Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Dell Threat Defensen suositellut käytännöt

Summary: Artikkeli sisältää Dell Threat Defensen suositeltuja käytäntöjä.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Huomautus:

Dell Threat Defense käyttää käytäntöjä:

  • Uhkien käsittelyävan määrittäminen
  • Määritä, mitä karanteenitiedostoille tehdään.
  • Komentosarjojen hallinnan konfigurointi.

Tuotteet, joita asia koskee:

Dell Threat Defense


Cause

Ei sovellettavissa

Resolution

Katso lisätietoja valitsemalla Suositellut käytännöt tai Käytäntöjen määritelmät.

Käytännöt on suositeltavaa määrittää Oppimistilassa tai Suojaustilassa. Dell suosittelee testaamaan Dell Threat Defensen toimintaa ympäristössä Oppimistilan avulla. Tämä on tehokkainta, kun Dell Threat Defense otetaan käyttöön päätepisteissä tavallisesta yrityslevykuvasta.

Sovelluspalvelimissa voi olla tarpeellista tehdä muutoksia levyjen tavallista suuremman tiedonsiirron vuoksi.

Kun järjestelmänvalvoja on käsitellyt kaikki hälytykset Dell Threat Defense -hallintakonsolissa, Dell suosittelee vaihtamaan Suojaustilan suositeltuihin käytäntöihin. Dell suosittelee testaamaan tuotetta Oppimistilassa vähintään parin viikon ajan ennen vaihtamista Suojaustilan käytäntöihin.

Katso lisätietoja valitsemalla Sovelluspalvelimen suositukset, Oppimistila tai Suojaustila.

Huomautus: kaikki suositellut käytännöt eivät sovellu jokaiseen ympäristöön.

Sekä Oppimistilassa että Suojaustilassa toimivat sovelluspalvelimet voivat kuormittua enemmän ja käyttäytyä eri tavalla kuin työasemien käyttöjärjestelmät. Automaattinen karanteeni -toiminto on joissain harvinaisissa tapauksissa estänyt joidenkin tiedostojen suorittamisen, ennen kuin niille on laskettu arvosana. Ongelma ilmenee, kun sovellus havaitsee tiedostojen lukitsemisen peukaloinniksi tai jos prosessi ei onnistu odotetussa ajassa.

Jos Tarkista uudet tiedostot -toiminto on käytössä, laitteen toiminta saattaa hidastua. Kun uusi tiedosto luodaan, se analysoidaan. Vaikka prosessi on kevyt, suuri määrä tiedostoja yhdellä kerralla voi vaikuttaa suorituskykyyn.

Suositellut käytäntömuutokset Windows Server -käyttöjärjestelmissä:

  • Ota käyttöön Uhkien taustatarkistus ja suorita se kerran.
  • Varmista, että Suorittamisen hallinta on käytössä.
  • Poistaa Tarkista uudet tiedostot.

Näiden suositusten yhteydessä suositellaan yleensä myös erillisille vyöhykkeille laitteita, joissa palvelinkäyttöjärjestelmiä käytetään. Lisätietoja vyöhykkeiden luomisesta on Dell Threat Defensen vyöhykkeiden hallinnassa.

