Article Number: 000126118
Non applicabile
Per impostazione predefinita, si consiglia di eseguire inizialmente Advanced Threat Prevention (ATP) in Learning Mode. Tutte le informazioni sulle minacce vengono raccolte per offrire agli amministratori la flessibilità necessaria per gestire le minacce e i programmi potenzialmente indesiderati all'interno del proprio ambiente e consentire l'inserimento di app mission-critical nell'elenco degli elementi consentiti.
Per ulteriori informazioni sulla modifica delle policy in Dell Endpoint Security Suite Enterprise, consultare Come modificare le policy su Dell Data Protection Server.
Per ulteriori informazioni e regole sulla creazione di esclusioni all'interno di Dell Endpoint Security Suite Enterprise, consultare Come aggiungere esclusioni in Dell Endpoint Security Suite Enterprise.
| Valore della policy | Valore consigliato | Policy Description |
|---|---|---|
| Advanced Threat Prevention (Primary Switch) |
Acceso |
Il valore di questa policy determina se i client possono utilizzare policy per Advanced Threat Prevention. In questo modo vengono abilitati anche i valori File Actions ed Execution Control, che non è possibile disabilitare. Execution Control include Background Threat Detection e File Watcher. Questo modulo all'interno di ATP analizza e astrae le intenzioni di un file eseguibile di tipo Portable Executable (PE) in base alle azioni e al comportamento previsti. Tutti i file rilevati da Execution Control, insieme a BTD e File Watcher, vengono elaborati in base alle policy correlate alla quarantena automatica. Queste azioni vengono eseguite in base alla posizione del percorso assoluto del file PE. |
| File Actions: |
|
|
| Unsafe Executable Auto Quarantine With Executable Control Enabled |
Disabled | Determina se i file considerati una grave minaccia vengano messi automaticamente in quarantena. |
| Unsafe Executable Auto Upload Enabled |
Enabled |
Determina l'eventuale upload delle minacce gravi nel cloud per eseguire un secondo controllo. |
| Abnormal Executable Auto Quarantine With Executable Control Enabled |
Disabled |
Determina se i file considerati una potenziale minaccia vengono automaticamente messi in quarantena. |
| Abnormal Executable Auto Upload Enabled |
Enabled |
Determina l'eventuale upload delle minacce potenziali nel cloud per eseguire un secondo controllo. |
| Allow Execution of Files in Exclude Folders |
Enabled |
Si applica alla policy Exclude Specific Folders all'interno del gruppo di policy Protection Settings. Ciò consente l'esecuzione degli eseguibili all'interno delle cartelle Excluded anche se vengono messi automaticamente in quarantena. |
| Auto Delete |
Disabled |
In questo modo viene abilitato il timer sul criterio Giorni fino all'eliminazione. Ciò si applica agli elementi in quarantena: una volta trascorsi i giorni fino all'eliminazione, eventuali minacce all'interno di una cartella dei quarantena vengono rimosse automaticamente se questo criterio è abilitato. |
| Days until Deleted |
14 |
Determina il numero di giorni, per ogni minaccia, in cui un elemento rimane nella cartella dei quaranteni locali. |
| Memory Actions |
||
| Memory Protection Enabled |
Enabled |
Ciò abilita la funzionalità di protezione della memoria Il modulo di protezione della memoria analizza e interpreta le intenzioni delle applicazioni in esecuzione monitorando le interazioni tra le applicazioni e il sistema operativo in memoria. |
| Enable Exclude executable files |
Enabled |
Ciò consente di escludere eseguibili specifici da Protezione della memoria. |
| Exclude executable files |
Schermo vuoto |
Tutte le esclusioni aggiunte devono essere specificate indicando il percorso del file eseguibile (escludere la lettera dell'unità dal percorso). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Exploitation: Stack Pivot |
Avviso |
Lo stack per un thread è stato sostituito con un altro. In genere, il computer alloca un singolo stack per un thread. Un utente malintenzionato utilizza uno stack diverso per controllare l'esecuzione in un modo che Data Execution Prevention (DEP) non può bloccare. Applicabile a: Windows, Mac |
| Exploitation: Stack Protect |
Avviso |
