Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Doporučení ohledně zásad softwaru Dell Threat Defense

Summary: Tento článek obsahuje doporučení zásad pro software Dell Threat Defense.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Poznámka:

Software Dell Threat Defense využívá zásady k:

  • definování řešení hrozeb,
  • určení, co se stane se soubory v karanténě,
  • konfiguraci správy skriptů.

Dotčené produkty:

Dell Threat Defense


Cause

Není relevantní.

Resolution

Další informace získáte kliknutím na odkaz Doporučené zásady nebo Definice zásad.

Zásady doporučujeme nastavit v režimu učení či v režimu ochrany. Společnost Dell doporučuje testovat software Dell Threat Defense v prostředí pomocí režimu učení. Ten je nejúčinnější, pokud je software Dell Threat Defense nasazen na koncové body pomocí standardní bitové kopie společnosti.

U aplikačních serverů mohou být vyžadovány další změny, jelikož zatížení I/O disku je vyšší než je běžné.

Jakmile správce vyřeší veškeré výstrahy v konzoli pro správu Dell Threat Defense, společnost Dell doporučuje přejít na doporučení zásad v režimu ochrany. Společnost Dell doporučuje před přepnutím na zásady režimu ochrany alespoň několik týdnů testovat v režimu učení.

Další informace získáte po kliknutí na odkaz Doporučení pro aplikační server, Režim učení nebo Režim ochrany.

Poznámka: Ne všechna doporučení ohledně zásad se hodí pro každé prostředí.

V režimech učení a ochrany mohou aplikační servery v operačních systémech klienta zaznamenat vyšší zátěž a odlišné chování. Automatická karanténa (AQT) ve vzácných případech brání spuštění některých souborů, dokud není možné vypočítat skóre. K tomu dochází, když aplikace detekuje uzamčení souborů jako neoprávněnou manipulaci nebo když se proces nepodaří úspěšně dokončit v očekávaném časovém rámci.

Pokud je povolena funkce „Watch For New Files“, může dojít ke zpomalení operací zařízení. Po vytvoření bude nový soubor analyzován. I když se jedná o nenáročný proces, velký objem souborů najednou může mít vliv na výkon.

Doporučené změny zásad pro operační systémy Windows Server:

  • Povolte funkci Background Threat Detection a vyberte možnost Run Once.
  • Zkontrolujte, zda je povolena funkce Execution Control.
  • Zakažte funkci Watch For New Files.

Společně s těmito doporučeními je obvykle doporučováno, aby zařízení se serverovými operačními systémy běžela v oddělených zónách. Další informace o vytváření zón naleznete v článku Jak spravovat zóny v softwaru Dell Threat Defense.

Zásada Doporučené nastavení
File Actions  
Auto Quarantine with Execution Control for Unsafe Disabled
Auto Quarantine with Execution Control for Abnormal Disabled
Enable auto-delete for quarantined files Disabled
Auto-Upload Enabled
Policy Safe List Závisí na prostředí
Protection Settings  
Prevent Service Shutdown from Device Disabled
Kill unsafe running processes and their sub processes Disabled
Background Threat Detection Disabled
Run Once/Run Recurring Není k dispozici, pokud je možnost Background Threat Protection nastavena na hodnotu Disabled
Watch for New Files Disabled
Copy File Samples Závisí na prostředí
Agent Settings  
Enable Auto-Upload of log files Závisí na prostředí
Enable Desktop Notification Závisí na prostředí
Script Control  
Script Control Enabled
1370 and below Active Script and PowerShell Alert
1380 and above Active Script Alert
1380 and above PowerShell Alert
Block PowerShell Console Usage Není k dispozici, když je prostředí PowerShell nastaveno na hodnotu Alert
1380 and above Macros Alert
Disable Script Control Active Script Disabled
Disable Script Control PowerShell Disabled
Disable Script Control Macros Disabled
Folder Exclusions (includes subfolders) Závisí na prostředí
Zásada Doporučené nastavení
File Actions  
Auto Quarantine with Execution Control for Unsafe Enabled
Auto Quarantine with Execution Control for Abnormal Enabled
Enable auto-delete for quarantined files Závisí na prostředí
Auto-Upload Závisí na prostředí
Policy Safe List Závisí na prostředí
Protection Settings  
Prevent Service Shutdown from Device Enabled
Kill unsafe running processes and their sub processes Enabled
Background Threat Detection Enabled
Run Once/Run Recurring Run Once
Watch for New Files Enabled
Copy File Samples Závisí na prostředí
Agent Settings  
Enable Auto-Upload of log files Závisí na prostředí
Enable Desktop Notification Závisí na prostředí
Script Control  
Script Control Enabled
1370 and below Active Script and PowerShell Block
1380 and above Active Script Block
1380 and above PowerShell Block
Block PowerShell Console Usage Block
1380 and above Macros Block
Disable Script Control Active Script Disabled
Disable Script Control PowerShell Disabled
Disable Script Control Macros Disabled
Folder Exclusions (includes subfolders) Závisí na prostředí