Käytäntö Suositeltu asetus
Tiedostotoiminnot  
Automaattinen karanteeni ja Suorittamisen hallinta vaarallisille tiedostoille Disabled
Automaattinen karanteeni ja Suorittamisen hallinta poikkeaville tiedostoille Disabled
Ota käyttöön automaattinen poisto karanteenissa oleville tiedostoille Disabled
Automaattinen lähetys Käytössä
Käytännön turvallisiksi merkityt tiedostot Riippuu ympäristöstä
Suojausasetukset  
Estä palvelun pysäytys laitteesta Disabled
Pysäytä vaaralliset käynnissä olevat prosessit ja niiden aliprosessit Disabled
Uhkien taustatarkistus Disabled
Suorita kerran / Suorita toistuvasti Ei käytettävissä, kun Uhkien taustatarkistus on poistettu käytöstä
Tarkista uudet tiedostot Disabled
Kopioi tiedostonäytteet Riippuu ympäristöstä
Sovelluksen asetukset  
Ota käyttöön lokitiedostojen automaattinen lähetys Riippuu ympäristöstä
Ota käyttöön työpöytäilmoitukset Riippuu ympäristöstä
Komentosarjojen hallinta  
Komentosarjojen hallinta Käytössä
Version 1370 tai vanhempien aktiiviset ja PowerShell-komentosarjat Hälytys
Version 1380 tai uudempien aktiiviset komentosarjat Hälytys
Version 1380 tai uudempien PowerShell-komentosarjat Hälytys
Estä PowerShell-konsolin käyttö Ei käytettävissä, kun PowerShell on määritetty hälyttämään
Version 1380 tai uudempien makrot Hälytys
Poista käytöstä komentosarjojen hallinnan aktiiviset komentosarjat Disabled
Poista käytöstä komentosarjojen hallinnan PowerShell-komentosarjat Disabled
Poista käytöstä komentosarjojen hallinnan makrot Disabled
Kansiopoikkeukset (sisältää alikansiot) Riippuu ympäristöstä
Käytäntö Suositeltu asetus
Tiedostotoiminnot  
Automaattinen karanteeni ja Suorittamisen hallinta vaarallisille tiedostoille Käytössä
Automaattinen karanteeni ja Suorittamisen hallinta poikkeaville tiedostoille Käytössä
Ota käyttöön automaattinen poisto karanteenissa oleville tiedostoille Riippuu ympäristöstä
Automaattinen lähetys Riippuu ympäristöstä
Käytännön turvallisiksi merkityt tiedostot Riippuu ympäristöstä
Suojausasetukset  
Estä palvelun pysäytys laitteesta Käytössä
Pysäytä vaaralliset käynnissä olevat prosessit ja niiden aliprosessit Käytössä
Uhkien taustatarkistus Käytössä
Suorita kerran / Suorita toistuvasti Suorita kerran
Tarkista uudet tiedostot Käytössä
Kopioi tiedostonäytteet Riippuu ympäristöstä
Sovelluksen asetukset  
Ota käyttöön lokitiedostojen automaattinen lähetys Riippuu ympäristöstä
Ota käyttöön työpöytäilmoitukset Riippuu ympäristöstä
Komentosarjojen hallinta  
Komentosarjojen hallinta Käytössä
Version 1370 tai vanhempien aktiiviset ja PowerShell-komentosarjat Lohko
Version 1380 tai uudempien aktiiviset komentosarjat Lohko
Version 1380 tai uudempien PowerShell-komentosarjat Lohko
Estä PowerShell-konsolin käyttö Lohko
Version 1380 tai uudempien makrot Lohko
Poista käytöstä komentosarjojen hallinnan aktiiviset komentosarjat Disabled
Poista käytöstä komentosarjojen hallinnan PowerShell-komentosarjat Disabled
Poista käytöstä komentosarjojen hallinnan makrot Disabled
Kansiopoikkeukset (sisältää alikansiot) Riippuu ympäristöstä

Threat Defense -käytäntöjen määritelmät:

Tiedostotoiminnot

Automaattinen karanteeni ja Suorittamisen hallinta vaarallisille tiedostoille

Tämä käytäntö määrittää, mitä tapahtuu tiedostoille, jotka havaitaan niiden suorittamisen aikana. Uhka on oletusarvoisesti estetty, vaikka vaarallinen tiedosto olisi jo käynnissä. Vaaralliseksi lasketaan suoritettavat tiedostot, joiden arvosana Advanced Threat Preventionin arvioimiin uhkaindikaattoreihin perustuvassa arvosanajärjestelmässä on yli 60.

