Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Dell Threat Defense 原則建議

Summary: 瞭解 Dell Threat Defense 的建議原則和原則定義。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

注意:

Dell Threat Defense 使用原則以:

  • 定義解決威脅的方式
  • 判斷隔離檔案的處理方式
  • 設定指令檔控制

受影響的產品:

  • Dell Threat Defense

如需詳細資訊,請按一下 建議的原則原則定義

Threat Defense 原則定義:

檔案動作

針對不安全的執行控制進行自動隔離

此原則可決定在執行到偵測的檔案時該進行什麼動作。依預設,即使偵測到不安全的檔案正在執行,亦會封鎖威脅。在 Advanced Threat Prevention 的評分系統中,會根據威脅指示器進行評估,若可攜式可執行檔的累計分數超過 60,便代表不安全。

針對異常的執行控制進行自動隔離

此原則可決定在執行到偵測的檔案時該進行什麼動作。依預設,即使偵測到異常的檔案正在執行,亦會封鎖威脅。在 Advanced Threat Prevention 的評分系統中,可攜式可執行檔的累計分數會超過 0 但未超過 60,代表為異常。評分系統以經過評估的威脅指示器為依據。

啟用隔離檔案自動刪除

根據裝置層級隔離、全域隔離清單,或自動隔離原則隔離不安全或異常的檔案時,檔案會存放在本機裝置的本機沙箱隔離快取內。啟用自動刪除隔離檔案時,會表示將檔案在永久刪除檔案前保留在本機裝置上的天數 (最短 14 天,最長 365 天)。啟用此功能後,便可修改天數。

自動上傳

標記未出現在 Threat Defense SaaS (軟體即服務) 環境中的威脅,以供進一步分析。當本機模型將檔案標示為潛在威脅時,會擷取可攜式可執行檔的 SHA256 雜湊,並將其傳送至 SaaS。如果傳送的 SHA256 雜湊與威脅不相符,且已啟用自動上傳,則可將威脅安全上傳至 SaaS,以進行評估。此資料採用安全儲存,Dell 或其合作夥伴無法存取這些資料。

原則安全清單

原則安全清單是一份判定為環境中的安全檔案清單,並已將其 SHA256 雜湊和所有其他資訊提交至此清單,以手動放棄。當 SHA256 雜湊列於此清單中,在檔案執行時,本機或雲端威脅模型將不會針對其進行評估。這些是「絕對」檔案路徑。

排除範例:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

保護設定

終止不安全的執行程序及其副程序

啟用 終止不安全的執行程序及其副程序 時,這會判斷威脅是否正在產生副程序,或者應用程式是否已接管目前在記憶體內執行的其他程式。如果系統判斷該程序已遭到威脅接管,則會立即終止主要威脅及其已產生或目前擁有的任何程序。

背景威脅偵測

啟用背景威脅偵測後,將會掃描整個裝置的所有可攜式可執行檔,然後使用本機威脅模型評估該可執行檔,並要求雲端式 SaaS 根據可執行檔的威脅指示器確認其分數。背景威脅偵測有兩個選項:執行一次循環執行「執行一次」 會在安裝並啟動 Threat Defense 時,對連接至裝置的所有實體磁碟機執行背景掃描。「循環執行 」會在安裝並啟動 Threat Defense 時,對連接至裝置的所有裝置執行背景掃描。它每九天重複一次掃描(不可配置)。

觀察新檔案

啟用 「觀察新檔案 」後,系統會立即評估裝置中導入的任何可攜式可執行檔,並使用本機模型針對其威脅指示器進行評估,並根據雲端託管的 SaaS 確認分數。

複製檔案樣本

複製檔案樣本 可自動將在裝置上找到的任何威脅,自動傳送至 UNC 路徑定義的儲存庫。這僅建議用於內部威脅研究,或在環境中擁有安全的封裝威脅儲存庫情況。複製檔案範例儲存的所有檔案都使用密碼 infected

代理程式設定

啟用記錄檔自動上傳

啟用自動上傳記錄檔 後,端點會在夜間或檔案達到 100 MB 時,上傳其 Dell Threat Defense 的記錄檔。無論檔案大小如何,都會在夜間上傳記錄檔。所有移轉的記錄檔都會在退出網路之前加以壓縮。

啟用桌面通知

啟用桌面通知 可讓裝置使用者在有檔案標示為異常或不安全時,在裝置上出現提示。啟用此原則後,此選項位於端點的 Dell Threat Defense 系統匣圖示右鍵選單中。