La protezione della memoria dello stack di un thread è stata modificata per abilitare l'autorizzazione all'esecuzione. La memoria dello stack non deve essere eseguibile, quindi in genere questo significa che un utente malintenzionato sta per eseguire un codice dannoso archiviato nella memoria dello stack come parte di un exploit, un tentativo che altrimenti verrebbe bloccato da Data Execution Prevention (DEP). Applicabile a: Windows, Mac |
| Exploitation: Overwrite Code |
Avviso |
Il codice presente nella memoria di un processo è stato modificato utilizzando una tecnica che potrebbe indicare un tentativo di ignorare Data Execution Prevention (DEP). Applicabile a: Windows |
| Exploitation: Scanner Memory Search |
Avviso |
Un processo tenta di leggere dati validi di una striscia magnetica da un altro processo. In genere relativi ai computer POS (Point-of-Sale Computer) Applicabile a: Windows |
| Exploitation: Malicious Payload |
Avviso |
Un processo tenta di leggere dati validi di una striscia magnetica da un altro processo. In genere relativi ai computer POS (Point-of-Sale Computer) Applicabile a: Windows |
| Exploitation: Malicious Payload |
Avviso |
È stato rilevato un rilevamento generico di shellcode e payload associato all'exploit. Applicabile a: Windows |
| Process Injection: Remote Allocation of Memory |
Avviso |
Un processo ha allocato memoria in un altro. La maggior parte delle allocazioni avviene solo all'interno dello stesso processo. In genere, indica un tentativo di inserire codice o dati in un altro processo, il che potrebbe rappresentare un primo passo per il rafforzamento di una presenza dannosa su un computer. Applicabile a: Windows, Mac |
| Process Injection: Remote Mapping of Memory |
Avviso |
Un processo ha introdotto codice o dati in un altro. Potrebbe indicare un tentativo di avviare l'esecuzione del codice in un altro processo e il rafforzamento di una presenza dannosa. Applicabile a: Windows, Mac |
| Process Injection: Remote Write to Memory |
Avviso |
Un processo ha modificato la memoria in un altro. In genere si tratta di un tentativo di archiviare codice o dati in una memoria precedentemente allocata (vedere OutofProcessAllocation), ma è possibile che un utente malintenzionato stia tentando di sovrascrivere la memoria esistente al fine di destinare l'esecuzione a uno scopo dannoso. Applicabile a: Windows, Mac |
| Process Injection: Remote Write PE to Memory |
Avviso |
Un processo ha modificato la memoria in un altro, in modo da contenere un'immagine eseguibile. In genere, indica che un utente malintenzionato sta tentando di eseguire codice senza prima scriverlo su disco. Applicabile a: Windows, Mac |
| Process Injection: Remote Overwrite Code |
Avviso |
Un processo ha modificato la memoria eseguibile in un altro. In condizioni normali, la memoria eseguibile non viene modificata, in particolare da un altro processo. In genere, indica un tentativo di modificare lo scopo dell'esecuzione in un altro processo. Applicabile a: Windows, Mac |
| Process Injection: Remote Unmap of Memory |
Avviso |
Un processo ha rimosso un eseguibile Windows dalla memoria di un altro. Potrebbe indicare l'intenzione di sostituire l'immagine dell'eseguibile con una copia modificata per modificare lo scopo dell'esecuzione. Applicabile a: Windows, Mac |
| Process Injection: Remote Thread Creation |
Avviso |
Un processo ha creato un thread in un altro. Un utente malintenzionato utilizza questa policy per attivare una presenza dannosa inserita in un altro processo. Applicabile a: Windows, Mac |
| Process Injection: Remote APC Scheduled |
Avviso |
Un processo ha modificato l'esecuzione del thread di un altro. Un utente malintenzionato utilizza questa policy per attivare una presenza dannosa inserita in un altro processo. Applicabile a: Windows |
| Process Injection: DYLD Injection (Mac OS X only) |
Avviso |
È stata impostata una variabile di ambiente per cui una libreria condivisa viene inserita in un processo avviato. Gli attacchi possono modificare l'elenco di proprietà (plist) di applicazioni come Safari o sostituire le applicazioni con script bash che causano il caricamento automatico dei relativi moduli all'avvio di un'applicazione. Applicabile a: Mac |
