Article Number: 000126118
Nie dotyczy
Domyślnie najpierw zaleca się uruchomienie programu Advanced Threat Prevention (ATP) w trybie uczenia. Wszystkie informacje o zagrożeniach są gromadzone w celu zapewnienia administratorom elastyczności w zarządzaniu zagrożeniami i potencjalnie niepożądanymi programami w ich środowisku oraz umożliwienia tworzenia kluczowych aplikacji o znaczeniu krytycznym.
Aby uzyskać więcej informacji na temat modyfikowania zasad w rozwiązaniu Dell Endpoint Security Suite Enterprise, zapoznaj się z tematem Modyfikowanie zasad na serwerze Dell Data Protection Server.
Aby uzyskać więcej informacji i reguły dotyczące tworzenia wykluczeń w rozwiązaniu Dell Endpoint Security Suite Enterprise, zapoznaj się z artykułem Dodawanie wykluczeń w rozwiązaniu Dell Endpoint Security Suite Enterprise.
| Wartość zasad | Wartość sugerowana | Opis zasad |
|---|---|---|
| Advanced Threat Prevention (przełączanie główne) |
Włączone |
Ta wartość zasad określa, czy klienci mogą korzystać z zasad dla Advanced Threat Prevention. Włącza również funkcje działania plików i kontroli wykonania, których nie można wyłączyć. Kontrola wykonania obejmuje wykrywanie zagrożeń w tle i funkcję File Watcher. Ten moduł w ATP analizuje i streszcza zamiary przenośnego pliku wykonywalnego w oparciu o jego zamierzone działania i zachowanie. Wszystkie pliki wykryte przez funkcję kontroli wykonania i razem z BTD i funkcją File Watcher są przetwarzane na podstawie zasad, które korelują z automatyczną kwarantanną. Czynności te są wykonywane na podstawie lokalizacji ścieżki bezwzględnej przenośnego pliku wykonywalnego. |
| Operacje na plikach: |
|
|
| Automatyczna kwarantanna niebezpiecznych plików wykonywalnych przy włączonej kontroli plików wykonywalnych |
Disabled | Określa to, czy pliki uznane za poważne zagrożenie są automatycznie poddawane kwarantannie. |
| Włączone automatyczne przesyłanie niebezpiecznych plików wykonywalnych |
Enabled |
Określa, czy do chmury są przesyłane poważne zagrożenia w celu przeprowadzenia dodatkowej kontroli tych zagrożeń. |
| Automatyczna kwarantanna nietypowych plików wykonywalnych przy włączonej kontroli plików wykonywalnych |
Disabled |
Określa to, czy pliki uważane za potencjalne zagrożenie są automatycznie poddawane kwarantannie. |
| Funkcja automatycznego przesyłania nietypowego pliku wykonywalnego włączona |
Enabled |
Określa, czy do chmury są przesyłane potencjalne zagrożenia w celu przeprowadzenia dodatkowej kontroli tych zagrożeń. |
| Zezwalaj na wykonywanie plików w wykluczonych folderach |
Enabled |
Dotyczy to wykluczania określonych folderów zasad w grupie zasad ustawień ochrony. Dzięki temu pliki wykonywalne w wykluczonych folderach mogą być uruchamiane, nawet jeśli zostaną automatycznie poddane kwarantannie. |
| Automatyczne usuwanie |
Disabled |
Spowoduje to włączenie licznika czasu dla zasady Dni do usunięcia. Dotyczy to elementów poddanych kwarantannie, po upływie dni do usunięcia wszelkie zagrożenia w folderze kwarantanny są automatycznie usuwane, jeśli ta zasada jest włączona. |
| Dni do usunięcia |
14 |
Określa to liczbę dni dla każdego zagrożenia, przez którą element pozostaje w folderze kwarantanny lokalnej. |
| Działania pamięci |
||
| Ochrona pamięci włączona |
Enabled |
Umożliwia to korzystanie z funkcji ochrony pamięci Moduł ochrony pamięci analizuje i interpretuje intencje uruchamiania aplikacji, monitorując interakcje między aplikacjami a systemem operacyjnym w pamięci. |
| Włączenie wykluczenia plików wykonywalnych |
Enabled |
Pozwala to na wykluczenie określonych plików wykonywalnych z ochrony pamięci. |
| Wykluczenie plików wykonywalnych |
Puste |
Wszystkie dodane wykluczenia muszą być określone za pomocą ścieżki względnej danego pliku wykonywalnego (usuń literę dysku ze ścieżki). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Wykorzystania luk: Obracanie stosu |
Alert |
Stos dla wątku został zastąpiony innym stosem. Ogólnie komputer przydziela jeden stos dla wątku. Osoba atakująca użyje innego stosu do kontrolowania wykonania w taki sposób, którego zapobieganie wykonywaniu danych nie może blokować. Dotyczy: Windows, Mac |