Definice zásad softwaru Threat Defense:

File Actions

Auto Quarantine with Execution Control for Unsafe

Tato zásada určuje, co se stane se soubory, které budou při spuštění detekovány. Ve výchozím nastavení je hrozba zablokována, i v případě, že je nebezpečný soubor zjištěn jako spuštěný. Nebezpečný soubor je charakterizován souhrnným skóre přenosných spustitelných souborů, které přesahuje hodnotu 60 hodnocení softwaru Advanced Threat Prevention, které vychází z ukazatelů hrozeb vyhodnocených v systému.

Auto Quarantine with Execution Control for Abnormal

Tato zásada určuje, co se stane se soubory, které budou při spuštění detekovány. Ve výchozím nastavení je hrozba zablokována, i v případě, že je abnormální soubor zjištěn jako spuštěný. Abnormální soubor je charakterizován souhrnným skóre přenosných spustitelných souborů, které přesahuje hodnotu 0, ale není vyšší než 60, hodnocení softwaru Advanced Threat Prevention, které vychází z ukazatelů hrozeb vyhodnocených v systému.

Enable auto-delete for quarantined files

Pokud jsou nebezpečné nebo abnormální soubory umístěny do karantény na základě karantén na úrovni zařízení, globálních seznamů karantén nebo zásad automatické karantény, se uloží do izolované cache v místním zařízení. Je-li povolena možnost Enable Auto-Delete for Quarantined Files, určuje počet dní (minimálně 14 dní, maximálně 365 dní), po jejichž uplynutí bude soubor uložený v místním zařízení trvale odstraněn. Je-li tato možnost povolena, budete moci změnit počet dní.

Auto-Upload

Označuje hrozby, které prostředí Threat Defense SaaS (software jako služba) nepodrobilo další analýze. Pokud je soubor označen místním modelem jako potenciální hrozba, dojde k vyjmutí hashe SHA256 z přenosného spustitelného souboru a k jeho odeslání do prostředí SaaS. Pokud nelze odeslaný hash SHA256 spojit s hrozbou a je povolena funkce Auto-Upload, software bezpečně odešle hrozbu do prostředí SaaS k vyhodnocení. Tato data jsou bezpečně uložena a společnost Dell ani její partneři k nim nemají přístup.

Policy Safe List

Seznam Policy Safe List je seznam souborů, u kterých bylo rozhodnuto, že jsou v prostředí bezpečné a byly ručně vypuštěny odesláním jejich hashe SHA256 a jakýchkoliv dalších informací do tohoto seznamu. Pokud je hash SHA256 do tohoto seznamu umístěn, nebude při spuštění souboru vyhodnocen místními ani cloudovými modely hrozeb. Jedná se o „absolutní“ cesty k souborům.