| Escalation: LSASS Read |
Avviso |
È stato effettuato l'accesso a una memoria appartenente al Processo autorità protezione locale di Windows in un modo che indica un tentativo di ottenere le password degli utenti. Applicabile a: Windows |
| Escalation: Zero Allocate |
Avviso |
È stata allocata una pagina null. L'area di memoria è in genere riservata, ma in alcune circostanze può essere allocata. Gli attacchi possono utilizzare questa policy per configurare l'escalation dei privilegi sfruttando alcuni exploit di dereferenziazione null noti, in genere nel kernel. Applicabile a: Windows, Mac |
| Execution Control |
||
| Prevent Service Shutdown from Device |
Disabled |
Se abilitata, impedisce di arrestare il servizio ATP e inoltre la disinstallazione dell'applicazione. |
| Kill Unsafe Running Process and Sub-Processes |
Disabled |
L'abilitazione di questa funzione consente il rilevamento e l'interruzione di qualsiasi minaccia basata sulla memoria che genera sottoprocessi. |
| Background Threat Detection |
Esegui una volta |
Determina se sul dispositivo viene eseguita una scansione dei file esistenti. Può essere impostato su Disabilitato, Esegui una volta o Esegui ricorrente. Se la policy Watch For New Files è abilitata, si consiglia di impostare Background Threat Detection su Run Once. È necessario controllare i file esistenti una sola volta se si controllano anche i file nuovi e aggiornati. |
| Watch For New Files |
Enabled |
L'impostazione di questa policy su Enabled consente il rilevamento e l'analisi di tutti i file appena scritti sul dispositivo o che vengono modificati.
Nota: Si consiglia di disabilitare Watch for New Files sui dispositivi ad alto traffico (come file o server applicazioni), in quanto ciò potrebbe causare aumenti imprevisti della latenza del disco poiché ogni file dovrebbe essere analizzato mentre viene scritto su disco. Questa condizione è mitigata per impostazione predefinita, in quanto tutti i file PE vengono analizzati durante il tentativo di esecuzione. La condizione può essere ulteriormente mitigata abilitando e impostando Background Threat Detection su Run Recurring.
|
| Set Maximum Archive File Size to Scan |
150 |
Configura la dimensione massima dell'archivio decompresso che è possibile analizzare. La dimensione è in megabyte. |
| Protection Settings | ||
| Enable Exclude Specific Folders (includes subfolders) | Enabled | In questo modo è possibile definire le cartelle in File Watcher e Controllo esecuzione in base alla policy e Consentire l'esecuzione dei file nelle cartelle escluse non monitorate. |
| Exclude Specific Folders (includes subfolders) | -vuoto- | Definisce un elenco di cartelle in File Watcher che non vengono monitorate. La policy Consenti esecuzione dei file nelle cartelle di esclusione impedisce la quarantena di tutti i file eseguiti da queste directory. Questa policy impedisce la scansione di queste directory in base a Watch for New Files o Background Threat Detection. Tutte le esclusioni aggiunte devono essere specificate indicando il percorso assoluto del file eseguibile (includere la lettera dell'unità dal percorso). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Application Control | ||
| Application Control | Disabled | In questo modo è possibile limitare le modifiche basate sulle applicazioni sul dispositivo, non è possibile aggiungere nuove applicazioni, rimuovere applicazioni e modificare o aggiornare le applicazioni. |
| Application Control Allowed Folders | -vuoto- | In questo modo viene definito un elenco di cartelle nel controllo delle applicazioni che non vengono monitorate. Tutte le esclusioni aggiunte devono essere specificate indicando il percorso assoluto del file eseguibile (includere la lettera dell'unità dal percorso). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Enable Change Window | Disabled | Se è abilitata, disabilita temporaneamente Application Control, consentendo di apportare modifiche all'ambiente. |
| Controllo mediante script | ||
