbs

Příklady zástupných znaků:

/users/*/temp by zahrnovalo:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs by zahrnovalo:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Additional Information

 

Videos

 

Affected Products

Dell Threat Defense
Article Properties
Article Number: 000124588
Article Type: How To
Last Modified: 07 nov 2024
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.