Article Number: 000126118
Sans objet
Par défaut, Advanced Threat Prevention (ATP) propose de s'exécuter initialement en mode d'apprentissage. Toutes les informations sur les menaces sont collectées pour offrir aux administrateurs la flexibilité nécessaire pour gérer les menaces et les programmes potentiellement indésirables au sein de leur environnement et autoriser la liste des applications critiques.
Pour plus d’informations sur la modification des politiques dans Dell Endpoint Security Suite Enterprise, consultez l’article Comment modifier des règles sur le serveur Dell Data Protection.
Pour plus d’informations et pour connaître les règles de création d’exclusions dans Dell Endpoint Security Suite Enterprise, consultez l’article Comment ajouter des exclusions dans Dell Endpoint Security Suite Enterprise.
| Valeur de règle | Valeur suggérée | Policy Description |
|---|---|---|
| Advanced Threat Prevention (commutateur principal) |
Allumé |
Cette valeur de règle détermine si les clients peuvent utiliser des règles pour Advanced Threat Prevention. Cela active également les actions de fichier et le contrôle de l'exécution, qui ne peuvent pas être désactivés. Le contrôle de l'exécution englobe les fonctions de détection des menaces en arrière-plan et de surveillance des fichiers. Ce module au sein d'ATP analyse et extrait les intentions d'un exécutable portable (PE) en fonction de ses actions et de son comportement prévus. Tous les fichiers détectés par le contrôle de l'exécution, ainsi que par les fonctions de détection des menaces en arrière-plan et de surveillance des fichiers, sont traités en fonction des règles corrélées à la mise en quarantaine automatique. Ces actions sont effectuées en fonction de l'emplacement du chemin absolu de l'exécutable portable. |
| Actions de fichier : |
|
|
| Mise en quarantaine automatique du fichier exécutable dangereux avec contrôle de l'exécutable activé |
Désactivé | Ce contrôle détermine si les fichiers considérés comme des menaces graves sont automatiquement mis en quarantaine. |
| Téléchargement automatique de l'exécutable dangereux activé |
Activé |
Définit si les menaces graves sont téléchargées vers le Cloud, afin d'obtenir un deuxième avis sur celles-ci. |
| Mise en quarantaine automatique du fichier exécutable anormal avec contrôle de l'exécutable activé |
Désactivé |
Cela permet de déterminer si les fichiers considérés comme des menaces potentielles sont automatiquement mis en quarantaine. |
| Téléchargement automatique de l'exécutable anormal activé |
Activé |
Définit si les menaces potentielles sont téléchargées vers le Cloud, afin d'obtenir un deuxième avis sur celles-ci. |
| Autoriser l'exécution des fichiers dans les dossiers à exclure |
Activé |
Cela s'applique à la règle Exclure des dossiers spécifiques dans le groupe de règles Paramètres de protection. Cela permet aux fichiers exécutables contenus dans les dossiers exclus de s’exécuter, même s’ils sont automatiquement mis en quarantaine. |
| Suppression automatique |
Désactivé |
Cela active le minuteur sur la règle Jours avant suppression. Cela s’applique aux éléments mis en quarantaine. Une fois le délai avant suppression écoulé, toutes les menaces au sein d’un dossier de quarantaine sont automatiquement supprimées si cette stratégie est activée. |
| Jours avant suppression |
14 |
Cela détermine le nombre de jours, par menace, pendant lesquels un élément reste dans le dossier de quarantaine local. |
| Actions de mémoire |
||
| Protection de la mémoire activée |
Activé |
Le module de protection de la mémoire analyse et interprète les intentions d’exécution des applications en surveillant les interactions entre les applications et le système d’exploitation en mémoire. |
| Activer l'exclusion des fichiers exécutables |
Activé |
Cela permet d’exclure des fichiers exécutables spécifiques de la protection de la mémoire. |
| Exclure des fichiers exécutables |
Vide |
Toutes les exclusions ajoutées doivent être spécifiées en utilisant le chemin relatif des fichiers exécutables concernés (mais vous devez exclure la lettre du lecteur du chemin d’accès). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Exploitation : Falsification de la pile |
Alerte |
La pile d'un thread a été remplacée par une pile différente. En règle générale, l'ordinateur alloue une pile unique à un thread. Un attaquant utiliserait une pile différente pour contrôler l'exécution de sorte que la prévention d'exécution des données (DEP) ne puisse pas la bloquer. S’applique à : Windows, Mac |
| Exploitation : Protection de la pile |
Alerte |