| Controllo mediante script | Enabled | Consente l'utilizzo di Controllo script Script Control monitora le applicazioni e i servizi che possono eseguire azioni all'interno del sistema operativo. Queste applicazioni sono comunemente chiamate interpreti. ATP monitora questi servizi e applicazioni per gli script che tentano di essere eseguiti e, in base alle policy, segnala l'azione intrapresa o ne impedisce l'esecuzione. Queste decisioni vengono prese in base al nome dello script e al percorso relativo in cui è stato eseguito lo script. |
| Script Control Mode | Avviso | Se impostata su Block, non viene eseguito alcun elemento basato su script. È incluso qualsiasi script attivo, basato su macro o su PowerShell. Nelle versioni successive, sono separati nelle rispettive policy. Applicabile a: 1.2.1371 e build precedenti di ESSE |
| Script attivo | Avviso | Se impostata su Block, impedisce l'esecuzione di JavaScript, VBscript, batch, Python, Perl, PHP, Ruby e molti altri script. Applicabile a: 1.2.1391 e build successive di ESSE. |
| Macro | Avviso | L'impostazione di questa policy su Alert consente l'analisi delle macro all'interno dei documenti per determinare se eseguono comandi potenzialmente malevoli. Se viene percepita una minaccia, l'impostazione Block impedisce l'esecuzione della macro. Le macro eseguite all'avvio potrebbero impedire il caricamento dell'applicazione. Applicabile a: 1.2.1391 e build successive di ESSE. |
| Powershell | Avviso | Se impostata su Block, impedisce l'esecuzione di script basati su PowerShell nell'ambiente. Applicabile a: 1.2.1391 e build successive di ESSE. |
| Powershell Console | Allow | Se impostata su Block, impedisce l'avvio della console PowerShell V3 e di ISE. Applicabile a: 1.2.1391 e build successive di ESSE. |
| Enable Approve Scripts in Folders (and Subfolders) | Enabled | In questo modo è possibile escludere le posizioni in Controllo script dall'analisi. |
| Approve Scripts in Folders (and Subfolders) | -vuoto- | Questa sezione descrive in dettaglio le cartelle non monitorate in Script Control.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Global Allow | -vuoto- | Questa policy sfrutta la modalità Disconnected per ESSE. Consente ai clienti di avere un ambiente completamente separato da Internet. Questa policy determina percorsi di minaccia e certificati specifici che devono essere consentiti all'interno dell'ambiente. |
| Quarantine List | -vuoto- | Questa policy sfrutta la modalità Disconnected per ESSE. Consente ai clienti di avere un ambiente completamente separato da Internet. Si tratta di un elenco definito di hash non validi noti che vengono automaticamente messi in quarantena quando rilevati dall'agent. |
| Safe List | -vuoto- | Questa policy sfrutta la modalità Disconnected per ESSE. Consente ai clienti di avere un ambiente completamente separato da Internet. Questa policy determina hash di minaccia specifici che devono essere consentiti all'interno dell'ambiente. |
| Impostazioni agent | ||
| Suppress Popup Notifications | Enabled | In questo modo si abilita o si disabilita la possibilità per ESSE di visualizzare una finestra di dialogo del tostapane. |
| Minimum Popup Notification Level | Alto | Definisce ciò che viene notificato all'utente finale se la policy Elimina notifiche popup è disabilitata. Alto
Medio
Basso
|
| Enable BIOS Assurance | Enabled | Esegue i controlli di integrità del BIOS sui computer Dell supportati (computer di livello enterprise 2016 e successivi) |
| Enable Auto-upload of Log Files | Enabled | In questo modo, gli agenti possono caricare automaticamente i file di registro per il plug-in ATP nel cloud ogni giorno a mezzanotte o a 100 MB, a seconda dell'evento che si verifica per primo. |
| Valore della policy | Valore consigliato | Policy Description |
|---|---|---|
| Advanced Threat Prevention (Primary Switch) |
Acceso |
Il valore di questa policy determina se i client possono utilizzare policy per Advanced Threat Prevention. In questo modo vengono abilitati anche i valori File Actions ed Execution Control, che non è possibile disabilitare. Execution Control include Background Threat Detection e File Watcher. Questo modulo all'interno di ATP analizza e astrae le intenzioni di un file eseguibile di tipo Portable Executable (PE) in base alle azioni e al comportamento previsti. Tutti i file rilevati da Controllo esecuzione, BTD e File Watcher vengono elaborati in base alle policy correlate alla quarantena automatica. Queste azioni vengono eseguite in base alla posizione del percorso assoluto del file PE. |