| Wykorzystania luk: Ochrona stosu |
Alert |
Ochrona pamięci stosu wątku została zmodyfikowana w celu włączenia uprawnień wykonywania. Pamięć stosu nie powinna być wykonywalna, dlatego zazwyczaj oznacza to, że osoba atakująca przygotowuje się do uruchomienia złośliwego kodu przechowywanego w pamięci stosu w ramach programu wykorzystującego luki. W przeciwnym razie zapobieganie wykonywaniu danych zablokowałoby tę próbę. Dotyczy: Windows, Mac |
| Wykorzystania luk: Nadpisywanie kodu |
Alert |
Kod umieszczony w pamięci procesu został zmodyfikowany przy użyciu techniki, która może wskazywać na próbę pominięcia zapobiegania wykonywaniu danych. Dotyczy: Windows |
| Wykorzystania luk: Wyszukiwanie pamięci skanera |
Alert |
Proces próbuje odczytać prawidłowe dane ścieżki magnetycznej z innego procesu. Zazwyczaj związane z komputerami w punktach sprzedaży (POS) Dotyczy: Windows |
| Wykorzystania luk: Szkodliwe obciążenie |
Alert |
Proces próbuje odczytać prawidłowe dane ścieżki magnetycznej z innego procesu. Zazwyczaj związane z komputerami w punktach sprzedaży (POS) Dotyczy: Windows |
| Wykorzystania luk: Szkodliwe obciążenie |
Alert |
Wykryto ogólny kod powłoki i obciążenie związane z wykorzystywaniem. Dotyczy: Windows |
| Wstrzykiwanie procesu: Zdalna alokacja pamięci |
Alert |
Proces przydzielił pamięć w innym procesie. Większość alokacji występuje tylko w ramach tego samego procesu. Zazwyczaj oznacza to próbę wprowadzenia kodu lub danych do innego procesu, co może być pierwszym krokiem wzmacniania złośliwej obecności na komputerze. Dotyczy: Windows, Mac |
| Wstrzykiwanie procesu: Zdalne mapowanie pamięci |
Alert |
Proces wprowadził kod lub dane do innego procesu. Może to oznaczać próbę uruchomienia kodu w innym procesie i wzmocnienia złośliwej obecności. Dotyczy: Windows, Mac |
| Wstrzykiwanie procesu: Zdalny zapis do pamięci |
Alert |
Proces zmodyfikuje pamięć w innym procesie. Jest to zazwyczaj próba przechowywania kodu lub danych we wcześniej przydzielonej pamięci (patrz OutofProcessAllocation), ale możliwe jest, że osoba atakująca próbuje nadpisać istniejącą pamięć w celu przekierowania wykonania w złośliwym celu. Dotyczy: Windows, Mac |
| Wstrzykiwanie procesu: Zdalny zapis PE do pamięci |
Alert |
Proces zmodyfikuje pamięć w innym procesie, aby zawrzeć obraz wykonywalny. Ogólnie oznacza to, że osoba atakująca próbuje uruchomić kod bez uprzedniego zapisania tego kodu na dysku. Dotyczy: Windows, Mac |
| Wstrzykiwanie procesu: Kod nadpisania zdalnego |
Alert |
Proces zmodyfikował pamięć wykonywalną w innym procesie. W normalnych warunkach pamięć wykonywalna nie jest modyfikowana, zwłaszcza przez inny proces. Zazwyczaj oznacza to próbę przekierowania wykonania w innym procesie. Dotyczy: Windows, Mac |
| Wstrzykiwanie procesu: Zdalne usuwanie mapowania pamięci |
Alert |
Proces usunął plik wykonywalny systemu Windows z pamięci innego procesu. Może to oznaczać zamiar zastąpienia obrazu wykonywalnego zmodyfikowaną kopią w celu przekierowania wykonania. Dotyczy: Windows, Mac |
| Wstrzykiwanie procesu: Tworzenie wątku zdalnego |
Alert |
Proces utworzył wątek w innym procesie. Osoba atakująca używa tej opcji, aby aktywować złośliwą obecność, która została wprowadzona do innego procesu. Dotyczy: Windows, Mac |
| Wstrzykiwanie procesu: Zaplanowano zdalne APC |
Alert |
Proces przekierował wykonanie wątku innego procesu. Osoba atakująca używa tej opcji, aby aktywować złośliwą obecność, która została wprowadzona do innego procesu. Dotyczy: Windows |
| Wstrzykiwanie procesu: Iniekcja DYLD (tylko system Mac OS X) |
Alert |
Ustawiono zmienną środowiskową, która powoduje wprowadzenie współdzielonej biblioteki do uruchomionego procesu. Ataki mogą zmodyfikować listę aplikacji, takich jak Safari, lub zastąpić aplikacje skryptami bash, które powodują automatyczne ładowanie modułów podczas uruchamiania aplikacji. Dotyczy: Mac |
| Eskalacja: Odczyt LSASS |
Alert |
