Article Number: 000126118
Geçerli Değil
Varsayılan olarak, Advanced Threat Prevention'ın (ATP) ilk olarak öğrenme modunda çalıştırılması önerilir. Tüm tehdit bilgileri, yöneticilere ortamlarındaki tehditleri ve Potansiyel Olarak İstenmeyen Programları (PUP'ler) yönetme ve görev açısından kritik uygulamaları izin verilenler listesine ekleme esnekliği sunmak için toplanır.
Dell Endpoint Security Suite Enterprise da politikaları değiştirme hakkında daha fazla bilgi için Dell Data Protection Server da İlkeleri Değiştirme başlıklı makaleye bakın.
Dell Endpoint Security Suite Enterprise da İstisna oluşturma hakkında daha fazla bilgi ve kural için Dell Endpoint Security Suite Enterprise a İstisna Ekleme başlıklı makaleye bakın.
| Politika Değeri | Önerilen Değer | Politika Açıklaması |
|---|---|---|
| Advanced Threat Prevention (Birincil Anahtar) |
Açık |
Bu politika değeri, istemcilerin Advanced Threat Prevention için politikalar kullanıp kullanamayacağını belirler. Ayrıca dosya eylemlerini ve yürütme denetimini de etkinleştirir; bunlar devre dışı bırakılamaz. Yürütme denetimi, Arka Planda Tehdit Algılama'yı ve Dosya İzleyici'yi kapsar. ATP içindeki bu modül, amaçlanan eylemlerine ve davranışına göre Taşınabilir Yürütülebilir (PE) bir dosyanın amaçlarını analiz edip özetler. Yürütme Denetimi ile birlikte BTD ve Dosya İzleyici tarafından algılanan tüm dosyalar, Otomatik Karantina ile ilişkili politikalara göre işlenir. Bu eylemler Taşınabilir Yürütülebilir dosyanın tam yol konumu temel alınarak gerçekleştirilir. |
| Dosya Eylemleri: |
|
|
| Yürütülebilir Dosya Denetimi Etkinken Güvenli Olmayan Yürütülebilir Dosyayı Otomatik Olarak Karantinaya Alma |
Disabled | Bu, ciddi bir tehdit olarak kabul edilen dosyaların otomatik olarak karantinaya alınıp alınmayacağını belirler. |
| Güvenli Olmayan Yürütülebilir Dosyayı Otomatik Olarak Yükleme Etkin |
Enabled (Etkin) |
Ciddi tehditlerin, ikinci görüş denetimine tabi tutulmak üzere buluta yüklenip yüklenmeyeceğini ayarlar. |
| Yürütülebilir Dosya Denetimi Etkinken Anormal Yürütülebilir Dosyayı Otomatik Olarak Karantinaya Alma |
Disabled |
Bu, olası bir tehdit olarak kabul edilen dosyaların otomatik olarak karantinaya alınıp alınmayacağını belirler. |
| Anormal Yürütülebilir Dosyayı Otomatik Olarak Yükleme Etkin |
Enabled (Etkin) |
Potansiyel tehditlerin, ikinci görüş denetimine tabi tutulmak üzere buluta yüklenip yüklenmeyeceğini ayarlar. |
| Hariç Tutma Klasörlerindeki Dosyaların Yürütülmesine İzin Ver |
Enabled (Etkin) |
Bu, Koruma Ayarları politika grubundaki Belirli Klasörleri Hariç Tut politikası için geçerlidir. Bu, Dışlanan klasörlerdeki yürütülebilir dosyaların otomatik olarak karantinaya alınsalar bile çalışmalarına olanak tanır. |
| Otomatik Silme |
Disabled |
Bu, Silinene Kadar Geçen Gün ilkesinde zamanlayıcıyı etkinleştirir. Bu, karantinaya alınan öğeler için geçerlidir. Silinene Kadar Geçen Gün Sayısı sona erdiğinde, bu politika etkinse karantina klasöründeki tüm tehditler otomatik olarak kaldırılır. |
| Silinene Kadar Geçecek Gün Sayısı |
14 |
Bu, tehdit başına bir öğenin yerel karantina klasöründe kalacağı gün sayısını belirler. |
| Bellek Eylemleri |
||
| Bellek Koruması Etkin |
Enabled (Etkin) |
Bu, Bellek Koruması işlevini etkinleştirir Bellek koruması modülü, uygulamalar ile bellekteki işletim sistemi arasındaki etkileşimleri izleyerek uygulamaları çalıştırmanın amaçlarını analiz eder ve yorumlar. |
| Yürütülebilir dosyaları hariç tutmayı etkinleştir |
Enabled (Etkin) |
Bu, belirli yürütülebilir dosyaların Bellek Korumasından hariç tutulmasına olanak tanır. |
| Yürütülebilir dosyaları hariç tut |
Boş |
Eklenen tüm dışlamalar, söz konusu yürütülebilir dosyanın yaklaşık yolu kullanılarak belirtilmelidir (sürücü harfini yola dahil etmeyin). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Güvenlik Açığından Yararlanma: Yığın Özeti |
Uyarı |
İş parçacığı yığını farklı bir yığınla değiştirilmiştir. Bilgisayar genellikle bir iş parçacığı için tek bir yığın ayırır. Saldırganlar yürütmeyi Veri Yürütme Engellemesi (DEP) özelliğinin engelleyemeyeceği şekilde kontrol etmek amacıyla farklı bir yığın kullanır. Aşağıdakiler için geçerlidir: Windows, Mac |
| Güvenlik Açığından Yararlanma: Yığın Koruması |
Uyarı |