| File Actions: |
|
|
| Unsafe Executable Auto Quarantine With Executable Control Enabled |
Enabled | Determina se i file considerati una grave minaccia vengano messi automaticamente in quarantena. |
| Unsafe Executable Auto Upload Enabled |
Enabled |
Determina l'eventuale upload delle minacce gravi nel cloud per eseguire un secondo controllo. |
| Abnormal Executable Auto Quarantine With Executable Control Enabled |
Enabled |
Determina se i file considerati una potenziale minaccia vengono automaticamente messi in quarantena. |
| Abnormal Executable Auto Upload Enabled |
Enabled |
Determina l'eventuale upload delle minacce potenziali nel cloud per eseguire un secondo controllo. |
| Allow Execution of Files in Exclude Folders |
Enabled |
Si applica alla policy Exclude Specific Folders all'interno del gruppo di policy Protection Settings. Ciò consente l'esecuzione degli eseguibili all'interno delle cartelle Excluded anche se vengono messi automaticamente in quarantena. |
| Auto Delete |
Enabled |
In questo modo viene abilitato il timer sul criterio giorni fino all'eliminazione; questo vale anche per gli elementi in quarantena. Una volta trascorsi i giorni fino all'eliminazione, tutte le minacce all'interno di una cartella dei quarantena vengono rimosse automaticamente se questo criterio è abilitato. |
| Days until Deleted |
14 |
Determina il numero di giorni, per minaccia, in cui un elemento rimane nella cartella in quarantena locale. |
| Memory Actions |
||
| Memory Protection Enabled |
Enabled |
Ciò abilita la funzionalità di protezione della memoria; il modulo di protezione della memoria analizza e interpreta le intenzioni delle applicazioni in esecuzione monitorando le interazioni tra le applicazioni e il sistema operativo in memoria. |
| Enable Exclude executable files |
Enabled |
Ciò consente di escludere eseguibili specifici da Protezione della memoria. |
| Exclude executable files |
Varia in base all'ambiente |
Tutte le esclusioni aggiunte devono essere specificate indicando il percorso del file eseguibile (escludere la lettera dell'unità dal percorso). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Exploitation: Stack Pivot |
Terminate |
Lo stack per un thread è stato sostituito con un altro. In genere, il computer alloca solo un singolo stack per un thread. Un utente malintenzionato utilizza uno stack diverso per controllare l'esecuzione in un modo che Data Execution Prevention (DEP) non può bloccare. Applicabile a: Windows, Mac |
| Exploitation: Stack Protect |
Terminate |
La protezione della memoria dello stack di un thread è stata modificata per abilitare l'autorizzazione all'esecuzione. La memoria dello stack non deve essere eseguibile, quindi in genere questo significa che un utente malintenzionato sta per eseguire un codice dannoso archiviato nella memoria dello stack come parte di un exploit, un tentativo che altrimenti non verrebbe bloccato da Data Execution Prevention (DEP). Applicabile a: Windows, Mac |
| Exploitation: Overwrite Code |
Terminate |
Il codice presente nella memoria di un processo è stato modificato utilizzando una tecnica che potrebbe indicare un tentativo di ignorare Data Execution Prevention (DEP). Applicabile a: Windows |
| Exploitation: Scanner Memory Search |
Terminate |
Un processo tenta di leggere dati validi di una striscia magnetica da un altro processo, in genere correlato ai computer POS (Point-of-Sale). Applicabile a: Windows |
| Exploitation: Malicious Payload |
Terminate |
È stato rilevato un rilevamento generico di shellcode e payload associato all'exploit. Applicabile a: Windows |
| Process Injection: Remote Allocation of Memory |
Terminate |
Un processo ha allocato memoria in un altro. La maggior parte delle allocazioni avviene solo all'interno dello stesso processo. In genere, indica un tentativo di inserire codice o dati in un altro processo, il che potrebbe rappresentare un primo passo per il rafforzamento di una presenza dannosa su un computer. Applicabile a: Windows, Mac |