Dostęp do pamięci należącej do urzędu zabezpieczeń lokalnych systemu Windows był uzyskiwany w sposób, który oznacza próbę uzyskania haseł użytkowników. Dotyczy: Windows |
| Eskalacja: Alokacja zero |
Alert |
Przydzielono stronę zerową. Region pamięci jest zazwyczaj zarezerwowany, ale w pewnych okolicznościach można go przydzielić. Ataki mogą korzystać z tej funkcji w celu skonfigurowania eskalacji uprawnień poprzez wykorzystanie niektórych znanych programów wykorzystujących luki zerowych odwołań, zazwyczaj w jądrze. Dotyczy: Windows, Mac |
| Kontrola wykonania |
||
| Zapobiegaj zamknięciu usługi z urządzenia |
Disabled |
Gdy ta opcja jest włączona, uniemożliwia zatrzymanie usługi ATP. Zapobiega to również odinstalowaniu aplikacji. |
| Zamykaj niebezpieczne uruchomione procesy i procesy podrzędne |
Disabled |
Włączenie tej funkcji umożliwia wykrywanie i rozwiązywanie wszelkich zagrożeń opartych na pamięci, które tworzą procesy podrzędne. |
| Wykrywanie zagrożeń w tle |
Uruchom jednorazowo |
Pozwala to ustalić, czy na urządzeniu uruchomiono skanowanie istniejących plików. Można ustawić wartość Wyłączone, Uruchom raz lub Uruchom cyklicznie. Jeśli funkcja Obserwuj nowe pliki jest włączona, zaleca się skonfigurowanie jednorazowego uruchomienia funkcji wykrywania zagrożeń w tle. Istniejące pliki należy sprawdzić jeden raz tylko wtedy, gdy obserwujesz także nowe i zaktualizowane pliki. |
| Obserwuj nowe pliki |
Enabled |
Włączenie tej opcji umożliwia wykrywanie i analizę plików nowo zapisanych na urządzeniu lub zmienionych.
Uwaga: Zaleca się wyłączenie funkcji Obserwuj nowe pliki na urządzeniach o dużym natężeniu ruchu (takich jak pliki lub serwery aplikacji), ponieważ może to spowodować nieoczekiwany wzrost opóźnień dysku, ponieważ każdy plik musiałby być analizowany podczas zapisywania na dysku. Jest domyślnie ograniczona, ponieważ wszelkie przenośne pliki wykonywalne, które próbują się uruchomić, są analizowane podczas próby uruchomienia. Można ją jeszcze bardziej ograniczyć, włączając i ustawiając opcję Wykrywanie zagrożeń w tle na cykliczne uruchamianie.
|
| Ustaw maksymalny rozmiar pliku archiwum do skanowania |
150 |
Konfiguruje maksymalny rozmiar zdekompresowanego archiwum, które może być analizowane Rozmiar jest w megabajtach. |
| Ustawienia ochrony | ||
| Włącz opcję Wykluczanie określonych folderów (obejmuje podfoldery) | Enabled | Umożliwia to definiowanie folderów w Kontroli plików i Kontroli wykonywania w oparciu o zasady oraz Zezwalanie na wykonywanie plików w Wykluczonych folderach , które nie są monitorowane. |
| Wykluczanie określonych folderów (obejmuje podfoldery) | -Pusty- | Definiuje listę folderów w Kontroli plików, które nie są monitorowane, zasada Zezwalaj na wykonywanie plików w Wykluczonych folderach zapobiega kwarantannie wszystkich plików uruchamianych z tych katalogów. Ta zasada uniemożliwia skanowanie tych katalogów za pomocą funkcji Obserwuj nowe pliki lub Wykrywanie zagrożeń w tle. Wszystkie dodane wykluczenia muszą być określone za pomocą ścieżki bezwzględnej danego pliku wykonywalnego (zawrzyj literę dysku ze ścieżki). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Kontrola aplikacji | ||
| Kontrola aplikacji | Disabled | Umożliwia to ograniczenie zmian opartych na aplikacjach na urządzeniu, nie można dodawać nowych aplikacji, nie można usuwać aplikacji ani modyfikować ani aktualizować żadnych aplikacji. |
| Dozwolone foldery kontroli aplikacji | -Pusty- | Definiuje listę folderów w funkcji kontroli aplikacji, które nie są monitorowane. Wszystkie dodane wykluczenia muszą być określone za pomocą ścieżki bezwzględnej danego pliku wykonywalnego (zawrzyj literę dysku ze ścieżki). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Włącz okno zmiany | Disabled | Kiedy ta opcja jest włączona, tymczasowo wyłącza funkcję kontroli aplikacji, pozwalając na modyfikacje w środowisku. |
| Kontrola skryptu | ||
