Article Number: 000124588
Dell Threat Defense använder principer för att:
Berörda produkter:
Dell Threat Defense
Gäller ej.
Klicka på Rekommenderade principer eller principdefinitioner om du vill ha mer information.
Det rekommenderas att principer anges i Inlärningsläge eller Skyddsläge. Inlärningsläget är hur Dell rekommenderar att du testar Dell Threat Defense i en miljö. Detta är mest effektivt när Dell Threat Defense distribueras på slutpunkter med den standardmässiga företagsavbildningen.
Fler ändringar kan krävas för programservrar på grund av I/O som är högre än normalt för disk.
När alla varningar har åtgärdats av administratören i administrationskonsolen för Dell Threat Defense rekommenderar Dell att du växlar till principrekommendationerna för skyddsläge. Dell rekommenderar några veckors eller mer testning i inlärningsläge innan du växlar till skyddslägets principer.
Klicka på Application Server Recommendations(rekommendationer för programserver), Learning Mode (inlärningsläge) eller Protect Mode (skyddsläge ) för mer information.
I både inlärningslägena och skyddslägena kan programservrar se ytterligare belastning och olika beteende för klientoperativsystem. Automatisk karantän (AQT) har i sällsynta fall förhindrat att vissa filer körs tills en poäng kan beräknas. Detta har observerats när ett program upptäcker låsning av sina filer som manipulering, eller när en process inte slutförs korrekt inom förväntad tidsram.
Om "Håll utkik efter nya filer" är aktiverat kan enhetens åtgärder bli långsammare. När en ny fil genereras analyseras den. Även om den här processen är enkel kan en hög volym filer på en gång orsaka prestandapåverkan.
Föreslagna principändringar för Windows Server-operativsystem:
Med dessa rekommendationer föreslår det vanligtvis också att du innehåller enheter som kör serveroperativsystem i separata zoner. Information om hur du genererar zoner finns i Hantera zoner i Dell Threat Defense.
| Politik | Rekommenderad inställning |
|---|---|
| Filåtgärder | |
| Automatisk karantän med körningskontroll för osäkra | Disabled (avaktiverad) |
| Automatisk karantän med körningskontroll för onormala | Disabled (avaktiverad) |
| Aktivera automatisk borttagning av filer i karantän | Disabled (avaktiverad) |
| Automatisk överföring | Aktiverad |
| Principlista för säkra | Miljöberoende |
| Skyddsinställningar | |
| Förhindra att tjänsten stängs av från enheten | Disabled (avaktiverad) |
| Avsluta osäkra processer som körs och deras underprocesser | Disabled (avaktiverad) |
| Bakgrundsidentifiering av hot | Disabled (avaktiverad) |
| Kör en gång/kör återkommande | Ej tillämpligt när Bakgrundsidentifiering av hot är angett till Avaktiverat |
| Håll utkik efter nya filer | Disabled (avaktiverad) |
| Kopiera filexempel | Miljöberoende |
| Agentinställningar | |
| Aktivera automatisk överföring av loggfiler | Miljöberoende |
| Aktivera skrivbordsvarning | Miljöberoende |
| Skriptkontroll | |
| Skriptkontroll | Aktiverad |
| 1370 och tidigare aktivt skript och PowerShell | Varning |
| 1380 och senare aktivt skript | Varning |
| 1380 och senare PowerShell | Varning |
| Blockera PowerShell-konsolanvändning | Ej tillämpligt när PowerShell är inställt på Alert |
| 1380 och senare makron | Varning |
| Avaktivera skriptkontroll – aktiva skript | Disabled (avaktiverad) |
| Avaktivera Skriptkontroll PowerShell | Disabled (avaktiverad) |
| Avaktivera skriptkontroll – makron | Disabled (avaktiverad) |
| Mappundantag (inklusive undermappar) | Miljöberoende |
| Politik | Rekommenderad inställning |
|---|---|
| Filåtgärder | |
| Automatisk karantän med körningskontroll för osäkra | Aktiverad |
| Automatisk karantän med körningskontroll för onormala | Aktiverad |
| Aktivera automatisk borttagning av filer i karantän | Miljöberoende |
| Automatisk överföring | Miljöberoende |
| Principlista för säkra | Miljöberoende |
| Skyddsinställningar | |
| Förhindra att tjänsten stängs av från enheten | Aktiverad |
| Avsluta osäkra processer som körs och deras underprocesser | Aktiverad |
| Bakgrundsidentifiering av hot | Aktiverad |