Automaattinen karanteeni ja Suorittamisen hallinta poikkeaville tiedostoille

Tämä käytäntö määrittää, mitä tapahtuu tiedostoille, jotka havaitaan niiden suorittamisen aikana. Uhka on oletusarvoisesti estetty, vaikka poikkeava tiedosto olisi jo käynnissä. Poikkeaville on merkitty suoritettavat tiedostot, joiden arvosana Advanced Threat Preventionin arvioimiin uhkaindikaattoreihin perustuvassa arvosanajärjestelmässä on enintään 0, mutta ei yli 60.

Ota käyttöön automaattinen poisto karanteenissa oleville tiedostoille

Kun vaaralliset tai poikkeavat tiedostot asetetaan karanteeniin laitetason karanteenien, yleisten karanteenilistojen tai automaattisen karanteenikäytännön perusteella, niitä säilytetään paikallisessa ja eristetyssä karanteenivälimuistissa paikallisessa laitteessa. Kun Enable auto-delete for quarantined files (Ota käyttöön automaattinen poisto karanteenissa oleville tiedostoille) on käytössä, se määrittää vuorokausien määrän (vähintään 14 päivää, enintään 365 päivää), jonka ajan tiedostoa säilytetään paikallisessa laitteessa ennen pysyvää poistoa. Kun tämä on käytössä, voit muuttaa päivien määrää.

Automaattinen lähetys

Merkitsee uhat, joita Threat Defensen SaaS (Software as a Service) -ympäristö ei ole aiemmin havainnut, jotta niitä voidaan analysoida lisää. Kun paikallinen malli merkitsee tiedoston mahdolliseksi uhaksi, suoritettavasta tiedostosta otetaan SHA256-hajautusarvo, joka lähetetään SaaS-ympäristöön. Jos lähetettyä SHA256-hajautusarvoa ei voida yhdistää uhkaan ja Automaattinen lähetys on käytössä, uhka voidaan lähettää turvallisesti SaaS-ympäristöön arvioitavaksi. Tietoja säilytetään turvallisesti ja Dell tai sen kumppanit eivät voi käyttää niitä.

Käytännön turvallisiksi merkityt tiedostot

Käytännön turvallisiksi merkityt tiedostot on luettelo tiedostoista, jotka on merkitty ympäristössä turvallisiksi ja jotka on hyväksytty manuaalisesti lisäämällä luetteloon niiden SHA256-hajautusarvo sekä mahdolliset lisätiedot. Kun sha256-hajautusarvo lasketaan luetteloon ja tiedosto suoritetaan, paikalliset tai pilvipalveluuhkamallit eivät arvioi sitä. Tiedostopolut ovat absoluuttisia.

Esimerkkejä poikkeuksista:
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\

Suojausasetukset

Pysäytä vaaralliset käynnissä olevat prosessit ja niiden aliprosessit

Kun Pysäytä vaaralliset käynnissä olevat prosessit ja niiden aliprosessit on otettu käyttöön, se määrittää, luoko uhka aliprosesseja vai onko sovellus ottanut haltuunsa muita muistissa käynnissä olevia prosesseja. Jos uhan uskotaan poistaneen prosessin haltuunsa, ensisijainen uhka ja sen luomat tai omistamat prosessit lopetetaan välittömästi.

Uhkien taustatarkistus

Kun Uhkien taustatarkistus on käytössä, se tarkistaa koko laitteen suoritettavat tiedostot ja arvioi sen paikallisen uhkamallin avulla ja pyytää pilvipohjaisen SaaS-version vahvistusta suoritettavan tiedoston uhkaindikaattorien avulla. Uhkien taustatarkistus on mahdollinen kahdella tavalla: Suorita kerran / Suorita toistuvasti. Suorita kerran -toiminto tekee taustatarkistukseen kaikki laitteeseen liitetyt fyysiset asemat heti, kun Threat Defense asennetaan ja aktivoidaan. Suorita toistuvasti -toiminto tekee taustatarkistuksen kaikille laitteeseen liitetyille laitteille heti, kun Threat Defense asennetaan ja aktivoidaan, ja toistaa tarkistuksen yhdeksän päivän välein (ei määritettävissä).