| Kontrola skryptu | Enabled | Umożliwia korzystanie z funkcji kontroli skryptów Funkcja kontroli skryptu monitoruje aplikacje i usługi, które mogą uruchamiać działania w systemie operacyjnym. Aplikacje te są powszechnie nazywane interpreterami. ATP monitoruje te aplikacje i usługi dla wszelkich skryptów, które próbują się uruchomić i, na podstawie zasad, powiadamia o podjętych działaniach lub blokuje te działania. Decyzje te są podejmowane na podstawie nazwy skryptu i ścieżki względnej, w której skrypt został uruchomiony. |
| Tryb kontroli skryptów | Alert | Po ustawieniu opcji Blokuj nie są uruchamiane żadne elementy oparte na skryptach. Obejmuje dowolny aktywny skrypt, skrypt oparty na makrach lub skrypt oparty na PowerShell. W nowszych wersjach są one rozdzielane na ich własne zasady. Dotyczy: 1.2.1371 i wcześniejsze kompilacje ESSE |
| Aktywny skrypt | Alert | Po ustawieniu opcji Blokuj wyłącza możliwość uruchamiania skryptów JavaScript, VBScript, wsadowych, Python, Perl, PHP, Ruby i wielu innych. Dotyczy: 1.2.1391 i późniejsze kompilacje ESSE. |
| Makra | Alert | Ustawienie alertu umożliwia analizę makr w dokumentach w celu ustalenia, czy uruchamiają potencjalnie złośliwe polecenia. Jeśli zauważono zagrożenie, ustawienie Blokuj uniemożliwia uruchomienie makra. Makra uruchamiane przy włączeniu mogą uniemożliwić załadowanie aplikacji. Dotyczy: 1.2.1391 i późniejsze kompilacje ESSE. |
| Program PowerShell | Alert | Po ustawieniu opcji Blokuj zapobiega uruchomieniu skryptów opartych na PowerShell w środowisku. Dotyczy: 1.2.1391 i późniejsze kompilacje ESSE. |
| Konsola PowerShell | Allow | Po ustawieniu opcji Blokuj uniemożliwia uruchomienie konsoli PowerShell V3 i ISE. Dotyczy: 1.2.1391 i późniejsze kompilacje ESSE. |
| Włącz zatwierdzanie skryptów w folderach (i podfolderach) | Enabled | Umożliwia to wykluczenie lokalizacji z analizy w funkcji kontroli skryptów. |
| Zatwierdzanie skryptów w folderach (i podfolderach) | -Pusty- | W tej sekcji opisano foldery w funkcji kontroli skryptu, które nie są monitorowane.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Zezwól globalnie | -Pusty- | Zasady te są wykorzystywane przez tryb rozłączenia dla ESSE. Dzięki temu klienci mogą mieć środowisko całkowicie oddzielone od Internetu. Ta zasada określa specjalne ścieżki zagrożeń i certyfikaty, które powinny być dozwolone w środowisku. |
| Lista kwarantanny | -Pusty- | Zasady te są wykorzystywane przez tryb rozłączenia dla ESSE. Dzięki temu klienci mogą mieć środowisko całkowicie oddzielone od Internetu. Jest to zdefiniowana lista znanych złych skrótów, które są automatycznie poddawane kwarantannie w przypadku napotkania przez agenta. |
| Lista bezpiecznych plików | -Pusty- | Zasady te są wykorzystywane przez tryb rozłączenia dla ESSE. Dzięki temu klienci mogą mieć środowisko całkowicie oddzielone od Internetu. Ta zasada określa specjalne skróty zagrożeń, które powinny być dozwolone w środowisku. |
| Ustawienia agenta | ||
| Wyłącz powiadomienia wyskakujące | Enabled | Umożliwia włączanie i wyłączanie wyświetlania okna dialogowego tostera przez funkcję ESSE. |
| Minimalny poziom powiadomień wyskakujących | Wysokie | Definiuje ono, co jest powiadamiane do użytkownika końcowego, jeśli zasada Pomiń wyskakujące powiadomienia jest wyłączona. Wysokie
Średnia
Low
|
| Włącz zapewnienie bezpieczeństwa systemu BIOS | Enabled | Przeprowadzenie kontroli integralności systemu BIOS na obsługiwanych komputerach firmy Dell (komputery klasy Enterprise 2016 i nowsze) |
| Włącz automatyczne przesyłanie plików dziennika | Enabled | Umożliwia to agentom automatyczne przesyłanie plików dziennika wtyczki ATP do chmury każdego dnia o północy lub przy 100 MB, w zależności od tego, co nastąpi wcześniej. |
| Wartość zasad | Wartość sugerowana | Opis zasad |
|---|---|---|
| Advanced Threat Prevention (przełączanie główne) |
Włączone |
Ta wartość zasad określa, czy klienci mogą korzystać z zasad dla Advanced Threat Prevention. Włącza również funkcje działania plików i kontroli wykonania, których nie można wyłączyć. Kontrola wykonania obejmuje wykrywanie zagrożeń w tle i funkcję File Watcher. Ten moduł w ATP analizuje i streszcza zamiary przenośnego pliku wykonywalnego w oparciu o jego zamierzone działania i zachowanie. Wszystkie pliki wykryte przez funkcję Execution Control oraz BTD i File Watcher są przetwarzane na podstawie zasad skorelowanych z automatyczną kwarantanną. Czynności te są wykonywane na podstawie lokalizacji ścieżki bezwzględnej przenośnego pliku wykonywalnego. |