Bir iş parçacığı yığınının bellek koruması, yürütme iznini etkinleştirmek için değiştirildi. Yığın belleği yürütülebilir olmamalıdır. Dolayısıyla bu durum genellikle, saldırganın bir güvenlik açığından yararlanma işleminin parçası olarak yığın belleğinde depolanan kötü amaçlı bir kodu çalıştırmaya hazırlandığı anlamına gelir. Aksi halde bu girişim, Veri Yürütme Engellemesi (DEP) özelliği tarafından engellenmez. Aşağıdakiler için geçerlidir: Windows, Mac |
| Güvenlik Açığından Yararlanma: Üzerine Yazma Kodu |
Uyarı |
Bir işlemin belleğinde yer alan kod, Veri Yürütme Engellemesini (DEP) atlama girişimine işaret edebilecek bir teknik kullanılarak değiştirilmiştir. Aşağıdakiler için geçerlidir: Windows |
| Güvenlik Açığından Yararlanma: Tarayıcı Bellek Araması |
Uyarı |
Bir işlem, başka bir işlemdeki geçerli manyetik şerit izleme verilerini okumaya çalışıyor. Genellikle satış noktası bilgisayarları (POS) ile ilgilidir Aşağıdakiler için geçerlidir: Windows |
| Güvenlik Açığından Yararlanma: Kötü Amaçlı Yük |
Uyarı |
Bir işlem, başka bir işlemdeki geçerli manyetik şerit izleme verilerini okumaya çalışıyor. Genellikle satış noktası bilgisayarları (POS) ile ilgilidir Aşağıdakiler için geçerlidir: Windows |
| Güvenlik Açığından Yararlanma: Kötü Amaçlı Yük |
Uyarı |
Güvenlik açığından yararlanma ile ilişkili genel bir shellcode ve yük algılaması tespit edildi. Aşağıdakiler için geçerlidir: Windows |
| İşlem Eklenmesi: Belleğin Uzaktan Tahsisi |
Uyarı |
Bir işlem başka bir işlemde bellek ayırdı. Çoğu ayırma işlemi yalnızca aynı işlem içinde gerçekleşir. Bu durum genellikle başka bir işleme kod veya veri ekleme girişimine işaret eder. Bu girişim, bilgisayarda kötü amaçlı bir kodun varlığını güçlendirmenin ilk adımı olabilir. Aşağıdakiler için geçerlidir: Windows, Mac |
| İşlem Eklenmesi: Belleğin Uzaktan Eşlemesi |
Uyarı |
Bir işlem, başka bir işleme kod veya veri sundu. Bu durum, başka bir işlemde kod çalıştırma ve kötü amaçlı bir varlığı güçlendirmeye yönelik bir girişime işaret edebilir. Aşağıdakiler için geçerlidir: Windows, Mac |
| İşlem Eklenmesi: Belleğe Uzaktan Yazma |
Uyarı |
Bir işlem başka bir işlemdeki belleği değiştirdi. Bu genellikle, önceden ayrılmış bellekte kod veya veri depolamaya yönelik bir girişimdir (bkz. OutofProcessAllocation). Ancak bir saldırgan, kötü niyetli bir amaç doğrultusunda yürütmeyi saptırmak üzere mevcut belleğin üzerine yazmaya çalışıyor olabilir. Aşağıdakiler için geçerlidir: Windows, Mac |
| İşlem Eklenmesi: PE'yi Belleğe Uzaktan Yazma |
Uyarı |
Bir işlem başka bir işlemdeki belleği, yürütülebilir görüntü içerecek şekilde değiştirdi. Bu genellikle, saldırganın bir kodu diske yazmadan önce çalıştırmaya çalıştığına işaret eder. Aşağıdakiler için geçerlidir: Windows, Mac |
| İşlem Eklenmesi: Uzaktan Üzerine Yazma Kodu |
Uyarı |
Bir işlem, başka bir işlemdeki yürütülebilir belleği değiştirdi. Normal koşullarda yürütülebilir bellek değiştirilmez (özellikle de başka bir işlem tarafından). Bu genellikle, başka bir işlemdeki yürütmeyi saptırma girişimine işaret eder. Aşağıdakiler için geçerlidir: Windows, Mac |
| İşlem Eklenmesi: Belleğin Uzaktan Eşlemesinin Kaldırılması |
Uyarı |
Bir işlem, bellekteki bir Windows yürütülebilir dosyasını başka bir işlemin belleğinden kaldırdı. Bu durum, yürütülebilir görüntüyü yürütmeyi saptırmak amacıyla üzerinde değişiklik yapılmış bir kopyayla değiştirme niyetine işaret edebilir. Aşağıdakiler için geçerlidir: Windows, Mac |
| İşlem Eklenmesi: Uzaktan İş Parçacığı Oluşturma |
Uyarı |
Bir işlem başka bir işlemde iş parçacığı oluşturdu. Saldırganlar bunu, başka bir işleme eklenmiş kötü amaçlı bir varlığı aktif hale getirmek için kullanır. Aşağıdakiler için geçerlidir: Windows, Mac |
| İşlem Eklenmesi: Uzaktan Zamanlanmış APC |
Uyarı |
Bir işlem, başka bir işlemin iş parçacığının yürütülmesini saptırdı. Saldırganlar bunu, başka bir işleme eklenmiş kötü amaçlı bir varlığı aktif hale getirmek için kullanır. Aşağıdakiler için geçerlidir: Windows |
| İşlem Eklenmesi: DYLD Eklenmesi (yalnızca Mac OS X) |
Uyarı |
Paylaşılan bir kitaplığın başlatılmış bir işleme eklenmesine neden olan bir ortam değişkeni ayarlandı. Saldırganlar, Safari gibi uygulamaların plist doyasını değiştirebilir veya uygulamaları, uygulama başlatıldığında modüllerinin otomatik olarak yüklenmesine neden olan bash komut dosyalarıyla değiştirebilir. Aşağıdakiler için geçerlidir: Mac |
| İlerletme: LSASS Okuma |
Uyarı |