Příklady výjimek:
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\

Protection Settings

Kill unsafe running processes and their sub processes

Pokud je povolena funkce Kill Unsafe Running Processes and Their Sub Processes, určí, zda hrozba generuje podřízené procesy nebo zda aplikace převzala řízení jiných procesů, které jsou aktuálně spuštěné v paměti. Pokud se funkce domnívá, že proces byl napaden hrozbou, dojde k okamžitému ukončení primární hrozby a všech procesů, které vytvořila nebo aktuálně řídí.

Background Threat Detection

Pokud je povolena funkce Background Threat Detection, prohledá celé zařízení a zkontroluje, zda neobsahuje přenosné spustitelné soubory. Poté tyto spustitelné soubory vyhodnotí pomocí modelu místních hrozeb a na základě jejich ukazatelů si vyžádá potvrzení hodnocení spustitelných souborů pomocí cloudové služby SaaS. Funkce Background Threat Detection nabízí dvě možnosti: Run Once a Run Recurring. Možnost Run Once prohledá na pozadí všechny fyzické jednotky připojené k zařízení v okamžiku, kdy je nainstalovaný a aktivovaný software Threat Defense. Možnost Run Recurring prohledá na pozadí všechna zařízení připojená k zařízení v okamžiku, kdy je nainstalovaný a aktivovaný software Threat Defense, a zopakuje skenování každých devět dní (nelze nakonfigurovat).

Watch for New Files

Pokud je povolena funkce Watch for New Files, veškeré přenosné spustitelné soubory, které jsou zavedeny do zařízení se ihned vyhodnotí pomocí indikátorů hrozeb, které se zobrazují prostřednictvím místního modelu. Dané skóre se ověří pomocí prostředí SaaS hostovaného v cloudu.

Copy File Samples

Díky funkci Copy File Samples je možné automaticky odeslat všechny hrozby nalezené v zařízení do nadefinovaného úložiště na základě cesty UNC. To se doporučuje pouze pro interní výzkum hrozeb nebo pro bezpečné uložení zabalených hrozeb v prostředí. Všechny soubory uložené pomocí funkce Copy File Samples budou komprimovány do balíčku s heslem infected.

Agent Settings

Enable Auto-Upload of log files

Díky funkci Enable Auto-Upload of log files mohou koncové body odesílat soubory protokolu softwaru Dell Threat Defense každý den o půlnoci nebo když velikost souboru dosáhne 100 MB. Protokoly se odesílají každou noc bez ohledu na velikost souboru. Všechny přenesené protokoly se před výstupem ze sítě zkomprimují.

Enable Desktop Notification

Díky povolení funkce Enable Desktop Notification mohou uživatelé zařízení povolit zobrazení výzev v zařízení, pokud je soubor označen jako abnormální nebo nebezpečný. Jedná se o možnost v nabídce po kliknutí pravým tlačítkem na ikonu softwaru Dell Threat Defense v hlavním panelu na koncových bodech, pokud je tato zásada povolena.

Script Control

Script Control

Funkce Script Control využívá řešení založené na filtru paměti k identifikaci skriptů, které jsou v zařízení spuštěny, a k jejich blokování, jsou-li zásady pro tento typ skriptu nastaveny na možnost Block. Nastavení Alert v těchto zásadách se týká pouze skriptů, které by byly zablokovány v protokolech a v konzoli Dell Threat Defense.

1370 and Below

Tyto zásady platí pro klienty s verzemi staršími než 1370, které byly k dispozici před červnem 2016. V těchto verzích se používají pouze skripty Active Scripts a PowerShell.

1380 and Above

Tyto zásady platí pro klienty s verzemi vyššími než 1370, které byly k dispozici po červnu 2016.

Active Script

Nastavení Active Script zahrnuje libovolné skripty, které jsou interpretovány modulem Windows Script Host, včetně skriptů JavaScript, VBScript, dávkových souborů a mnoha dalších.