指令檔控制

指令檔控制

指令檔控制 會透過記憶體篩選器式的解決方案運作,以識別裝置上執行的指令檔腳本,將原則設為「封鎖」,便可避免對該指令檔類型進行此動作。這些原則上的警示設定只會在記錄檔和 Dell Threat Defense 主控台記錄遭到封鎖的指令檔。

1370 及更舊版本

這些原則適用於 1370 之前的用戶端,該用戶端在 2016 年 6 月之前提供。這些版本上只會執行使用中指令檔和 PowerShell 型指令檔。

1380 及更新

這些原則適用於 1370 之後的用戶端,該用戶端在 2016 年 6 月之後提供。

使用中的指令檔

使用中的指令檔包含由 Windows Script Host 解譯的所有指令檔,包括 JavaScript、VBScript、批次檔和其他許多類型。

PowerShell

PowerShell 指令檔包含以單一命令執行的所有多行指令檔。(預設設定 - 警示)

封鎖使用 PowerShell 主控台 - (PowerShell 設為「警示」時不可用)

在 PowerShell v3 (於 Windows 8.1 推出) 和更新版本中,大部分的 PowerShell 指令檔都是以單一行命令執行,雖然它們可能包含多個行,但會依序執行。這可以略過 PowerShell 指令檔解譯器。封鎖使用 PowerShell 主控台可藉由停用讓任何應用程式啟動 PowerShell 主控台,以解決此問題。整合指令碼式環境 (ISE) 不受此原則的影響。

巨集

巨集設定會解譯存在於 Office 文件和 PDF 中的巨集,並封鎖可能嘗試下載威脅的惡意巨集。

停用指令檔控制

這些原則會完全停用控制每個原則中定義的指令檔類型,甚至包括發出警示。停用時,不會收集紀錄,也不會嘗試偵測或封鎖潛在威脅。

使用中的指令檔

檢查時,會避免收集記錄檔,並封鎖任何潛在的使用中指令檔式威脅。使用中的指令檔包含由 Windows Script Host 解譯的所有指令檔,包括 JavaScript、VBScript、批次檔和其他許多類型。

PowerShell

檢查時,會避免收集記錄檔,並封鎖任何潛在的 PowerShell 式威脅。PowerShell 指令檔包含以單一命令執行的所有多行指令檔。

巨集

檢查時,會避免收集記錄檔,並封鎖任何潛在的 巨集 式威脅。巨集設定會解譯存在於 Office 文件和 PDF 中的巨集,並封鎖可能嘗試下載威脅的惡意巨集。

資料夾排除 (包括子資料夾)

資料夾排除能讓您定義排除可執行指令檔的資料夾。本區段會要求以相對路徑格式表示的排除項目。

  • 資料夾路徑可以是至本機磁碟機、對應的網路磁碟機,或通用命名慣例 (UNC) 路徑。
  • 指令檔資料夾排除必須指定資料夾或子資料夾的相對路徑。
  • 任何指定的資料夾路徑也包含任何子資料夾。
  • 萬用字元排除項目必須使用適用於 Windows 電腦的 UNIX 式正斜線。範例: /windows/system*/
  • 萬用字元唯一支援的字元是 *。
  • 有萬用字元的資料夾排除項目必須在路徑結尾有斜線,才能區分資料夾和檔案。
    • 資料夾排除: /windows/system32/*/
    • 檔案排除: /windows/system32/*
  • 每個層級的資料夾深度都必須新增萬用字元。例如: /folder/*/script.vbs 火柴 \folder\test\script.vbs\folder\exclude\script.vbs 但不適用於 \folder\test\001\script.vbs。這需要 /folder/*/001/script.vbs/folder/*/*/script.vbs
  • 萬用字元支援完整和部分排除項目。
    • 完整萬用字元範例: /folder/*/script.vbs
    • 部分萬用字元範例: /folder/test*/script.vbs
  • 網路路徑也支援萬用字元。
    • //*/login/application
    • //abc*/logon/application

正確 (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
正確 (Windows): \Cases\ScriptsAllowed
不正確: C:\Application\SubFolder\application.vbs
不正確: \Program Files\Dell\application.vbs

萬用字元範例:

/users/*/temp 將涵蓋:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs 將涵蓋:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

Additional Information

 

Videos

 

Affected Products

Dell Threat Defense
Article Properties
Article Number: 000124588
Article Type: How To
Last Modified: 07 Nov 2024
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.