Windows Yerel Güvenlik Yetkilisi işlemine ait belleğe, kullanıcıların parolalarını öğrenme girişimine işaret eden bir şekilde erişildi. Aşağıdakiler için geçerlidir: Windows |
| İlerletme: Sıfır Tahsis |
Uyarı |
Boş bir sayfa tahsis edildi. Bellek bölgesi genellikle ayrılmıştır ancak belirli durumlarda bu bölge tahsis edilebilir. Saldırganlar bu özelliği, genellikle çekirdekteki bilinen bazı null dereference (null işaretçiye başvurma) güvenlik açıklarından faydalanarak ayrıcalık yükseltmeyi ayarlamak için kullanabilir. Aşağıdakiler için geçerlidir: Windows, Mac |
| Yürütme Kontrolü |
||
| Hizmetin Aygıttan Kapatılmasına İzin Verme |
Disabled |
Etkinleştirildiğinde, ATP hizmetini durdurma özelliği önler. Ayrıca uygulamanın kaldırılmasını da önler. |
| Çalışan ve Güvenli Olmayan İşlemler ile Alt İşlemleri Sonlandır |
Disabled |
Bu özelliğin etkinleştirilmesi, alt işlemler üreten bellek tabanlı bir tehdidin algılanmasını ve sonlandırılmasını sağlar. |
| Arka Planda Tehdit Algılama |
Bir Kez Çalıştır |
Bu, mevcut dosyalara yönelik bir taramanın aygıt üzerinde çalıştırılıp çalıştırılmadığını belirler. Bu, Devre Dışı, Bir Kez Çalıştır veya Yinelenenleri Çalıştır olarak ayarlanabilir. Yeni Dosyaları Gözle seçeneği etkinse Arka Planda Tehdit Algılama özelliğinin Bir Kez Çalıştır olarak yapılandırılması önerilir. Yeni ve güncelleştirilmiş dosyaları da gözlüyorsanız mevcut dosyaları yalnızca bir kez kontrol etmelisiniz. |
| Yeni Dosyaları Gözle |
Enabled (Etkin) |
Bunu Etkin olarak ayarlamak, aygıta yeni yazılan veya değiştirilen dosyaların algılanmasına ve analiz edilmesine olanak tanır.
Not: Yüksek trafikli aygıtlarda (dosyalar veya uygulama sunucuları gibi) Yeni Dosyaları Gözle seçeneğinin devre dışı bırakılması önerilir çünkü bu, her dosyanın diske yazılırken analiz edilmesi gerekeceğinden disk gecikme süresinde beklenmedik artışlara neden olabilir. Çalıştırılmayı deneyen tüm Taşınabilir Yürütülebilir dosyalar, bu deneme sırasında analiz edildikleri için bu sorun varsayılan olarak azaltılır. Bu sorun Arka Planda Tehdit Algılama ve Yineleyerek Çalıştır özellikleri etkinleştirilerek daha da hafifletilebilir.
|
| Tarama İçin Maksimum Arşiv Dosyası Boyutunu Ayarla |
150 |
Analiz edilebilecek maksimum sıkıştırılmış arşiv boyutunu yapılandırır Boyut megabayt cinsindendir. |
| Koruma Ayarları | ||
| Belirli Klasörleri (Alt Klasörler Dahil) Hariç Tutmayı Etkinleştir | Enabled (Etkin) | Bu, politikaya bağlı olarak Dosya İzleyici ve Yürütme Denetimi'nde klasörler tanımlama ve izlenmeyen Hariç Tutma Klasörlerindeki Dosyaların Yürütülmesine İzin Verme olanağı sağlar. |
| Belirli Klasörleri (Alt Klasörler Dahil) Hariç Tut | -Boş- | Dosya İzleyici'de izlenmeyen klasörlerin bir listesini tanımlar. Hariç Tutma Klasörlerindeki Dosyaların Yürütülmesine İzin Ver politikası, bu dizinlerden çalıştırılan dosyaların karantinaya alınmasını önler. Bu politika, ilgili dizinlerin Yeni Dosyaları Gözle veya Arka Planda Tehdit Algılama tarafından taranmasını önler. Eklenen tüm dışlamalar, söz konusu yürütülebilir dosyanın tam yolu kullanılarak belirtilmelidir (sürücü harfini yola dahil edin). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Uygulama Kontrolü | ||
| Uygulama Kontrolü | Disabled | Bu, cihazdaki uygulama tabanlı değişiklikleri kısıtlama olanağı sağlar, yeni uygulama eklenemez, hiçbir uygulama kaldırılamaz ve hiçbir uygulama değiştirilemez veya güncelleştirilemez. |
| Uygulama Kontrolüne İzin Verilen Klasörler | -Boş- | Bu, uygulama denetiminde izlenmeyen klasörlerin bir listesini tanımlar. Eklenen tüm dışlamalar, söz konusu yürütülebilir dosyanın tam yolu kullanılarak belirtilmelidir (sürücü harfini yola dahil edin). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Değişiklik Penceresini Etkinleştir | Disabled | Etkinleştirildiğinde, geçici olarak Uygulama Kontrolünü devre dışı bırakarak ortamda değişiklikler yapılmasına olanak tanır. |
| Komut Dosyası Kontrolü | ||
| Komut Dosyası Kontrolü | Enabled (Etkin) | Komut Dosyası Denetimi'nin kullanımını etkinleştirir Komut Dosyası Kontrolü, işletim sistemi içinde işlem çalıştırabilen uygulamaları ve hizmetleri izler. Bu uygulamalar genellikle yorumlayıcılar olarak adlandırılır. ATP, çalıştırılmaya çalışan komut dosyası içerip içermediklerini kontrol etmek için bu uygulamaları ve hizmetleri izler ve politikalara dayalı olarak, ilgili uygulama veya hizmetlerin çalıştırdıkları işlemler konusunda bilgilendirir ya da bu işlemlerin çalıştırılmasını engeller. Bu kararlar, komut dosyasının adı ve komut dosyasının çalıştırıldığı yaklaşık yol temel alınarak verilir. |