| Process Injection: Remote Mapping of Memory |
Terminate |
Un processo ha introdotto codice o dati in un altro. Potrebbe indicare un tentativo di avviare l'esecuzione del codice in un altro processo e il rafforzamento di una presenza dannosa. Applicabile a: Windows, Mac |
| Process Injection: Remote Write to Memory |
Terminate |
Un processo ha modificato la memoria in un altro. In genere si tratta di un tentativo di archiviare codice o dati in una memoria precedentemente allocata (vedere OutOfProcessAllocation), ma è possibile che un utente malintenzionato stia tentando di sovrascrivere la memoria esistente al fine di destinare l'esecuzione a uno scopo dannoso. Applicabile a: Windows, Mac |
| Process Injection: Remote Write PE to Memory |
Terminate |
Un processo ha modificato la memoria in un altro, in modo da contenere un'immagine eseguibile. In genere indica che un utente malintenzionato sta tentando di eseguire codice senza prima scriverlo su disco. Applicabile a: Windows, Mac |
| Process Injection: Remote Overwrite Code |
Terminate |
Un processo ha modificato la memoria eseguibile in un altro. In condizioni normali, la memoria eseguibile non viene modificata, in particolare da un altro processo. In genere, indica un tentativo di modificare lo scopo dell'esecuzione in un altro processo. Applicabile a: Windows, Mac |
| Process Injection: Remote Unmap of Memory |
Terminate |
Un processo ha rimosso un eseguibile Windows dalla memoria di un altro. Potrebbe indicare l'intenzione di sostituire l'immagine dell'eseguibile con una copia modificata per modificare lo scopo dell'esecuzione. Applicabile a: Windows, Mac |
| Process Injection: Remote Thread Creation |
Terminate |
Un processo ha creato un thread in un altro. Un utente malintenzionato utilizza questa policy per attivare una presenza dannosa inserita in un altro processo. Applicabile a: Windows, Mac |
| Process Injection: Remote APC Scheduled |
Terminate |
Un processo ha modificato l'esecuzione del thread di un altro. Un utente malintenzionato utilizza questa policy per attivare una presenza dannosa inserita in un altro processo. Applicabile a: Windows |
| Process Injection: DYLD Injection (Mac OS X only) |
Terminate |
È stata impostata una variabile di ambiente per cui una libreria condivisa viene inserita in un processo avviato. Gli attacchi possono modificare l'elenco di proprietà (plist) di applicazioni come Safari o sostituire le applicazioni con script bash che causano il caricamento automatico dei relativi moduli all'avvio di un'applicazione. Applicabile a: Mac |
| Escalation: LSASS Read |
Terminate |
È stato effettuato l'accesso a una memoria appartenente al Processo autorità protezione locale di Windows in un modo che indica un tentativo di ottenere le password degli utenti. Applicabile a: Windows |
| Escalation: Zero Allocate |
Terminate |
È stata allocata una pagina null. L'area di memoria è in genere riservata, ma in alcune circostanze può essere allocata. Gli attacchi possono utilizzare questa policy per configurare l'escalation dei privilegi sfruttando alcuni exploit di dereferenziazione null noti, in genere nel kernel. Applicabile a: Windows, Mac |
| Execution Control |
||
| Prevent Service Shutdown from Device |
Enabled |
Se abilitata, impedisce di arrestare il servizio ATP, anche come computer, e inoltre la disinstallazione dell'applicazione. |
| Kill Unsafe Running Process and Sub-Processes |
Enabled |
L'abilitazione di questa funzione consente il rilevamento e l'interruzione di qualsiasi minaccia basata sulla memoria che genera sottoprocessi. |
| Background Threat Detection |
Esegui una volta |
Determina se sul dispositivo viene eseguita una scansione dei file esistenti. Può essere impostato su Disabilitato, Esegui una volta o Esegui ricorrente. Se la policy Watch For New Files è abilitata, si consiglia di impostare Background Threat Detection su Run Once. È necessario controllare i file esistenti una sola volta se si controllano anche i file nuovi e aggiornati. |
| Watch For New Files |
Enabled |
L'impostazione di questa policy su Enabled consente il rilevamento e l'analisi di tutti i file appena scritti sul dispositivo o che vengono modificati.