PowerShell

Skripty PowerShell obsahují libovolný víceřádkový skript, který se spouští jako jeden příkaz. (Výchozí nastavení – Alert)

Block PowerShell Console Usage – (není k dispozici, pokud je prostředí PowerShell nastaveno na možnost Alert)

V prostředí PowerShell v3 (zavedeném v systému Windows 8.1) a novějších se většina skriptů prostředí PowerShell spustí jako jednořádkový příkaz. Ačkoliv mohou obsahovat více řádků, spustí se v pořadí. Tak lze obejít překladač skriptů prostředí PowerShell. Funkce Block PowerShell Console situaci řeší tak, že v konzoli PowerShell zakáže možnost spuštění libovolné aplikace. Prostředí ISE (Integrated Scripting Environment) není touto zásadou nijak ovlivněno.

Macros

Nastavení maker interpretuje makra obsažená v dokumentech sady Office a v souborech PDF a blokuje škodlivá makra která by se mohla pokusit stáhnout hrozby.

Disable Script Control

Tyto zásady zcela zakážou možnost upozornit na typ skriptu, který je definovaný v rámci jednotlivých zásad. Je-li tato funkce zakázaná, neshromažďují se žádné protokoly a není proveden žádný pokus o detekci nebo blokování potenciálních hrozeb.

Active Script

Je-li tato funkce povolená, zabrání shromažďování protokolů a zablokuje potenciální hrozby založené na aktivních skriptech. Nastavení Active Script zahrnuje libovolné skripty, které jsou interpretovány modulem Windows Script Host, včetně skriptů JavaScript, VBScript, dávkových souborů a mnoha dalších.

PowerShell

Je-li tato funkce povolená, zabrání shromažďování protokolů a zablokuje potenciální hrozby založené na prostředí PowerShell. Skripty PowerShell obsahují libovolný víceřádkový skript, který se spouští jako jeden příkaz.

Macros

Je-li tato funkce povolená, zabrání shromažďování protokolů a zablokuje potenciální hrozby založené na makrech. Nastavení maker interpretuje makra obsažená v dokumentech sady Office a v souborech PDF a blokuje škodlivá makra která by se mohla pokusit stáhnout hrozby.

Folder Exclusions (includes subfolders)

Vyloučení složek umožňuje definovat složky, ve kterých mohou být spuštěny skripty a které lze vyloučit. V této části je nutné vyloučení zadat ve formátu relativní cesty.

  • Cesty ke složce mohou vést na místní disk, mapovanou síťovou jednotku nebo cestu UNC (Universal Naming Convention).
  • Při vyloučení skriptové složky je nutné určit relativní cestu ke složce nebo podsložce.
  • Jakákoli zadaná cesta ke složce obsahuje také podsložky.
  • Výjimky zástupných znaků musí u počítačů se systémem Windows používat lomítka ve stylu UNIX. Příklad: /windows/system*/.
  • Jediný podporovaný znak pro zástupné znaky je *.
  • Vyloučení složky se zástupným znakem musí mít na konci cesty lomítko, aby bylo možné rozlišit složku a soubor.
    • Vyloučení složky: /windows/system32/*/
    • Vyloučení souboru: /windows/system32/*
  • Zástupný znak je nutné přidat pro každou úroveň složky. Například cesta /folder/*/script.vbs odpovídá cestě \folder\test\script.vbs nebo \folder\exclude\script.vbs, ale nikoli cestě \folder\test\001\script.vbs. Ta by musela být /folder/*/001/script.vbs nebo /folder/*/*/script.vbs
  • Zástupné znaky podporují úplné i částečné vyloučení.
    • Příklad úplného zástupného znaku: /folder/*/script.vbs
    • Příklad částečného zástupného znaku: /folder/test*/script.vbs
  • Zástupné znaky jsou podporovány i pro síťové cesty.
    • //*/login/application
    • //abc*/logon/application

Správně (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Správně (Windows): \Cases\ScriptsAllowed
Špatně: C:\Application\SubFolder\application.vbs
Špatně: \Program Files\Dell\application.vbs

Příklady zástupných znaků:

/users/*/temp by zahrnovalo:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs by zahrnovalo:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Additional Information

 

Videos

 

Affected Products

Dell Threat Defense
Article Properties
Article Number: 000124588
Article Type: Solution
Last Modified: 20 Dec 2022
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.