| Operacje na plikach: |
|
|
| Automatyczna kwarantanna niebezpiecznych plików wykonywalnych przy włączonej kontroli plików wykonywalnych |
Enabled | Określa to, czy pliki uznane za poważne zagrożenie są automatycznie poddawane kwarantannie. |
| Włączone automatyczne przesyłanie niebezpiecznych plików wykonywalnych |
Enabled |
Określa, czy do chmury są przesyłane poważne zagrożenia w celu przeprowadzenia dodatkowej kontroli tych zagrożeń. |
| Automatyczna kwarantanna nietypowych plików wykonywalnych przy włączonej kontroli plików wykonywalnych |
Enabled |
Określa to, czy pliki uważane za potencjalne zagrożenie są automatycznie poddawane kwarantannie. |
| Funkcja automatycznego przesyłania nietypowego pliku wykonywalnego włączona |
Enabled |
Określa, czy do chmury są przesyłane potencjalne zagrożenia w celu przeprowadzenia dodatkowej kontroli tych zagrożeń. |
| Zezwalaj na wykonywanie plików w wykluczonych folderach |
Enabled |
Dotyczy to wykluczania określonych folderów zasad w grupie zasad ustawień ochrony. Dzięki temu pliki wykonywalne w wykluczonych folderach mogą być uruchamiane, nawet jeśli zostaną automatycznie poddane kwarantannie. |
| Automatyczne usuwanie |
Enabled |
Powoduje to włączenie licznika czasu w zasadach dotyczących dni do usunięcia, dotyczy to również elementów poddanych kwarantannie. Po upływie dni do usunięcia wszystkie zagrożenia w folderze kwarantanny są automatycznie usuwane, jeśli ta zasada jest włączona. |
| Dni do usunięcia |
14 |
Określa liczbę dni na zagrożenie, dla których element pozostaje w folderze kwarantanny lokalnej. |
| Działania pamięci |
||
| Ochrona pamięci włączona |
Enabled |
Włącza to funkcję ochrony pamięci, moduł ochrony pamięci analizuje i interpretuje intencje uruchamiania aplikacji, monitorując interakcje między aplikacjami a systemem operacyjnym w pamięci. |
| Włączenie wykluczenia plików wykonywalnych |
Enabled |
Pozwala to na wykluczenie określonych plików wykonywalnych z ochrony pamięci. |
| Wykluczenie plików wykonywalnych |
Różni się w zależności od środowiska |
Wszystkie dodane wykluczenia muszą być określone za pomocą ścieżki względnej danego pliku wykonywalnego (usuń literę dysku ze ścieżki). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Wykorzystania luk: Obracanie stosu |
Zakończ |
Stos dla wątku został zastąpiony innym stosem. Ogólnie komputer przydziela tylko jeden stos dla wątku. Osoba atakująca użyje innego stosu do kontrolowania wykonania w taki sposób, którego zapobieganie wykonywaniu danych nie blokuje. Dotyczy: Windows, Mac |
| Wykorzystania luk: Ochrona stosu |
Zakończ |
Ochrona pamięci stosu wątku została zmodyfikowana w celu włączenia uprawnień wykonywania. Pamięć stosu nie powinna być wykonywalna, dlatego zazwyczaj oznacza to, że osoba atakująca przygotowuje się do uruchomienia złośliwego kodu przechowywanego w pamięci stosu w programie wykorzystującym luki. W przeciwnym razie zapobieganie wykonywaniu danych zablokowałoby tę próbę. Dotyczy: Windows, Mac |
| Wykorzystania luk: Nadpisywanie kodu |
Zakończ |
Kod umieszczony w pamięci procesu został zmodyfikowany przy użyciu techniki, która może wskazywać na próbę pominięcia zapobiegania wykonywaniu danych. Dotyczy: Windows |
| Wykorzystania luk: Wyszukiwanie pamięci skanera |
Zakończ |
Proces próbuje odczytać prawidłowe dane ścieżki magnetycznej z innego procesu, zazwyczaj dotyczy komputerów w punktach sprzedaży (POS). Dotyczy: Windows |
| Wykorzystania luk: Szkodliwe obciążenie |
Zakończ |
Wykryto ogólny kod powłoki i obciążenie związane z wykorzystywaniem. Dotyczy: Windows |
| Wstrzykiwanie procesu: Zdalna alokacja pamięci |
Zakończ |