| Komut Dosyası Denetim Modu | Uyarı | Engelle olarak ayarlandığında komut dosyası tabanlı öğeler çalıştırılmaz. Buna tüm aktif komut dosyalar, makro tabanlı komut dosyaları veya PowerShell tabanlı komut dosyaları dahildir. Sonraki sürümlerde, bu komut dosyaları kendi politikalarına göre ayrılmıştır. Aşağıdakiler için geçerlidir: 1.2.1371 ve önceki ESSE derlemeleri |
| Etkin Komut Dosyası | Uyarı | Engelle olarak ayarlandığında JavaScript, VBscript, toplu iş, Python, Perl, PHP, Ruby ve diğer birçok komut dosyasını çalıştırma özelliğini devre dışı bırakır. Aşağıdakiler için geçerlidir: 1.2.1391 ve sonraki ESSE derlemeleri. |
| Makrolar | Uyarı | Bu politika Uyarı olarak ayarlandığında, belgeler içindeki makrolar, potansiyel kötü amaçlı komutlar çalıştırıp çalıştırmadıklarını belirlemek için analiz edilir. Bir tehdit algılanırsa Engelle ayarı makronun çalışmasını önler. Başlatma sırasında çalıştırılan makrolar uygulamanın yüklenmesini önleyebilir. Aşağıdakiler için geçerlidir: 1.2.1391 ve sonraki ESSE derlemeleri. |
| Powershell | Uyarı | Engelle olarak ayarlandığında, PowerShell tabanlı komut dosyalarının ortamda çalışmasını önler. Aşağıdakiler için geçerlidir: 1.2.1391 ve sonraki ESSE derlemeleri. |
| Powershell Konsolu | Allow (İzin Ver) | Engelle olarak ayarlandığında, PowerShell V3 konsolu ve ISE'nin başlatılmasını önler. Aşağıdakiler için geçerlidir: 1.2.1391 ve sonraki ESSE derlemeleri. |
| Klasörlerde (ve Alt Klasörlerde) Komut Dosyalarını Onaylamayı Etkinleştir | Enabled (Etkin) | Bu, Komut Dosyası Denetimi'ndeki konumları analiz edilmenin dışında tutma özelliğini etkinleştirir. |
| Klasörlerde (ve Alt Klasörlerde) Komut Dosyalarını Onayla | -Boş- | Bu bölümde, Komut Dosyası Kontrolü'ndeki izlenmeyen klasörler ayrıntılı olarak belirtilir.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Genel Olarak İzin Ver | -Boş- | Bu politika, ESSE için bağlantı kesik modundan yararlanır. Bu sayede müşteriler, internetten tamamen ayrı tutulmuş bir ortama sahip olabilir. Bu politika, belirli tehdit yollarını ve ortamda izin verilmesi gereken sertifikaları belirler. |
| Karantina Listesi | -Boş- | Bu politika, ESSE için bağlantı kesik modundan yararlanır. Bu sayede müşteriler, internetten tamamen ayrı tutulmuş bir ortama sahip olabilir. Bu, aracı tarafından karşılaşıldığında otomatik olarak karantinaya alınan, bilinen bozuk karmaların tanımlanmış bir listesidir. |
| Güvenli Liste | -Boş- | Bu politika, ESSE için bağlantı kesik modundan yararlanır. Bu sayede müşteriler, internetten tamamen ayrı tutulmuş bir ortama sahip olabilir. Bu politika, ortamda izin verilen belirli tehdit karmalarını belirler. |
| Aracı Ayarları | ||
| Açılır Pencere Bildirimlerini Gizle | Enabled (Etkin) | Bu, ESSE'nin bir ekmek kızartma makinesi iletişim kutusu görüntüleme özelliğini etkinleştirir veya devre dışı bırakır. |
| Minimum Açılır Bildirim Düzeyi | Yüksek | Bu, Açılır Pencere Bildirimlerini Bastır ilkesi devre dışı bırakıldığında son kullanıcıya nelerin bildirileceğini tanımlar. Yüksek
Orta
Düşük
|
| BIOS Güvencesini Etkinleştir | Enabled (Etkin) | Desteklenen Dell bilgisayarlarda (2016 ve sonraki işletme sınıfı bilgisayarlarda) BIOS bütünlük denetimleri gerçekleştirir. |
| Günlük Dosyalarının Otomatik Olarak Yüklenmesini Etkinleştir | Enabled (Etkin) | Bu, aracıların ATP eklentisi için günlük dosyalarını her gün gece yarısı veya 100 MB hızında (hangisi önce gerçekleşirse) buluta otomatik olarak yüklemelerini sağlar. |
| Politika Değeri | Önerilen Değer | Politika Açıklaması |
|---|---|---|
| Advanced Threat Prevention (Birincil Anahtar) |
Açık |
Bu politika değeri, istemcilerin Advanced Threat Prevention için politikalar kullanıp kullanamayacağını belirler. Ayrıca dosya eylemlerini ve Yürütme Denetimini de etkinleştirir; bunlar devre dışı bırakılamaz. Yürütme denetimi, Arka Planda Tehdit Algılama'yı ve Dosya İzleyici'yi kapsar. ATP içindeki bu modül, amaçlanan eylemlerine ve davranışına göre Taşınabilir Yürütülebilir (PE) bir dosyanın amaçlarını analiz edip özetler. Yürütme Kontrolü ve BTD ve Dosya İzleyici tarafından algılanan tüm dosyalar, Otomatik Karantina ile ilişkili politikalara göre işlenir. Bu eylemler Taşınabilir Yürütülebilir dosyanın tam yol konumu temel alınarak gerçekleştirilir. |