La protection de la mémoire de la pile d'un thread a été modifiée pour activer l'autorisation d'exécution. La mémoire de la pile ne doit pas être exécutable. Cela signifie généralement qu'un attaquant se prépare à exécuter un code malveillant stocké dans la mémoire de la pile dans le cadre d'une attaque, une tentative que la prévention d'exécution des données (DEP) bloquerait autrement. S’applique à : Windows, Mac |
| Exploitation : Écrasement du code |
Alerte |
Le code résidant dans la mémoire d'un processus a été modifié avec une technique qui peut indiquer une tentative de contournement de la prévention d'exécution des données (DEP). S’applique à : Windows |
| Exploitation : Recherche dans la mémoire du scanner |
Alerte |
Un processus tente de lire des données de piste de bande magnétique valides provenant d'un autre processus. Généralement lié aux ordinateurs de point de vente (POS) S’applique à : Windows |
| Exploitation : Charge utile malveillante |
Alerte |
Un processus tente de lire des données de piste de bande magnétique valides provenant d'un autre processus. Généralement lié aux ordinateurs de point de vente (POS) S’applique à : Windows |
| Exploitation : Charge utile malveillante |
Alerte |
Un shellcode générique et une détection de charge utile associés à l'exploitation ont été détectés. S’applique à : Windows |
| Injection de processus : Allocation de mémoire à distance |
Alerte |
Un processus a alloué de la mémoire dans un autre processus. La plupart des allocations se produisent uniquement au sein du même processus. Cela indique généralement une tentative d'injection de code ou de données dans un autre processus, ce qui peut être une première étape pour renforcer une présence malveillante sur un ordinateur. S’applique à : Windows, Mac |
| Injection de processus : Mappage à distance de la mémoire |
Alerte |
Un processus a introduit du code ou des données dans un autre processus. Cela peut indiquer une tentative d'exécution du code dans un autre processus et renforcer une présence malveillante. S’applique à : Windows, Mac |
| Injection de processus : Écriture à distance dans la mémoire |
Alerte |
Un processus a modifié la mémoire dans un autre processus. Il s'agit généralement d'une tentative de stockage du code ou des données dans la mémoire précédemment allouée (consultez OutofProcessAllocation), mais il est possible qu'un attaquant tente d'écraser la mémoire existante afin de détourner l'exécution à des fins malveillantes. S’applique à : Windows, Mac |
| Injection de processus : Écriture de PE à distance dans la mémoire |
Alerte |
Un processus a modifié la mémoire dans un autre processus pour héberger une image d'exécutable. En règle générale, cela indique qu'un attaquant tente d'exécuter du code sans l'écrire au préalable sur le disque. S’applique à : Windows, Mac |
| Injection de processus : Écrasement à distance du code |
Alerte |
Un processus a modifié la mémoire exécutable dans un autre processus. Dans des conditions normales, la mémoire exécutable n'est pas modifiée, encore moins par un autre processus. Cela indique généralement une tentative de détournement de l'exécution dans un autre processus. S’applique à : Windows, Mac |
| Injection de processus : Démappage à distance de la mémoire |
Alerte |
Un processus a supprimé un exécutable Windows de la mémoire d'un autre processus. Cela peut indiquer une intention de remplacement de l'image d'exécutable par une copie modifiée pour détourner l'exécution. S’applique à : Windows, Mac |
| Injection de processus : Création à distance de threads |
Alerte |
Un processus a créé un thread dans un autre processus. Un attaquant utilise cette méthode pour activer une présence malveillante qui a été injectée dans un autre processus. S’applique à : Windows, Mac |
| Injection de processus : APC planifié à distance |
Alerte |
Un processus a détourné l'exécution du thread d'un autre processus. Un attaquant utilise cette méthode pour activer une présence malveillante qui a été injectée dans un autre processus. S’applique à : Windows |
| Injection de processus : Injection DYLD (Mac OS X uniquement) |
Alerte |
Une variable d'environnement a été définie, ce qui entraîne l'injection d'une bibliothèque partagée dans un processus lancé. Les attaques peuvent modifier la liste de propriétés des applications telles que Safari ou remplacer les applications par des scripts bash qui entraînent le chargement automatique de leurs modules lorsqu'une application démarre. S’applique à : Mac |
| Escalade : Lecture LSASS |
Alerte |
La mémoire appartenant au processus d'autorité de sécurité locale de Windows a été consultée d'une manière qui indique une tentative d'obtention des mots de passe des utilisateurs. S’applique à : Windows |