Nota: Si consiglia di disabilitare Watch for New Files sui dispositivi ad alto traffico (come file o server applicazioni), in quanto ciò potrebbe causare aumenti imprevisti della latenza del disco poiché ogni file dovrebbe essere analizzato mentre viene scritto su disco. Questa condizione è mitigata per impostazione predefinita, in quanto tutti i file PE vengono analizzati durante il tentativo di esecuzione. La condizione può essere ulteriormente mitigata abilitando e impostando Background Threat Detection su Run Recurring.
|
| Set Maximum Archive File Size to Scan |
150 |
Configura la dimensione massima dell'archivio decompresso che è possibile analizzare. La dimensione è in megabyte. |
| Protection Settings | ||
| Enable Exclude Specific Folders (includes subfolders) | Enabled | In questo modo è possibile definire le cartelle in File Watcher ed Execution Control in base alla policy Allow Execution of Files in Exclude Folders that are not monitored. |
| Exclude Specific Folders (includes subfolders) | Varia in base all'ambiente | In questo modo viene definito un elenco di cartelle in File Watcher che non vengono monitorate. Questo criterio Consenti esecuzione file nelle cartelle di esclusione impedisce la messa in quarantena di tutti i file eseguiti da queste directory. Questa policy impedisce la scansione di queste directory in base a Watch for New Files o Background Threat Detection. Tutte le esclusioni aggiunte devono essere specificate indicando il percorso assoluto del file eseguibile (includere la lettera dell'unità dal percorso). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Application Control | ||
| Application Control | Disabled | In questo modo è possibile limitare le modifiche basate sulle applicazioni sul dispositivo. Non è possibile aggiungere nuove applicazioni, rimuovere applicazioni e modificare o aggiornare le applicazioni. |
| Application Control Allowed Folders | -vuoto- | In questo modo viene definito un elenco di cartelle nel controllo delle applicazioni che non vengono monitorate. Tutte le esclusioni aggiunte devono essere specificate indicando il percorso assoluto del file eseguibile (includere la lettera dell'unità dal percorso). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Enable Change Window | Disabled | Se è abilitata, disabilita temporaneamente Application Control, consentendo di apportare modifiche all'ambiente. |
| Controllo mediante script | ||
| Controllo mediante script | Enabled | Consente l'utilizzo di Controllo script Script Control monitora le applicazioni e i servizi che possono eseguire azioni all'interno del sistema operativo. Queste applicazioni sono comunemente chiamate interpreti. ATP monitora questi servizi e applicazioni per gli script che tentano di essere eseguiti e, in base alle policy, segnala l'azione intrapresa o ne impedisce l'esecuzione. Queste decisioni vengono prese in base al nome dello script e al percorso relativo da cui è stato eseguito lo script. |
| Script Control Mode | Blocco | Se impostata su Block, non viene eseguito alcun elemento basato su script. È incluso qualsiasi script attivo, basato su macro o su PowerShell. Nelle versioni successive, sono separati nelle rispettive policy. Applicabile a: 1.2.1371 e build precedenti di ESSE |
| Script attivo | Blocco | Se impostata su Block, impedisce l'esecuzione di JavaScript, VBscript, batch, Python, Perl, PHP, Ruby e molti altri script. Applicabile a: 1.2.1391 e build successive di ESSE. |