| Dosya Eylemleri: |
|
|
| Yürütülebilir Dosya Denetimi Etkinken Güvenli Olmayan Yürütülebilir Dosyayı Otomatik Olarak Karantinaya Alma |
Enabled (Etkin) | Bu, ciddi bir tehdit olarak kabul edilen dosyaların otomatik olarak karantinaya alınıp alınmayacağını belirler. |
| Güvenli Olmayan Yürütülebilir Dosyayı Otomatik Olarak Yükleme Etkin |
Enabled (Etkin) |
Ciddi tehditlerin, ikinci görüş denetimine tabi tutulmak üzere buluta yüklenip yüklenmeyeceğini ayarlar. |
| Yürütülebilir Dosya Denetimi Etkinken Anormal Yürütülebilir Dosyayı Otomatik Olarak Karantinaya Alma |
Enabled (Etkin) |
Bu, olası bir tehdit olarak kabul edilen dosyaların otomatik olarak karantinaya alınıp alınmayacağını belirler. |
| Anormal Yürütülebilir Dosyayı Otomatik Olarak Yükleme Etkin |
Enabled (Etkin) |
Potansiyel tehditlerin, ikinci görüş denetimine tabi tutulmak üzere buluta yüklenip yüklenmeyeceğini ayarlar. |
| Hariç Tutma Klasörlerindeki Dosyaların Yürütülmesine İzin Ver |
Enabled (Etkin) |
Bu, Koruma Ayarları politika grubundaki Belirli Klasörleri Hariç Tut politikası için geçerlidir. Bu, Dışlanan klasörlerdeki yürütülebilir dosyaların otomatik olarak karantinaya alınsalar bile çalışmalarına olanak tanır. |
| Otomatik Silme |
Enabled (Etkin) |
Bu işlem, silinene kadar geçen gün ilkesinde zamanlayıcıyı etkinleştirir. Bu durum, karantinaya alınan öğeler için de geçerlidir. Silinene kadar geçen günler geçtikten sonra, bu politika etkinleştirilirse karantina klasöründeki tüm tehditler otomatik olarak kaldırılır. |
| Silinene Kadar Geçecek Gün Sayısı |
14 |
Bir öğenin yerel karantina klasöründe kalacağı gün sayısını (tehdit başına) belirler. |
| Bellek Eylemleri |
||
| Bellek Koruması Etkin |
Enabled (Etkin) |
Bu, Bellek Koruması işlevini etkinleştirir. Bellek koruması modülü, uygulamalar ile bellekteki işletim sistemi arasındaki etkileşimleri izleyerek uygulamaları çalıştırmanın amaçlarını analiz eder ve yorumlar. |
| Yürütülebilir dosyaları hariç tutmayı etkinleştir |
Enabled (Etkin) |
Bu, belirli yürütülebilir dosyaların Bellek Korumasından hariç tutulmasına olanak tanır. |
| Yürütülebilir dosyaları hariç tut |
Ortama göre değişir |
Eklenen tüm dışlamalar, söz konusu yürütülebilir dosyanın yaklaşık yolu kullanılarak belirtilmelidir (sürücü harfini yola dahil etmeyin). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Güvenlik Açığından Yararlanma: Yığın Özeti |
Sonlandır |
İş parçacığı yığını farklı bir yığınla değiştirilmiştir. Bilgisayar genellikle bir iş parçacığı için yalnızca tek bir yığın ayırır. Saldırganlar ise yürütmeyi Veri Yürütme Engellemesi (DEP) özelliğinin engellemeyeceği şekilde kontrol etmek amacıyla farklı bir yığın kullanır. Aşağıdakiler için geçerlidir: Windows, Mac |
| Güvenlik Açığından Yararlanma: Yığın Koruması |
Sonlandır |
Bir iş parçacığı yığınının bellek koruması, yürütme iznini etkinleştirmek için değiştirildi. Yığın belleği yürütülebilir olmamalıdır. Dolayısıyla bu durum genellikle, saldırganın bir güvenlik açığından yararlanma işleminin parçası olarak yığın belleğinde depolanan kötü amaçlı bir kodu çalıştırmaya hazırlandığı anlamına gelir. Aksi halde bu girişim, Veri Yürütme Engellemesi (DEP) tarafından engellenmez. Aşağıdakiler için geçerlidir: Windows, Mac |
| Güvenlik Açığından Yararlanma: Üzerine Yazma Kodu |
Sonlandır |
Bir işlemin belleğinde yer alan kod, Veri Yürütme Engellemesini (DEP) atlama girişimine işaret edebilecek bir teknik kullanılarak değiştirilmiştir. Aşağıdakiler için geçerlidir: Windows |
| Güvenlik Açığından Yararlanma: Tarayıcı Bellek Araması |
Sonlandır |
Bir işlem, başka bir işlemdeki geçerli manyetik şerit izleme verilerini okumaya çalışıyor. Bu durum genellikle satış noktası bilgisayarları (POS) için geçerlidir. Aşağıdakiler için geçerlidir: Windows |
| Güvenlik Açığından Yararlanma: Kötü Amaçlı Yük |
Sonlandır |
Güvenlik açığından yararlanma ile ilişkili genel bir shellcode ve yük algılaması tespit edildi. Aşağıdakiler için geçerlidir: Windows |
| İşlem Eklenmesi: Belleğin Uzaktan Tahsisi |
Sonlandır |
Bir işlem başka bir işlemde bellek ayırdı. Çoğu ayırma işlemi yalnızca aynı işlem içinde gerçekleşir. Bu durum genellikle başka bir işleme kod veya veri ekleme girişimine işaret eder. Bu girişim, bilgisayarda kötü amaçlı bir kodun varlığını güçlendirmenin ilk adımı olabilir. Aşağıdakiler için geçerlidir: Windows, Mac |