| Escalade : Aucune allocation |
Alerte |
Une page vide a été allouée. La zone de mémoire est généralement réservée, mais dans certains cas, elle peut être allouée. Les attaques peuvent s'en servir pour configurer l'escalade des privilèges en tirant parti de certains exploits null dereference connus, généralement dans le noyau. S’applique à : Windows, Mac |
| Contrôle de l’exécution |
||
| Empêcher l’arrêt du service à partir de l’appareil |
Désactivé |
Lorsque cette règle est activée, elle empêche l'arrêt du service ATP. La désinstallation de l'application est également empêchée. |
| Arrêter les processus et sous-processus dangereux en cours d'exécution |
Désactivé |
L'activation de cette fonctionnalité permet la détection et l'arrêt des menaces basées sur la mémoire qui génèrent des sous-processus. |
| Détection des menaces en arrière-plan |
Exécuter une fois |
Cela détermine si une analyse des fichiers existants est exécutée sur l'appareil. Cette valeur peut être définie sur Désactivé, Exécuter une fois ou Exécuter une opération récurrente. Si la fonction de surveillance des nouveaux fichiers est activée, il est recommandé de configurer la détection des menaces en arrière-plan sur Exécuter une fois. Vous ne devez vérifier les fichiers existants qu'une seule fois si vous surveillez également les nouveaux fichiers et les fichiers mis à jour. |
| Rechercher les nouveaux fichiers |
Activé |
La définition de cette valeur de règle sur Activée permet de détecter et d'analyser les fichiers qui sont nouvellement écrits sur l'appareil ou qui sont modifiés.
Remarque : Il est recommandé de désactiver l’option Rechercher les nouveaux fichiers sur les périphériques les plus fréquentés (tels que les serveurs de fichiers ou d’applications), car cela peut entraîner une augmentation inattendue de la latence du disque, car chaque fichier doit être analysé au fur et à mesure de son écriture sur le disque. Cela est atténué par défaut, car tous les exécutables portables qui tentent de s'exécuter sont analysés au moment de leur tentative d'exécution. Vous pouvez aller encore plus loin en activant et en définissant la fonction de détection des menaces en arrière-plan sur Exécuter une opération récurrente.
|
| Définir la taille maximale du fichier d'archive à analyser |
150 |
Configure la taille maximale de l’archive décompressée pouvant être analysée. La taille est exprimée en mégaoctets. |
| Paramètres de protection | ||
| Activer l'exclusion de dossiers spécifiques (y compris les sous-dossiers) | Activé | Cela permet de définir des dossiers dans la fonction de surveillance et de contrôle d’exécution des fichiers en fonction de la règle et d’autoriser l’exécution de fichiers dans les dossiers d’exclusion qui ne sont pas surveillés. |
| Exclure des dossiers spécifiques (y compris les sous-dossiers) | -Vide- | Définit une liste de dossiers qui ne sont pas surveillés dans File Watcher. La règle Autoriser l’exécution de fichiers dans les dossiers d’exclusion empêche la mise en quarantaine de tous les fichiers exécutés à partir de ces répertoires. Cette règle empêche l'analyse de ces répertoires par les fonctions de surveillance des nouveaux fichiers ou de détection des menaces en arrière-plan. Toutes les exclusions ajoutées doivent être spécifiées en utilisant le chemin absolu du fichier exécutable concerné (incluez la lettre du lecteur du chemin). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Contrôle des applications | ||
| Contrôle des applications | Désactivé | Cela permet de restreindre les modifications basées sur les applications sur l’appareil. Aucune nouvelle application ne peut être ajoutée, aucune application ne peut être supprimée et aucune application ne peut être modifiée ou mise à jour. |
| Dossiers autorisés pour le contrôle des applications | -Vide- | Cela définit une liste de dossiers qui ne sont pas surveillés dans le contrôle des applications. Toutes les exclusions ajoutées doivent être spécifiées en utilisant le chemin absolu du fichier exécutable concerné (incluez la lettre du lecteur du chemin). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Activer la fenêtre de modification | Désactivé | Lorsque cette valeur de règle est activée, le contrôle des applications est désactivé de façon temporaire, ce qui permet d'effectuer des modifications dans l'environnement. |
| Contrôle des scripts | ||