Tarkista uudet tiedostot

Kun Tarkista uudet tiedostot -toiminto on käytössä, laitteeseen lisätyt suoritettavat tiedostot arvioidaan heti paikallisen mallin uhkaindikaattorien avulla, ja pilvipohjainen SaaS vahvistaa arvosanan.

Kopioi tiedostonäytteet

Kopioi tiedostonäytteet -toiminto tuo laitteesta löytyneet uhat automaattisesti unc-polun mukaiseen määritettyyn säilöön. Tätä suositellaan vain sisäiseen uhkien tutkimiseen tai turvallisen säilön luomiseen ympäristön pakatuista uhista. Kaikki Kopioi tiedostonäytteet -toiminnon tallentamat tiedostot on pakattu zip-tiedostoihin, joiden salasana infectedon .

Sovelluksen asetukset

Ota käyttöön lokitiedostojen automaattinen lähetys

Ota käyttöön lokitiedostojen automaattinen lähetys -toiminto lähettää päätepisteiden lokitiedostot Dell Threat Defenseen päivittäin keskiyöllä tai kun tiedoston koko ylittää 100 Mt. Lokit ladataan tiedostokoosta riippumatta päivittäin. Kaikki lokit pakataan ennen niiden poistumista verkosta.

Ota käyttöön työpöytäilmoitukset

Ota käyttöön työpöytäilmoitukset -toiminto lähettää laitteiden käyttäjille ilmoituksia, kun jokin tiedosto merkitään poikkeavaksi tai vaaralliseksi. Jos käytäntö on otettu käyttöön päätepisteessä, sen voi valita napsauttamalla hiiren kakkospainikkeella Dell Threat Defensen ilmaisinalueen kuvaketta.

Komentosarjojen hallinta

Komentosarjojen hallinta

Komentosarjojen hallinta tunnistaa muistisuodattimella laitteessa käynnissä olevia komentosarjoja ja estää ne, jos käytäntö on määritetty estämään kyseisellä komentosarjatyypillä. Näiden käytäntöjen Hälytysasetuksissa huomioida ainoastaan komentosarjat, jotka olisi estetty lokeissa ja Dell Threat Defense -konsolissa.

1370 tai vanhemmat versiot

Nämä käytännöt koskevat 1370-versiota ja vanhempia, jotka olivat käytettävissä ennen kesäkuuta 2016. Näissä versioissa käytetään vain aktiivisia komentosarjoja ja PowerShell-pohjaisia komentosarjoja.

1380 tai uudemmat versiot

Nämä käytännöt koskevat 1370-version jälkeisiä versioita, jotka tulivat käyttöön kesäkuussa 2016.

Aktiiviset komentosarjat

Aktiiviset komentosarjat sisältävät minkä tahansa Windows Script Hostin käyttämän komentosarjan, kuten JavaScriptin, VBScriptin ja komentojonotiedostot.

PowerShell

PowerShell-komentosarjoihin sisältyy mikä tahansa monirivinen komentosarja, joka suoritetaan yhtenä komentona. (Oletusasetus : Alert (Hälytys)

Estä PowerShell-konsolin käyttö (ei käytössä, kun PowerShell on määritetty hälyttämään)

PowerShell 3:ssa (otettu käyttöön Windows 8.1:ssä) ja uudemmissa versioissa useimmat PowerShell-komentosarjat suoritetaan yksirivisinä komentoina. vaikka niissä saattaa olla useita rivejä, ne suoritetaan järjestyksessä. Tämän seurauksena PowerShell-komentosarjojen tulkitsija voi ohittaa ne. Estä PowerShell-konsolin käyttö -toiminto ratkaisee ongelman estämällä sovelluksia käynnistämästä PowerShell-konsolia. Käytäntö ei vaikuta ISE (Integrated Scripting Environment) -ympäristöön.