| Kör en gång/kör återkommande | Kör en gång |
| Håll utkik efter nya filer | Aktiverad |
| Kopiera filexempel | Miljöberoende |
| Agentinställningar | |
| Aktivera automatisk överföring av loggfiler | Miljöberoende |
| Aktivera skrivbordsvarning | Miljöberoende |
| Skriptkontroll | |
| Skriptkontroll | Aktiverad |
| 1370 och tidigare aktivt skript och PowerShell | Blockera |
| 1380 och senare aktivt skript | Blockera |
| 1380 och senare PowerShell | Blockera |
| Blockera PowerShell-konsolanvändning | Blockera |
| 1380 och senare makron | Blockera |
| Avaktivera skriptkontroll – aktiva skript | Disabled (avaktiverad) |
| Avaktivera Skriptkontroll PowerShell | Disabled (avaktiverad) |
| Avaktivera skriptkontroll – makron | Disabled (avaktiverad) |
| Mappundantag (inklusive undermappar) | Miljöberoende |
Den här principen avgör vad som händer med de filer som identifieras när de körs. Som standard blockeras hotet även om en osäker fil identifieras som körande. Osäker karakteriseras av en ackumulerad poäng för den portabla körbara fil som överstiger 60 i poängsättningssystemet i Advanced Threat Prevention som baseras på de hotindikatorer som har utvärderats.
Den här principen avgör vad som händer med de filer som identifieras när de körs. Som standard blockeras hotet även om en onormal fil identifieras som att den körs. Onormal karakteriseras av en ackumulerad poäng för den portabla körbara fil som överstiger 0, men inte mer än 60 i poängsättningssystemet i Advanced Threat Prevention som baseras på de hotindikatorer som har utvärderats.
När osäkra eller onormala filer placeras i karantän baserat på karantäner på enhetsnivå, globala karantänlistor eller principer för automatisk karantän hålls de i en lokal sandbox-cache med sandbox-karantän på den lokala enheten. När Aktivera automatisk borttagning av filer i karantän är aktiverat anges det antal dagar (minst 14 dagar, högst 365 dagar) som filen ska sparas på den lokala enheten innan den tas bort permanent. När detta är aktiverat går det att ändra antalet dagar.
Markerar hot som inte har setts av Threat Defense SaaS-miljön (Software as a Service) för vidare analys. När en fil markeras som ett potentiellt hot av den lokala modellen tas en SHA256-hash från den portabla körbara filen och den skickas upp till SaaS. Om den SHA256-hash som skickades inte kan matchas till ett hot och Automatisk överföring är aktiverat möjliggörs säker överföring av hotet till SaaS för utvärdering. Dessa data lagras på ett säkert sätt och kan inte kommas åt av Dell eller dess partners.
Principlistan för säkra är en lista över filer som har identifierats som säkra i miljön och som har godkänts manuellt genom att deras SHA256-hash samt eventuell ytterligare information skickats till den här listan. När en SHA256-hash placeras i den här listan utvärderas den inte av de lokala modellerna eller molnhotsmodellerna när filen körs. Det här är "Absolut"-filsökvägar.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
När Avsluta osäkra processer som körs och deras underprocesser är aktiverade avgör detta om ett hot genererar underordnade processer eller om programmet har tagit över andra processer som för närvarande körs i minnet. Om det antas att en process har tagits över av ett hot avslutas omedelbart det primära hotet och alla processer som det har genererat eller för närvarande äger.
När Background Threat Detection är aktiverat söker du igenom hela enheten efter en portabel körbar fil och utvärderar sedan den körbara filen med den lokala hotmodellen och begär bekräftelse om poängsättning av den körbara filen med den molnbaserade SaaS baserat på hotindikatorerna för den körbara filen. Två alternativ är möjliga med Background Threat Detection: Kör en gång och kör återkommande. Kör en gång utför en bakgrundssökning av alla fysiska enheter som är anslutna till enheten då Threat Defense installeras och aktiveras. Kör återkommande utför en bakgrundssökning av alla anslutna enheter till enheten då Threat Defense installeras och aktiveras, och upprepar sökningen var nionde dag (kan inte konfigureras).