| Contrôle des scripts | Activé | Active l’utilisation du contrôle des scripts Le contrôle des scripts surveille les applications et les services qui peuvent exécuter des actions au sein du système d'exploitation. Ces applications sont généralement appelées interpréteurs. ATP surveille ces applications et services pour tous les scripts qui tentent de s'exécuter et, en fonction des règles, signale l'action effectuée ou bloque l'exécution des actions. Ces décisions sont prises en fonction du nom du script et du chemin d'exécution relatif du script. |
| Mode de contrôle des scripts | Alerte | Quand cette valeur de règle est définie sur Bloquer, aucun élément basé sur des scripts n'est exécuté. Cela inclut tous les scripts actifs, les scripts basés sur des macros ou les scripts basés sur Powershell. Dans les versions supérieures, ils sont séparés en fonction de leurs propres règles. S’applique à : builds 1.2.1371 et antérieurs de Dell ESSE |
| Active Script | Alerte | Quand cette valeur de règle est définie sur Bloquer, l'exécution de scripts JavaScript, VBscript, batch, Python, Perl, PHP, Ruby, etc. est impossible. S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE. |
| Macros | Alerte | La définition de cette valeur de règle sur Alerte permet d'analyser les macros dans les documents, afin de déterminer si elles exécutent des commandes potentiellement malveillantes. Si une menace est détectée, le paramètre Bloquer empêche la macro de s'exécuter. Les macros qui s'exécutent au lancement peuvent empêcher le chargement de l'application. S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE. |
| PowerShell | Alerte | Lorsque cette valeur de règle est définie sur Bloquer, cela empêche les scripts basés sur Powershell de s'exécuter dans l'environnement. S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE. |
| Console Powershell | Autoriser | Lorsque cette valeur de règle est définie sur Bloquer, cela empêche le lancement de la console Powershell V3 et d'ISE. S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE. |
| Activer l'approbation des scripts dans les dossiers (et les sous-dossiers) | Activé | Cela permet d’exclure de l’analyse des emplacements dans le contrôle des scripts. |
| Approuver des scripts dans les dossiers (et les sous-dossiers) | -Vide- | Cette section détaille les dossiers qui ne sont pas surveillés dans le contrôle des scripts.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Autorisation globale | -Vide- | Cette règle s'appuie sur le mode déconnecté pour ESSE. Cela permet aux clients de disposer d'un environnement entièrement séparé d'Internet. Cette règle détermine les certificats et les chemins des menaces spécifiques qui doivent être autorisés dans l'environnement. |
| Liste de quarantaine | -Vide- | Cette règle s'appuie sur le mode déconnecté pour ESSE. Cela permet aux clients de disposer d'un environnement entièrement séparé d'Internet. Il s'agit d'une liste définie des hachages incorrects connus, qui sont automatiquement mis en quarantaine lorsqu'ils sont rencontrés par l'agent. |
| Liste sécurisée | -Vide- | Cette règle s'appuie sur le mode déconnecté pour ESSE. Cela permet aux clients de disposer d'un environnement entièrement séparé d'Internet. Cette règle détermine les hachages de menace spécifiques qui doivent être autorisés dans l'environnement. |
| Paramètres de l’agent | ||
| Supprimer les notifications contextuelles | Activé | Cela permet d’activer ou de désactiver la possibilité pour ESSE d’afficher une boîte de dialogue toaster. |
| Niveau de notification contextuelle minimal | Élevé | Définit ce qui est notifié à l’utilisateur final si la règle Supprimer les notifications contextuelles est désactivée. Élevé
Moyen
Bas
|
| Activer l'assurance du BIOS | Activé | Effectue des contrôles d'intégrité du BIOS sur les ordinateurs Dell pris en charge (ordinateurs de niveau entreprise 2016 et versions ultérieures) |
| Activer le téléchargement automatique des fichiers journaux | Activé | Cela permet aux agents de télécharger automatiquement leurs fichiers journaux pour le plug-in ATP dans le Cloud tous les jours à minuit ou à 100 Mo, selon la première éventualité. |
| Valeur de règle | Valeur suggérée | Policy Description |
|---|---|---|
| Advanced Threat Prevention (commutateur principal) |
Allumé |
Cette valeur de règle détermine si les clients peuvent utiliser des règles pour Advanced Threat Prevention. Cela active également les actions de fichier et le contrôle de l'exécution, qui ne peuvent pas être désactivés. Le contrôle de l'exécution englobe les fonctions de détection des menaces en arrière-plan et de surveillance des fichiers. Ce module au sein d'ATP analyse et extrait les intentions d'un exécutable portable (PE) en fonction de ses actions et de son comportement prévus. Tous les fichiers détectés par le contrôle d’exécution, ainsi que BTD et File Watcher, sont traités en fonction des règles associées à la mise en quarantaine automatique. Ces actions sont effectuées en fonction de l'emplacement du chemin absolu de l'exécutable portable. |