| İşlem Eklenmesi: Belleğin Uzaktan Eşlemesi |
Sonlandır |
Bir işlem, başka bir işleme kod veya veri sundu. Bu durum, başka bir işlemde kod çalıştırma ve kötü amaçlı bir varlığı güçlendirmeye yönelik bir girişime işaret edebilir. Aşağıdakiler için geçerlidir: Windows, Mac |
| İşlem Eklenmesi: Belleğe Uzaktan Yazma |
Sonlandır |
Bir işlem başka bir işlemdeki belleği değiştirdi. Bu genellikle, önceden ayrılmış bellekte kod veya veri depolamaya yönelik bir girişimdir (bkz. OutOfProcessAllocation); ancak bir saldırgan, kötü niyetli bir amaç doğrultusunda yürütmeyi saptırmak üzere mevcut belleğin üzerine yazmaya çalışıyor olabilir. Aşağıdakiler için geçerlidir: Windows, Mac |
| İşlem Eklenmesi: PE'yi Belleğe Uzaktan Yazma |
Sonlandır |
Bir işlem başka bir işlemdeki belleği, yürütülebilir görüntü içerecek şekilde değiştirdi. Bu genellikle, saldırganın bir kodu diske yazmadan önce çalıştırmaya çalıştığına işaret eder. Aşağıdakiler için geçerlidir: Windows, Mac |
| İşlem Eklenmesi: Uzaktan Üzerine Yazma Kodu |
Sonlandır |
Bir işlem, başka bir işlemdeki yürütülebilir belleği değiştirdi. Normal koşullarda yürütülebilir bellek değiştirilmez (özellikle de başka bir işlem tarafından). Bu genellikle, başka bir işlemdeki yürütmeyi saptırma girişimine işaret eder. Aşağıdakiler için geçerlidir: Windows, Mac |
| İşlem Eklenmesi: Belleğin Uzaktan Eşlemesinin Kaldırılması |
Sonlandır |
Bir işlem, bellekteki bir Windows yürütülebilir dosyasını başka bir işlemin belleğinden kaldırdı. Bu durum, yürütülebilir görüntüyü yürütmeyi saptırmak amacıyla üzerinde değişiklik yapılmış bir kopyayla değiştirme niyetine işaret edebilir. Aşağıdakiler için geçerlidir: Windows, Mac |
| İşlem Eklenmesi: Uzaktan İş Parçacığı Oluşturma |
Sonlandır |
Bir işlem başka bir işlemde iş parçacığı oluşturdu. Saldırganlar bunu, başka bir işleme eklenmiş kötü amaçlı bir varlığı aktif hale getirmek için kullanır. Aşağıdakiler için geçerlidir: Windows, Mac |
| İşlem Eklenmesi: Uzaktan Zamanlanmış APC |
Sonlandır |
Bir işlem, başka bir işlemin iş parçacığının yürütülmesini saptırdı. Saldırganlar bunu, başka bir işleme eklenmiş kötü amaçlı bir varlığı aktif hale getirmek için kullanır. Aşağıdakiler için geçerlidir: Windows |
| İşlem Eklenmesi: DYLD Eklenmesi (yalnızca Mac OS X) |
Sonlandır |
Paylaşılan bir kitaplığın başlatılmış bir işleme eklenmesine neden olan bir ortam değişkeni ayarlandı. Saldırganlar, Safari gibi uygulamaların plist doyasını değiştirebilir veya uygulamaları, uygulama başlatıldığında modüllerinin otomatik olarak yüklenmesine neden olan bash komut dosyalarıyla değiştirebilir. Aşağıdakiler için geçerlidir: Mac |
| İlerletme: LSASS Okuma |
Sonlandır |
Windows Yerel Güvenlik Yetkilisi işlemine ait belleğe, kullanıcıların parolalarını öğrenme girişimine işaret eden bir şekilde erişildi. Aşağıdakiler için geçerlidir: Windows |
| İlerletme: Sıfır Tahsis |
Sonlandır |
Boş bir sayfa tahsis edildi. Bellek bölgesi genellikle ayrılmıştır ancak belirli durumlarda bu bölge tahsis edilebilir. Saldırganlar bu özelliği, genellikle çekirdekteki bilinen bazı null dereference (null işaretçiye başvurma) güvenlik açıklarından faydalanarak ayrıcalık yükseltmeyi ayarlamak için kullanabilir. Aşağıdakiler için geçerlidir: Windows, Mac |
| Yürütme Kontrolü |
||
| Hizmetin Aygıttan Kapatılmasına İzin Verme |
Enabled (Etkin) |
Etkinleştirildiğinde, bilgisayarın bile ATP hizmetini durdurabilme özelliğini önler. Ayrıca uygulamanın kaldırılmasını da önler. |
| Çalışan ve Güvenli Olmayan İşlemler ile Alt İşlemleri Sonlandır |
Enabled (Etkin) |
Bu özelliğin etkinleştirilmesi, alt işlemler üreten bellek tabanlı bir tehdidin algılanmasını ve sonlandırılmasını sağlar. |
| Arka Planda Tehdit Algılama |
Bir Kez Çalıştır |
Bu, mevcut dosyalara yönelik bir taramanın aygıt üzerinde çalıştırılıp çalıştırılmadığını belirler. Bu, Devre Dışı, Bir Kez Çalıştır veya Yinelenenleri Çalıştır olarak ayarlanabilir. Yeni Dosyaları Gözle seçeneği etkinse Arka Planda Tehdit Algılama özelliğinin Bir Kez Çalıştır olarak yapılandırılması önerilir. Yeni ve güncelleştirilmiş dosyaları da gözlüyorsanız mevcut dosyaları yalnızca bir kez kontrol etmelisiniz. |
| Yeni Dosyaları Gözle |
Enabled (Etkin) |
Bunu Etkin olarak ayarlamak, aygıta yeni yazılan veya değiştirilen dosyaların algılanmasına ve analiz edilmesine olanak tanır.