Proces przydzielił pamięć w innym procesie. Większość alokacji występuje tylko w ramach tego samego procesu. Zazwyczaj oznacza to próbę wprowadzenia kodu lub danych do innego procesu, co może być pierwszym krokiem wzmacniania złośliwej obecności na komputerze. Dotyczy: Windows, Mac |
| Wstrzykiwanie procesu: Zdalne mapowanie pamięci |
Zakończ |
Proces wprowadził kod lub dane do innego procesu. Może to oznaczać próbę uruchomienia kodu w innym procesie i wzmocnienia złośliwej obecności. Dotyczy: Windows, Mac |
| Wstrzykiwanie procesu: Zdalny zapis do pamięci |
Zakończ |
Proces zmodyfikuje pamięć w innym procesie. Jest to zazwyczaj próba przechowywania kodu lub danych we wcześniej przydzielonej pamięci (patrz OutofProcessAllocation), ale możliwe jest, że osoba atakująca próbuje nadpisać istniejącą pamięć w celu przekierowania wykonania w złośliwym celu. Dotyczy: Windows, Mac |
| Wstrzykiwanie procesu: Zdalny zapis PE do pamięci |
Zakończ |
Proces zmodyfikuje pamięć w innym procesie, aby zawrzeć obraz wykonywalny. Zazwyczaj oznacza to, że osoba atakująca próbuje uruchomić kod bez wcześniejszego zapisania tego kodu na dysku. Dotyczy: Windows, Mac |
| Wstrzykiwanie procesu: Kod nadpisania zdalnego |
Zakończ |
Proces zmodyfikował pamięć wykonywalną w innym procesie. W normalnych warunkach pamięć wykonywalna nie jest modyfikowana, zwłaszcza przez inny proces. Zazwyczaj oznacza to próbę przekierowania wykonania w innym procesie. Dotyczy: Windows, Mac |
| Wstrzykiwanie procesu: Zdalne usuwanie mapowania pamięci |
Zakończ |
Proces usunął plik wykonywalny systemu Windows z pamięci innego procesu. Może to oznaczać zamiar zastąpienia obrazu wykonywalnego zmodyfikowaną kopią w celu przekierowania wykonania. Dotyczy: Windows, Mac |
| Wstrzykiwanie procesu: Tworzenie wątku zdalnego |
Zakończ |
Proces utworzył wątek w innym procesie. Osoba atakująca używa tej opcji, aby aktywować złośliwą obecność, która została wprowadzona do innego procesu. Dotyczy: Windows, Mac |
| Wstrzykiwanie procesu: Zaplanowano zdalne APC |
Zakończ |
Proces przekierował wykonanie wątku innego procesu. Osoba atakująca używa tej opcji, aby aktywować złośliwą obecność, która została wprowadzona do innego procesu. Dotyczy: Windows |
| Wstrzykiwanie procesu: Iniekcja DYLD (tylko system Mac OS X) |
Zakończ |
Ustawiono zmienną środowiskową, która powoduje wprowadzenie współdzielonej biblioteki do uruchomionego procesu. Ataki mogą zmodyfikować listę aplikacji, takich jak Safari, lub zastąpić aplikacje skryptami bash, które powodują automatyczne ładowanie modułów podczas uruchamiania aplikacji. Dotyczy: Mac |
| Eskalacja: Odczyt LSASS |
Zakończ |
Dostęp do pamięci należącej do urzędu zabezpieczeń lokalnych systemu Windows był uzyskiwany w sposób, który oznacza próbę uzyskania haseł użytkowników. Dotyczy: Windows |
| Eskalacja: Alokacja zero |
Zakończ |
Przydzielono stronę zerową. Region pamięci jest zazwyczaj zarezerwowany, ale w pewnych okolicznościach można go przydzielić. Ataki mogą to wykorzystać do skonfigurowania eskalacji uprawnień poprzez wykorzystanie niektórych znanych programów do wykorzystywania luk zerowych odwołań, zazwyczaj w jądrze. Dotyczy: Windows, Mac |
| Kontrola wykonania |
||
| Zapobiegaj zamknięciu usługi z urządzenia |
Enabled |
Włączenie uniemożliwia zatrzymanie usługi ATP, nawet w komputerze. Zapobiega to również odinstalowaniu aplikacji. |
| Zamykaj niebezpieczne uruchomione procesy i procesy podrzędne |
Enabled |
Włączenie tej funkcji umożliwia wykrywanie i rozwiązywanie wszelkich zagrożeń opartych na pamięci, które tworzą procesy podrzędne. |
| Wykrywanie zagrożeń w tle |
Uruchom jednorazowo |
Pozwala to ustalić, czy na urządzeniu uruchomiono skanowanie istniejących plików. Można ustawić wartość Wyłączone, Uruchom raz lub Uruchom cyklicznie. Jeśli funkcja Obserwuj nowe pliki jest włączona, zaleca się skonfigurowanie jednorazowego uruchomienia funkcji wykrywania zagrożeń w tle. Istniejące pliki należy sprawdzić jeden raz tylko wtedy, gdy obserwujesz także nowe i zaktualizowane pliki. |
| Obserwuj nowe pliki |
Enabled |
Włączenie tej opcji umożliwia wykrywanie i analizę plików nowo zapisanych na urządzeniu lub zmienionych.