| Actions de fichier : |
|
|
| Mise en quarantaine automatique du fichier exécutable dangereux avec contrôle de l'exécutable activé |
Activé | Ce contrôle détermine si les fichiers considérés comme des menaces graves sont automatiquement mis en quarantaine. |
| Téléchargement automatique de l'exécutable dangereux activé |
Activé |
Définit si les menaces graves sont téléchargées vers le Cloud, afin d'obtenir un deuxième avis sur celles-ci. |
| Mise en quarantaine automatique du fichier exécutable anormal avec contrôle de l'exécutable activé |
Activé |
Cela permet de déterminer si les fichiers considérés comme des menaces potentielles sont automatiquement mis en quarantaine. |
| Téléchargement automatique de l'exécutable anormal activé |
Activé |
Définit si les menaces potentielles sont téléchargées vers le Cloud, afin d'obtenir un deuxième avis sur celles-ci. |
| Autoriser l'exécution des fichiers dans les dossiers à exclure |
Activé |
Cela s'applique à la règle Exclure des dossiers spécifiques dans le groupe de règles Paramètres de protection. Cela permet aux fichiers exécutables contenus dans les dossiers exclus de s’exécuter, même s’ils sont automatiquement mis en quarantaine. |
| Suppression automatique |
Activé |
Cela active le minuteur sur les jours jusqu’à la suppression de la règle. Cela s’applique également aux éléments mis en quarantaine. Une fois le nombre de jours écoulé avant suppression, toutes les menaces au sein d’un dossier de quarantaine sont automatiquement supprimées si cette règle est activée. |
| Jours avant suppression |
14 |
Détermine le nombre de jours, par menace, pendant lesquels un élément reste dans le dossier de quarantaine local. |
| Actions de mémoire |
||
| Protection de la mémoire activée |
Activé |
Cela active la fonctionnalité de protection de la mémoire. Le module de protection de la mémoire analyse et interprète les intentions d’exécution des applications en surveillant les interactions entre les applications et le système d’exploitation en mémoire. |
| Activer l'exclusion des fichiers exécutables |
Activé |
Cela permet d’exclure des fichiers exécutables spécifiques de la protection de la mémoire. |
| Exclure des fichiers exécutables |
Varie en fonction de l’environnement |
Toutes les exclusions ajoutées doivent être spécifiées en utilisant le chemin relatif des fichiers exécutables concernés (mais vous devez exclure la lettre du lecteur du chemin d’accès). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Exploitation : Falsification de la pile |
Arrêter |
La pile d'un thread a été remplacée par une pile différente. En règle générale, l'ordinateur n'alloue qu'une seule pile à un thread. Un attaquant utiliserait une pile différente pour contrôler l'exécution de sorte que la prévention d'exécution des données (DEP) ne la bloque pas. S’applique à : Windows, Mac |
| Exploitation : Protection de la pile |
Arrêter |
La protection de la mémoire de la pile d'un thread a été modifiée pour activer l'autorisation d'exécution. La mémoire de la pile ne doit pas être exécutable. Cela signifie généralement qu'un attaquant se prépare à exécuter un code malveillant stocké dans la mémoire de la pile dans le cadre d'une attaque, une tentative que la prévention d'exécution des données (DEP) ne bloquerait pas autrement. S’applique à : Windows, Mac |
| Exploitation : Écrasement du code |
Arrêter |
Le code résidant dans la mémoire d'un processus a été modifié avec une technique qui peut indiquer une tentative de contournement de la prévention d'exécution des données (DEP). S’applique à : Windows |
| Exploitation : Recherche dans la mémoire du scanner |
Arrêter |
Un processus tente de lire des données de piste de bande magnétique valides provenant d'un autre processus, généralement en lien avec les ordinateurs de point de vente. S’applique à : Windows |
| Exploitation : Charge utile malveillante |
Arrêter |
Un shellcode générique et une détection de charge utile associés à l'exploitation ont été détectés. S’applique à : Windows |
| Injection de processus : Allocation de mémoire à distance |
Arrêter |
Un processus a alloué de la mémoire dans un autre processus. La plupart des allocations se produisent uniquement au sein du même processus. Cela indique généralement une tentative d'injection de code ou de données dans un autre processus, ce qui peut être une première étape pour renforcer une présence malveillante sur un ordinateur. S’applique à : Windows, Mac |