Not: Yüksek trafikli aygıtlarda (dosyalar veya uygulama sunucuları gibi) Yeni Dosyaları Gözle seçeneğinin devre dışı bırakılması önerilir çünkü bu, her dosyanın diske yazılırken analiz edilmesi gerekeceğinden disk gecikme süresinde beklenmedik artışlara neden olabilir. Çalıştırılmayı deneyen tüm Taşınabilir Yürütülebilir dosyalar, bu deneme sırasında analiz edildikleri için bu sorun varsayılan olarak azaltılır. Bu sorun Arka Planda Tehdit Algılama ve Yineleyerek Çalıştır özellikleri etkinleştirilerek daha da hafifletilebilir.
|
| Tarama İçin Maksimum Arşiv Dosyası Boyutunu Ayarla |
150 |
Analiz edilebilecek maksimum sıkıştırılmış arşiv boyutunu yapılandırır Boyut megabayt cinsindendir. |
| Koruma Ayarları | ||
| Belirli Klasörleri (Alt Klasörler Dahil) Hariç Tutmayı Etkinleştir | Enabled (Etkin) | Bu, İzlenmeyen Klasörleri Hariç Tutma Klasörlerindeki Dosyaların Yürütülmesine İzin Ver politikasına dayalı olarak Dosya İzleyici ve Yürütme Kontrolü'nde klasörler tanımlama olanağı sağlar. |
| Belirli Klasörleri (Alt Klasörler Dahil) Hariç Tut | Ortama göre değişir | Bu, Dosya İzleyici'de izlenmeyen klasörlerin bir listesini tanımlar. Hariç Tutma Klasörlerindeki Dosyaların Yürütülmesine İzin Ver politikası, bu dizinlerden çalıştırılan dosyaların karantinaya alınmasını önler. Bu politika, ilgili dizinlerin Yeni Dosyaları Gözle veya Arka Planda Tehdit Algılama tarafından taranmasını önler. Eklenen tüm dışlamalar, söz konusu yürütülebilir dosyanın tam yolu kullanılarak belirtilmelidir (sürücü harfini yola dahil edin). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Uygulama Kontrolü | ||
| Uygulama Kontrolü | Disabled | Bu, cihazdaki uygulama tabanlı değişiklikleri kısıtlama özelliğini etkinleştirir. Yeni uygulama eklenemez, kaldırılamaz ve hiçbir uygulama değiştirilemez veya güncelleştirilemez. |
| Uygulama Kontrolüne İzin Verilen Klasörler | -Boş- | Bu, uygulama denetiminde izlenmeyen klasörlerin bir listesini tanımlar. Eklenen tüm dışlamalar, söz konusu yürütülebilir dosyanın tam yolu kullanılarak belirtilmelidir (sürücü harfini yola dahil edin). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Değişiklik Penceresini Etkinleştir | Disabled | Etkinleştirildiğinde, geçici olarak Uygulama Kontrolünü devre dışı bırakarak ortamda değişiklikler yapılmasına olanak tanır. |
| Komut Dosyası Kontrolü | ||
| Komut Dosyası Kontrolü | Enabled (Etkin) | Komut Dosyası Denetimi'nin kullanımını etkinleştirir Komut Dosyası Kontrolü, işletim sistemi içinde işlem çalıştırabilen uygulamaları ve hizmetleri izler. Bu uygulamalar genellikle yorumlayıcılar olarak adlandırılır. ATP, çalıştırılmaya çalışan komut dosyası içerip içermediklerini kontrol etmek için bu uygulamaları ve hizmetleri izler ve politikalara dayalı olarak, ilgili uygulama veya hizmetlerin çalıştırdıkları işlemler konusunda bilgilendirir ya da bu işlemlerin çalıştırılmasını engeller. Bu kararlar, komut dosyasının adı ve komut dosyasının çalıştırıldığı yaklaşık yol temel alınarak verilir. |
| Komut Dosyası Denetim Modu | Engelle | Engelle olarak ayarlandığında komut dosyası tabanlı öğeler çalıştırılmaz. Buna tüm aktif komut dosyalar, makro tabanlı komut dosyaları veya PowerShell tabanlı komut dosyaları dahildir. Sonraki sürümlerde, bu komut dosyaları kendi politikalarına göre ayrılmıştır. Aşağıdakiler için geçerlidir: 1.2.1371 ve önceki ESSE derlemeleri |
| Etkin Komut Dosyası | Engelle | Engelle olarak ayarlandığında JavaScript, VBscript, toplu iş, Python, Perl, PHP, Ruby ve diğer birçok komut dosyasını çalıştırma özelliğini devre dışı bırakır. Aşağıdakiler için geçerlidir: 1.2.1391 ve sonraki ESSE derlemeleri. |