När Håll utkik efter nya filer är aktiverat utvärderas alla portabla körbara filer som införs till enheten omedelbart med de hotindikatorer som visas med den lokala modellen, och den här poängen bekräftas mot den molnbaserade SaaS.
Kopiera filexempel gör att alla hot som hittas på enheten automatiskt kan spärras till ett definierat datalager baserat på UNC-sökvägen. Detta rekommenderas endast för intern hotforskning eller för att förvara en säker lagringsplats med bevarade hot i miljön. Alla filer som lagras av Kopiera filexempel komprimeras med lösenordet infected.
Aktivera automatisk överföring av loggfiler gör det möjligt för slutpunkter att ladda upp sina loggfiler för Dell Threat Defense vid tolvslaget på natten eller när filen når 100 MB. Loggar överförs varje natt oavsett filstorlek. Alla loggar som överförs komprimeras innan de förs ut ur nätverket.
Aktivera skrivbordsavisering gör det möjligt för enhetsanvändare att få meddelanden på sin enhet om en fil är markerad som onormal eller osäker. Det här är ett alternativ i högerklicksmenyn för Dell Threat Defense-ikonen på slutpunkter med den här principen aktiverad.
Skriptkontroll fungerar genom en minnesfilterbaserad lösning för att identifiera skript som körs på enheten och förhindra dem om principen är inställd på Blockera för den skripttypen. Varningsinställningar för de här principerna anger bara skript som skulle ha blockerats i loggar och i Dell Threat Defense-konsolen.
Dessa principer gäller för klienter före 1370, som var tillgängliga före juni 2016. Endast skript som baseras på aktiva skript och PowerShell åtgärdas med dessa versioner.
Dessa principer gäller för klienter efter 1370, som var tillgängliga efter juni 2016.
Aktiva skript omfattar alla skript som tolkas av Windows Script Host, inklusive JavaScript, VBScript, kommandofiler och många andra.
PowerShell-skript innehåller alla skript med flera rader som körs som ett enda kommando. (Standardinställning – Varning)
I PowerShell v3 (introducerades i Windows 8.1) och senare körs de flesta PowerShell-skript som ett enkelradskommando; även om de kan innehålla flera rader körs de i ordning. Det kan kringgå PowerShell-skripttolken. Blockera PowerShell-konsolen kringgår detta genom att avaktivera möjligheten att ha program som startar PowerShell-konsolen. Integrated Scripting Environment (ISE) påverkas inte av den här principen.
Makroinställningen tolkar makron som finns i Office-dokument och PDF-filer och blockerar skadliga makron som kan försöka ladda ner hot.
Dessa principer avaktiverar helt möjligheten att ens varna om den skripttyp som definieras i varje princip. När funktionen är avaktiverad samlas ingen loggning in, och det utförs inga försök att upptäcka eller blockera potentiella hot.
När det här alternativet är markerat förhindras insamling av loggar och alla potentiella hot som baseras på aktiva skript blockeras. Aktiva skript omfattar alla skript som tolkas av Windows Script Host, inklusive JavaScript, VBScript, kommandofiler och många andra.
När det här alternativet är markerat förhindras insamling av loggar och alla potentiella PowerShell-baserade hot blockeras. PowerShell-skript innehåller alla skript med flera rader som körs som ett enda kommando.
När det här alternativet är markerat förhindras insamling av loggar och alla potentiella hot baserade på makron blockeras. Makroinställningen tolkar makron som finns i Office-dokument och PDF-filer och blockerar skadliga makron som kan försöka ladda ner hot.
Mappundantag gör det möjligt att definiera vilka mappar som skript kan köras i som kan uteslutas. I det här avsnittet uppmanas du att ange undantag i ett format för relativ sökväg.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs matchningar \folder\test\script.vbs eller \folder\exclude\script.vbs men inte fungerar för \folder\test\001\script.vbs. Det kräver antingen /folder/*/001/script.vbs eller /folder/*/*/script.vbs./folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationKorrekt (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Korrekt (Windows): \Cases\ScriptsAllowed
Felaktig: C:\Application\SubFolder\application.vbs
Felaktig: \Program Files\Dell\application.vbs
Exempel på jokertecken:
/users/*/temp omfattar:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs omfattar:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsOm du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.
Dell Threat Defense
20 Dec 2022
11
Solution