| Injection de processus : Mappage à distance de la mémoire |
Arrêter |
Un processus a introduit du code ou des données dans un autre processus. Cela peut indiquer une tentative d'exécution du code dans un autre processus et renforcer une présence malveillante. S’applique à : Windows, Mac |
| Injection de processus : Écriture à distance dans la mémoire |
Arrêter |
Un processus a modifié la mémoire dans un autre processus. Il s'agit généralement d'une tentative de stockage du code ou des données dans la mémoire précédemment allouée (consultez OutOfProcessAllocation), mais il est possible qu'un attaquant tente d'écraser la mémoire existante afin de détourner l'exécution à des fins malveillantes. S’applique à : Windows, Mac |
| Injection de processus : Écriture de PE à distance dans la mémoire |
Arrêter |
Un processus a modifié la mémoire dans un autre processus pour héberger une image d'exécutable. En règle générale, cela indique qu'un attaquant tente d'exécuter du code sans l'écrire au préalable sur le disque. S’applique à : Windows, Mac |
| Injection de processus : Écrasement à distance du code |
Arrêter |
Un processus a modifié la mémoire exécutable dans un autre processus. Dans des conditions normales, la mémoire exécutable n'est pas modifiée, encore moins par un autre processus. Cela indique généralement une tentative de détournement de l'exécution dans un autre processus. S’applique à : Windows, Mac |
| Injection de processus : Démappage à distance de la mémoire |
Arrêter |
Un processus a supprimé un exécutable Windows de la mémoire d'un autre processus. Cela peut indiquer une intention de remplacement de l'image d'exécutable par une copie modifiée pour détourner l'exécution. S’applique à : Windows, Mac |
| Injection de processus : Création à distance de threads |
Arrêter |
Un processus a créé un thread dans un autre processus. Un attaquant utilise cette méthode pour activer une présence malveillante qui a été injectée dans un autre processus. S’applique à : Windows, Mac |
| Injection de processus : APC planifié à distance |
Arrêter |
Un processus a détourné l'exécution du thread d'un autre processus. Un attaquant utilise cette méthode pour activer une présence malveillante qui a été injectée dans un autre processus. S’applique à : Windows |
| Injection de processus : Injection DYLD (Mac OS X uniquement) |
Arrêter |
Une variable d'environnement a été définie, ce qui entraîne l'injection d'une bibliothèque partagée dans un processus lancé. Les attaques peuvent modifier la liste de propriétés des applications telles que Safari ou remplacer les applications par des scripts bash qui entraînent le chargement automatique de leurs modules lorsqu'une application démarre. S’applique à : Mac |
| Escalade : Lecture LSASS |
Arrêter |
La mémoire appartenant au processus d'autorité de sécurité locale de Windows a été consultée d'une manière qui indique une tentative d'obtention des mots de passe des utilisateurs. S’applique à : Windows |
| Escalade : Aucune allocation |
Arrêter |
Une page vide a été allouée. La zone de mémoire est généralement réservée, mais dans certains cas, elle peut être allouée. Les attaques peuvent s'en servir pour configurer l'escalade des privilèges en tirant parti de certains exploits null dereference connus, généralement dans le noyau. S’applique à : Windows, Mac |
| Contrôle de l’exécution |
||
| Empêcher l’arrêt du service à partir de l’appareil |
Activé |
Lorsque cette règle est activée, elle empêche l'arrêt du service ATP, même en tant qu'ordinateur. La désinstallation de l'application est également empêchée. |
| Arrêter les processus et sous-processus dangereux en cours d'exécution |
Activé |
L'activation de cette fonctionnalité permet la détection et l'arrêt des menaces basées sur la mémoire qui génèrent des sous-processus. |
| Détection des menaces en arrière-plan |
Exécuter une fois |
Cela détermine si une analyse des fichiers existants est exécutée sur l'appareil. Cette valeur peut être définie sur Désactivé, Exécuter une fois ou Exécuter une opération récurrente. Si la fonction de surveillance des nouveaux fichiers est activée, il est recommandé de configurer la détection des menaces en arrière-plan sur Exécuter une fois. Vous ne devez vérifier les fichiers existants qu'une seule fois si vous surveillez également les nouveaux fichiers et les fichiers mis à jour. |
| Rechercher les nouveaux fichiers |
Activé |
La définition de cette valeur de règle sur Activée permet de détecter et d'analyser les fichiers qui sont nouvellement écrits sur l'appareil ou qui sont modifiés.