| Makrolar | Engelle | Bu politika Uyarı olarak ayarlandığında, belgeler içindeki makrolar, potansiyel kötü amaçlı komutlar çalıştırıp çalıştırmadıklarını belirlemek için analiz edilir. Bir tehdit algılanırsa "Engelle" ayarı makronun çalışmasını önler. Başlatma sırasında çalıştırılan makrolar uygulamanın yüklenmesini önleyebilir. Aşağıdakiler için geçerlidir: 1.2.1391 ve sonraki ESSE derlemeleri. |
| Powershell | Engelle | Engelle olarak ayarlandığında, PowerShell tabanlı komut dosyalarının ortamda çalışmasını önler. Aşağıdakiler için geçerlidir: 1.2.1391 ve sonraki ESSE derlemeleri. |
| Powershell Konsolu | Allow (İzin Ver) | Engelle olarak ayarlandığında, PowerShell V3 konsolu ve ISE'nin başlatılmasını önler. Aşağıdakiler için geçerlidir: 1.2.1391 ve sonraki ESSE derlemeleri. |
| Klasörlerde (ve Alt Klasörlerde) Komut Dosyalarını Onaylamayı Etkinleştir | Enabled (Etkin) | Bu, Komut Dosyası Denetimi'ndeki konumların analiz edilmesinin dışında tutma özelliğini etkinleştirir. |
| Klasörlerde (ve Alt Klasörlerde) Komut Dosyalarını Onayla | Ortama göre değişir | Bu bölümde, Komut Dosyası Kontrolü'ndeki izlenmeyen klasörler ayrıntılı olarak belirtilir.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Genel Olarak İzin Ver | Ortama göre değişir | Bu politika, ESSE için bağlantı kesik modundan yararlanır. Bu sayede müşteriler, internetten tamamen ayrı tutulmuş bir ortama sahip olabilir. Bu politika, belirli tehdit yollarını ve ortamda izin verilmesi gereken sertifikaları belirler. |
| Karantina Listesi | Ortama göre değişir | Bu politika, ESSE için bağlantı kesik modundan yararlanır. Bu sayede müşteriler, internetten tamamen ayrı tutulmuş bir ortama sahip olabilir. Bu, aracı tarafından karşılaşıldığında otomatik olarak karantinaya alınan, bilinen bozuk karmaların tanımlanmış bir listesidir. |
| Güvenli Liste | Ortama göre değişir | Bu politika, ESSE için bağlantı kesik modundan yararlanır. Bu sayede müşteriler, internetten tamamen ayrı tutulmuş bir ortama sahip olabilir. Bu politika, ortamda izin verilen belirli tehdit karmalarını belirler. |
| Aracı Ayarları | ||
| Açılır Pencere Bildirimlerini Gizle | Disabled | Bu, ESSE'nin bir ekmek kızartma makinesi iletişim kutusu görüntüleme özelliğini etkinleştirir veya devre dışı bırakır. |
| Minimum Açılır Bildirim Düzeyi | Yüksek | Bu, Açılır Pencere Bildirimlerini Bastır politikası devre dışı bırakıldığında son kullanıcıya nelerin bildirileceğini tanımlar. Yüksek
Orta
Düşük
|
| BIOS Güvencesini Etkinleştir | Enabled (Etkin) | Desteklenen Dell bilgisayarlarda (2016 ve sonraki işletme sınıfı bilgisayarlarda) BIOS bütünlük denetimleri gerçekleştirir. |
| Günlük Dosyalarının Otomatik Olarak Yüklenmesini Etkinleştir | Enabled (Etkin) | Bu, aracıların ATP eklentisi için günlük dosyalarını her gün gece yarısı veya 100 MB hızında (hangisi önce gerçekleşirse) buluta otomatik olarak yüklemelerini sağlar. |
| Standart Kullanıcı Arabirimini Etkinleştir | Enabled (Etkin) | Bu, bir uç noktada Dell Data Security Console'u kullanarak ek bir seçenek sağlar. Bu seçenek, yerel kullanıcıların yerel uç noktada hangi tehditlerin, bellek olaylarının veya komut dosyalarının algılandığını görüntülemesini sağlar. Bu seçenek, uç noktadaki sağ tıklama menüsü kullanılarak veya Dell Data Security Console'da Advanced Threat Prevention başlıklı bir seçenekteki ayarlar dişlisi kullanılarak kullanılabilir. Bu seçenek belirlendikten sonra, o bilgisayarda keşfedilen tehditleri, bellek olaylarını veya komut dosyalarını gösteren veya gizleyen ek geçişler kullanılabilir. Bu politika, Dell Encryption Management Agent'ın 8.18.0 veya sonraki bir sürümde olmasını gerektirir. |
Destek ile iletişime geçmek için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.
Çevrimiçi olarak teknik destek talebi oluşturmak için TechDirect adresine gidin.
Daha fazla faydalı bilgi ve kaynak için Dell Security Topluluk Forumu'na katılın.
Dell Endpoint Security Suite Enterprise
04 Mar 2024
10
Solution