Uwaga: Zaleca się wyłączenie funkcji Obserwuj nowe pliki na urządzeniach o dużym natężeniu ruchu (takich jak pliki lub serwery aplikacji), ponieważ może to spowodować nieoczekiwany wzrost opóźnień dysku, ponieważ każdy plik musiałby być analizowany podczas zapisywania na dysku. Jest domyślnie ograniczona, ponieważ wszelkie przenośne pliki wykonywalne, które próbują się uruchomić, są analizowane podczas próby uruchomienia. Można ją jeszcze bardziej ograniczyć, włączając i ustawiając opcję Wykrywanie zagrożeń w tle na cykliczne uruchamianie.
|
| Ustaw maksymalny rozmiar pliku archiwum do skanowania |
150 |
Konfiguruje maksymalny rozmiar zdekompresowanego archiwum, które może być analizowane Rozmiar jest w megabajtach. |
| Ustawienia ochrony | ||
| Włącz opcję Wykluczanie określonych folderów (obejmuje podfoldery) | Enabled | Umożliwia to definiowanie folderów w Obserwatorze plików i Kontroli wykonywania w oparciu o zasadę Zezwalaj na wykonywanie plików w wykluczonych folderach, które nie są monitorowane. |
| Wykluczanie określonych folderów (obejmuje podfoldery) | Różni się w zależności od środowiska | Definiuje listę folderów w Kontroli plików, które nie są monitorowane. Zasada zezwalania na wykonywanie plików w wykluczonych folderach uniemożliwia poddanie kwarantannie wszystkich plików uruchamianych z tych katalogów. Ta zasada uniemożliwia skanowanie tych katalogów za pomocą funkcji Obserwuj nowe pliki lub Wykrywanie zagrożeń w tle. Wszystkie dodane wykluczenia muszą być określone za pomocą ścieżki bezwzględnej danego pliku wykonywalnego (zawrzyj literę dysku ze ścieżki). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Kontrola aplikacji | ||
| Kontrola aplikacji | Disabled | Umożliwia to ograniczenie zmian na urządzeniu w oparciu o aplikacje. Nie można dodawać nowych aplikacji ani usuwać aplikacji, modyfikować ani aktualizować żadnych aplikacji. |
| Dozwolone foldery kontroli aplikacji | -Pusty- | Definiuje listę folderów w funkcji kontroli aplikacji, które nie są monitorowane. Wszystkie dodane wykluczenia muszą być określone za pomocą ścieżki bezwzględnej danego pliku wykonywalnego (zawrzyj literę dysku ze ścieżki). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Włącz okno zmiany | Disabled | Kiedy ta opcja jest włączona, tymczasowo wyłącza funkcję kontroli aplikacji, pozwalając na modyfikacje w środowisku. |
| Kontrola skryptu | ||
| Kontrola skryptu | Enabled | Umożliwia korzystanie z funkcji kontroli skryptów Funkcja kontroli skryptu monitoruje aplikacje i usługi, które mogą uruchamiać działania w systemie operacyjnym. Aplikacje te są powszechnie nazywane interpreterami. ATP monitoruje te aplikacje i usługi dla wszelkich skryptów, które próbują się uruchomić i, na podstawie zasad, powiadamia o podjętych działaniach lub blokuje te działania. Decyzje te są podejmowane na podstawie nazwy skryptu i ścieżki względnej, z której skrypt został uruchomiony. |
| Tryb kontroli skryptów | Blokuj | Po ustawieniu opcji Blokuj nie uruchamiają się żadne elementy oparte na skryptach. Obejmuje dowolny aktywny skrypt, skrypt oparty na makrach lub skrypt oparty na PowerShell. W nowszych wersjach są one rozdzielane na ich własne zasady. Dotyczy: 1.2.1371 i wcześniejsze kompilacje ESSE |
| Aktywny skrypt | Blokuj | Po ustawieniu opcji Blokuj wyłącza możliwość uruchamiania skryptów JavaScript, VBScript, wsadowych, Python, Perl, PHP, Ruby i wielu innych. Dotyczy: 1.2.1391 i późniejsze kompilacje ESSE. |