Remarque : Il est recommandé de désactiver l’option Rechercher les nouveaux fichiers sur les périphériques les plus fréquentés (tels que les serveurs de fichiers ou d’applications), car cela peut entraîner une augmentation inattendue de la latence du disque, car chaque fichier doit être analysé au fur et à mesure de son écriture sur le disque. Cela est atténué par défaut, car tous les exécutables portables qui tentent de s'exécuter sont analysés au moment de leur tentative d'exécution. Vous pouvez aller encore plus loin en activant et en définissant la fonction de détection des menaces en arrière-plan sur Exécuter une opération récurrente.
|
| Définir la taille maximale du fichier d'archive à analyser |
150 |
Configure la taille maximale de l’archive décompressée pouvant être analysée. La taille est exprimée en mégaoctets. |
| Paramètres de protection | ||
| Activer l'exclusion de dossiers spécifiques (y compris les sous-dossiers) | Activé | Cela permet de définir des dossiers dans la fonction de surveillance des fichiers et le contrôle d’exécution en fonction de la règle Autoriser l’exécution de fichiers dans les dossiers d’exclusion qui ne sont pas surveillés. |
| Exclure des dossiers spécifiques (y compris les sous-dossiers) | Varie en fonction de l’environnement | Cela définit une liste de dossiers qui ne sont pas surveillés dans la fonction de surveillance des fichiers. Cette règle d’Autoriser l’exécution de fichiers dans les dossiers d’exclusion empêche la mise en quarantaine de tous les fichiers exécutés à partir de ces répertoires. Cette règle empêche l'analyse de ces répertoires par les fonctions de surveillance des nouveaux fichiers ou de détection des menaces en arrière-plan. Toutes les exclusions ajoutées doivent être spécifiées en utilisant le chemin absolu du fichier exécutable concerné (incluez la lettre du lecteur du chemin). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Contrôle des applications | ||
| Contrôle des applications | Désactivé | Cela permet de restreindre les modifications basées sur l’application sur l’appareil. Aucune application ne peut être ajoutée, aucune application ne peut être supprimée et aucune application ne peut être modifiée ou mise à jour. |
| Dossiers autorisés pour le contrôle des applications | -Vide- | Cela définit une liste de dossiers qui ne sont pas surveillés dans le contrôle des applications. Toutes les exclusions ajoutées doivent être spécifiées en utilisant le chemin absolu du fichier exécutable concerné (incluez la lettre du lecteur du chemin). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Activer la fenêtre de modification | Désactivé | Lorsque cette valeur de règle est activée, le contrôle des applications est désactivé de façon temporaire, ce qui permet d'effectuer des modifications dans l'environnement. |
| Contrôle des scripts | ||
| Contrôle des scripts | Activé | Active l’utilisation du contrôle des scripts Le contrôle des scripts surveille les applications et les services qui peuvent exécuter des actions au sein du système d'exploitation. Ces applications sont généralement appelées interpréteurs. ATP surveille ces applications et services pour tous les scripts qui tentent de s'exécuter et, en fonction des règles, signale l'action effectuée ou bloque l'exécution des actions. Ces décisions sont prises en fonction du nom du script et du chemin d'exécution relatif du script. |
| Mode de contrôle des scripts | Bloqué | Quand cette valeur de règle est définie sur Bloquer, aucun élément basé sur des scripts n'est exécuté. Cela inclut tous les scripts actifs, les scripts basés sur des macros ou les scripts basés sur Powershell. Dans les versions supérieures, ils sont séparés en fonction de leurs propres règles. S’applique à : builds 1.2.1371 et antérieurs de Dell ESSE |
| Active Script | Bloqué | Quand cette valeur de règle est définie sur Bloquer, l'exécution de scripts JavaScript, VBscript, batch, Python, Perl, PHP, Ruby, etc. est impossible. S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE. |