Makrot

Makrot-asetus tulkitsee Office-asiakirjoissa ja PDF-tiedostoissa olevia makroja ja estää haitalliset makrot, jotka voivat yrittää ladata uhkia.

Poista komentosarjojen hallinta käytöstä

Nämä käytännöt estävät jopa pelkät hälytykset kussakin käytännössä määritetyistä komentosarjatyypeistä. Kun käytännöt on poistettu käytöstä, lokeja ei kerätä ja mahdollisia uhkia ei yritetä havaita tai estää.

Aktiiviset komentosarjat

Kun käytäntö on valittu, lokeja ei kerätä ja aktiiviseen komentosarjaan perustuvia uhkia ei estetä. Aktiiviset komentosarjat sisältävät minkä tahansa Windows Script Hostin käyttämän komentosarjan, kuten JavaScriptin, VBScriptin ja komentojonotiedostot.

PowerShell

Kun käytäntö on valittu, lokeja ei kerätä ja PowerShell-pohjaisia uhkia ei estetä. PowerShell-komentosarjoihin sisältyy mikä tahansa monirivinen komentosarja, joka suoritetaan yhtenä komentona.

Makrot

Kun käytäntö on valittu, lokeja ei kerätä ja makropohjaisia uhkia ei estetä. Makrot-asetus tulkitsee Office-asiakirjoissa ja PDF-tiedostoissa olevia makroja ja estää haitalliset makrot, jotka voivat yrittää ladata uhkia.

Kansiopoikkeukset (sisältää alikansiot)

Kansiopoikkeuksilla voi määrittää kansioita, joiden komentosarjoja saa poikkeuksellisesti suorittaa. Poikkeukset on määritettävä käyttämällä suhteellista tiedostopolkua.

  • Polut voivat olla paikallisia asemapolkuja, verkkoasemapolkuja tai UNC-polkuja.
  • Komentosarjojen kansiopoikkeuksissa on määritettävä kansion tai alikansion suhteellinen polku.
  • Määritetty polku sisältää myös mahdolliset alikansiot.
  • Yleismerkeissä on käytettävä Vinoviivat UNIX-tyyliin Windows-tietokoneissa. Esimerkki: /windows/system*/.
  • Ainoa tuettu yleismerkki on *.
  • Kansiota koskevan poikkeuksen polun lopussa on oltava vinoviiva, joka erottaa sen tiedostoa koskevasta poikkeuksesta.
    • Kansiota poikkeus: /windows/system32/*/
    • Tiedostopoikkeaminen: /windows/system32/*
  • Yleismerkki on lisättävä jokaiselle alikansiolle. Tämä vastaa esimerkiksi /folder/*/script.vbs\folder\test\script.vbs kuormia \folder\test\001\script.vbstai \folder\exclude\script.vbs ei toimi. Se edellyttää joko /folder/*/001/script.vbs tai /folder/*/*/script.vbs.
  • Yleismerkeillä voi merkitä koko kansion tai osan sen nimestä.
    • Esimerkki koko kansion yleismerkistä: /folder/*/script.vbs
    • Esimerkki osittaisesta yleismerkistä: /folder/test*/script.vbs
  • Yleismerkeillä voi määrittää myös verkkopolkuja.
    • //*/login/application
    • //abc*/logon/application

Oikein (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Oikein (Windows): \Cases\ScriptsAllowed
Virheellinen: C:\Application\SubFolder\application.vbs
Virheellinen: \Program Files\Dell\application.vbs

Esimerkkejä yleismerkeistä:

/users/*/temp kattaa seuraavat:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs kattaa seuraavat:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.

Additional Information

 

Videos

 

Affected Products

Dell Threat Defense
Article Properties
Article Number: 000124588
Article Type: Solution
Last Modified: 20 Dec 2022
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.