| Makra | Blokuj | Ustawienie alertu umożliwia analizę makr w dokumentach w celu ustalenia, czy uruchamiają potencjalnie złośliwe polecenia. Jeśli zauważono zagrożenie, ustawienie „Blokuj” uniemożliwia uruchomienie makra. Makra uruchamiane przy włączeniu mogą uniemożliwić załadowanie aplikacji. Dotyczy: 1.2.1391 i późniejsze kompilacje ESSE. |
| Program PowerShell | Blokuj | Po ustawieniu opcji Blokuj zapobiega uruchomieniu skryptów opartych na PowerShell w środowisku. Dotyczy: 1.2.1391 i późniejsze kompilacje ESSE. |
| Konsola PowerShell | Allow | Po ustawieniu opcji Blokuj uniemożliwia uruchomienie konsoli PowerShell V3 i ISE. Dotyczy: 1.2.1391 i późniejsze kompilacje ESSE. |
| Włącz zatwierdzanie skryptów w folderach (i podfolderach) | Enabled | Umożliwia to wykluczenie lokalizacji z analizy funkcji kontroli skryptów. |
| Zatwierdzanie skryptów w folderach (i podfolderach) | Różni się w zależności od środowiska | W tej sekcji opisano foldery w funkcji kontroli skryptu, które nie są monitorowane.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Zezwól globalnie | Różni się w zależności od środowiska | Zasady te są wykorzystywane przez tryb rozłączenia dla ESSE. Dzięki temu klienci mogą mieć środowisko całkowicie oddzielone od Internetu. Ta zasada określa specjalne ścieżki zagrożeń i certyfikaty, które powinny być dozwolone w środowisku. |
| Lista kwarantanny | Różni się w zależności od środowiska | Zasady te są wykorzystywane przez tryb rozłączenia dla ESSE. Dzięki temu klienci mogą mieć środowisko całkowicie oddzielone od Internetu. Jest to zdefiniowana lista znanych złych skrótów, które są automatycznie poddawane kwarantannie w przypadku napotkania przez agenta. |
| Lista bezpiecznych plików | Różni się w zależności od środowiska | Zasady te są wykorzystywane przez tryb rozłączenia dla ESSE. Dzięki temu klienci mogą mieć środowisko całkowicie oddzielone od Internetu. Ta zasada określa specjalne skróty zagrożeń, które powinny być dozwolone w środowisku. |
| Ustawienia agenta | ||
| Wyłącz powiadomienia wyskakujące | Disabled | Umożliwia włączanie i wyłączanie wyświetlania okna dialogowego tostera przez funkcję ESSE. |
| Minimalny poziom powiadomień wyskakujących | Wysokie | Definiuje to, co jest powiadamiane użytkownikowi końcowemu, jeśli zasada Pomiń wyskakujące powiadomienia jest wyłączona. Wysokie
Średnia
Low
|
| Włącz zapewnienie bezpieczeństwa systemu BIOS | Enabled | Przeprowadzenie kontroli integralności systemu BIOS na obsługiwanych komputerach firmy Dell (komputery klasy Enterprise 2016 i nowsze) |
| Włącz automatyczne przesyłanie plików dziennika | Enabled | Umożliwia to agentom automatyczne przesyłanie plików dziennika wtyczki ATP do chmury każdego dnia o północy lub przy 100 MB, w zależności od tego, co nastąpi wcześniej. |
| Włącz standardowy interfejs użytkownika | Enabled | Umożliwia to włączenie dodatkowej opcji za pomocą konsoli Dell Data Security Console na punkcie końcowym. Umożliwia to użytkownikom lokalnym sprawdzenie, jakie zagrożenia, zdarzenia pamięci lub skrypty zostały wykryte na lokalnym punkcie końcowym. Ta opcja jest dostępna w menu wyświetlanym po kliknięciu prawym przyciskiem myszy punktu końcowego lub przy użyciu koła zębatego ustawień w konsoli Dell Data Security Console w opcji zatytułowanej Advanced Threat Prevention. Po wybraniu tej opcji dostępne są dodatkowe przełączniki, które pokazują lub ukrywają zagrożenia, zdarzenia pamięci lub skrypty wykryte na tym komputerze. Ta zasada wymaga, aby Dell Encryption Management Agent był w wersji 8.18.0 lub nowszej. |
Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.
Dell Endpoint Security Suite Enterprise
04 Mar 2024
10
Solution