| Macros | Bloqué | La définition de cette valeur de règle sur Alerte permet d'analyser les macros dans les documents, afin de déterminer si elles exécutent des commandes potentiellement malveillantes. Si une menace est détectée, le paramètre « Bloquer » empêche la macro de s'exécuter. Les macros qui s'exécutent au lancement peuvent empêcher le chargement de l'application. S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE. |
| PowerShell | Bloqué | Lorsque cette valeur de règle est définie sur Bloquer, cela empêche les scripts basés sur Powershell de s'exécuter dans l'environnement. S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE. |
| Console Powershell | Autoriser | Lorsque cette valeur de règle est définie sur Bloquer, cela empêche le lancement de la console Powershell V3 et d'ISE. S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE. |
| Activer l'approbation des scripts dans les dossiers (et les sous-dossiers) | Activé | Cela permet d’exclure de l’analyse des emplacements du contrôle des scripts. |
| Approuver des scripts dans les dossiers (et les sous-dossiers) | Varie en fonction de l’environnement | Cette section détaille les dossiers qui ne sont pas surveillés dans le contrôle des scripts.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Autorisation globale | Varie en fonction de l’environnement | Cette règle s'appuie sur le mode déconnecté pour ESSE. Cela permet aux clients de disposer d'un environnement entièrement séparé d'Internet. Cette règle détermine les certificats et les chemins des menaces spécifiques qui doivent être autorisés dans l'environnement. |
| Liste de quarantaine | Varie en fonction de l’environnement | Cette règle s'appuie sur le mode déconnecté pour ESSE. Cela permet aux clients de disposer d'un environnement entièrement séparé d'Internet. Il s'agit d'une liste définie des hachages incorrects connus, qui sont automatiquement mis en quarantaine lorsqu'ils sont rencontrés par l'agent. |
| Liste sécurisée | Varie en fonction de l’environnement | Cette règle s'appuie sur le mode déconnecté pour ESSE. Cela permet aux clients de disposer d'un environnement entièrement séparé d'Internet. Cette règle détermine les hachages de menace spécifiques qui doivent être autorisés dans l'environnement. |
| Paramètres de l’agent | ||
| Supprimer les notifications contextuelles | Désactivé | Cela permet d’activer ou de désactiver la possibilité pour ESSE d’afficher une boîte de dialogue toaster. |
| Niveau de notification contextuelle minimal | Élevé | Cela définit les éléments qui sont notifiés à l’utilisateur final si la règle Supprimer les notifications contextuelles est désactivée. Élevé
Moyen
Bas
|
| Activer l'assurance du BIOS | Activé | Effectue des contrôles d'intégrité du BIOS sur les ordinateurs Dell pris en charge (ordinateurs de niveau entreprise 2016 et versions ultérieures) |
| Activer le téléchargement automatique des fichiers journaux | Activé | Cela permet aux agents de télécharger automatiquement leurs fichiers journaux pour le plug-in ATP dans le Cloud tous les jours à minuit ou à 100 Mo, selon la première éventualité. |
| Activer l'interface utilisateur standard | Activé | Cela permet d’utiliser la console Dell Data Security sur un point de terminaison. Cela permet aux utilisateurs locaux de voir les menaces, les événements de mémoire ou les scripts qui ont été détectés sur le point de terminaison local. Cette option est disponible via le menu contextuel sur le point de terminaison ou à l’aide de la roue dentée des paramètres de la console Dell Data Security dans une option intitulée Advanced Threat Prevention. Une fois cette option sélectionnée, des boutons bascules supplémentaires sont disponibles pour afficher ou masquer les menaces, les événements de mémoire ou les scripts qui ont été détectés sur cet ordinateur. Cette règle exige que Dell Encryption Management Agent version 8.18.0 ou une version supérieure soit installé. |
Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.
Dell Endpoint Security Suite Enterprise
04 Mar 2024
10
Solution