| Macro | Blocco | L'impostazione di questa policy su Alert consente l'analisi delle macro all'interno dei documenti per determinare se eseguono comandi potenzialmente malevoli. Se viene percepita una minaccia, l'impostazione "Block" impedisce l'esecuzione della macro. Le macro eseguite all'avvio potrebbero impedire il caricamento dell'applicazione. Applicabile a: 1.2.1391 e build successive di ESSE. |
| Powershell | Blocco | Se impostata su Block, impedisce l'esecuzione di script basati su PowerShell nell'ambiente. Applicabile a: 1.2.1391 e build successive di ESSE. |
| Powershell Console | Allow | Se impostata su Block, impedisce l'avvio della console PowerShell V3 e di ISE. Applicabile a: 1.2.1391 e build successive di ESSE. |
| Enable Approve Scripts in Folders (and Subfolders) | Enabled | In questo modo è possibile escludere posizioni da Script Control dall'analisi. |
| Approve Scripts in Folders (and Subfolders) | Varia in base all'ambiente | Questa sezione descrive in dettaglio le cartelle non monitorate in Script Control.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Global Allow | Varia in base all'ambiente | Questa policy sfrutta la modalità Disconnected per ESSE. Consente ai clienti di avere un ambiente completamente separato da Internet. Questa policy determina percorsi di minaccia e certificati specifici che devono essere consentiti all'interno dell'ambiente. |
| Quarantine List | Varia in base all'ambiente | Questa policy sfrutta la modalità Disconnected per ESSE. Consente ai clienti di avere un ambiente completamente separato da Internet. Si tratta di un elenco definito di hash non validi noti che vengono automaticamente messi in quarantena quando rilevati dall'agent. |
| Safe List | Varia in base all'ambiente | Questa policy sfrutta la modalità Disconnected per ESSE. Consente ai clienti di avere un ambiente completamente separato da Internet. Questa policy determina hash di minaccia specifici che devono essere consentiti all'interno dell'ambiente. |
| Impostazioni agent | ||
| Suppress Popup Notifications | Disabled | In questo modo si abilita o si disabilita la possibilità per ESSE di visualizzare una finestra di dialogo del tostapane. |
| Minimum Popup Notification Level | Alto | Definisce ciò che viene notificato all'utente finale se la policy Suppress Popup Notifications è disabilitata. Alto
Medio
Basso
|
| Enable BIOS Assurance | Enabled | Esegue i controlli di integrità del BIOS sui computer Dell supportati (computer di livello enterprise 2016 e successivi) |
| Enable Auto-upload of Log Files | Enabled | In questo modo, gli agenti possono caricare automaticamente i file di registro per il plug-in ATP nel cloud ogni giorno a mezzanotte o a 100 MB, a seconda dell'evento che si verifica per primo. |
| Enable Standard UI | Enabled | In questo modo si abilita un'opzione aggiuntiva utilizzando Dell Data Security Console su un endpoint. Consente agli utenti locali di visualizzare le minacce, gli eventi di memoria o gli script rilevati sull'endpoint locale. Questa opzione è disponibile nel menu visualizzabile cliccando con il pulsante destro del mouse sull'endpoint o utilizzando l'ingranaggio delle impostazioni all'interno di Dell Data Security Console in un'opzione denominata Advanced Threat Prevention. Una volta selezionata questa opzione, sono disponibili ulteriori interruttori che mostrano o nascondono le minacce, gli eventi di memoria o gli script rilevati sul computer. Questa policy richiede Dell Encryption Management Agent 8.18.0 o versione successiva. |
Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.
Dell Endpoint Security Suite Enterprise
04 Mar 2024
10
Solution