Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Policy consigliate da Dell per Dell Endpoint Security Suite Enterprise Advanced Threat Protection and Prevention

Summary: Dell Endpoint Security Suite Enterprise offre prevenzione e protezione contro le minacce più recenti e distruttive di oggi.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Nota:

Prodotti interessati:

  • Dell Endpoint Security Suite Enterprise

Cause

Non applicabile

Resolution

Per impostazione predefinita, si consiglia di eseguire inizialmente Advanced Threat Prevention (ATP) in Learning Mode. Tutte le informazioni sulle minacce vengono raccolte per offrire agli amministratori la flessibilità necessaria per gestire le minacce e i programmi potenzialmente indesiderati all'interno del proprio ambiente e consentire l'inserimento di app mission-critical nell'elenco degli elementi consentiti.

Per ulteriori informazioni sulla modifica delle policy in Dell Endpoint Security Suite Enterprise, consultare Come modificare le policy su Dell Data Protection Server.

Per ulteriori informazioni e regole sulla creazione di esclusioni all'interno di Dell Endpoint Security Suite Enterprise, consultare Come aggiungere esclusioni in Dell Endpoint Security Suite Enterprise.

Nota: le applicazioni e i file server devono avere considerazioni speciali per Background Threat Detection e Watch for New Files, come definito di seguito. Questi dispositivi sono separati da un gruppo di endpoint all'interno di Dell Security Management Server, in modo che possano avere policy diverse da quelle dei dispositivi rimanenti nell'ambiente.
Nota: queste policy riflettono Dell Security Management Server 10.2.3.
Valore della policy Valore consigliato Policy Description

Advanced Threat Prevention (Primary Switch)

Acceso

Il valore di questa policy determina se i client possono utilizzare policy per Advanced Threat Prevention.

In questo modo vengono abilitati anche i valori File Actions ed Execution Control, che non è possibile disabilitare.

Execution Control include Background Threat Detection e File Watcher. Questo modulo all'interno di ATP analizza e astrae le intenzioni di un file eseguibile di tipo Portable Executable (PE) in base alle azioni e al comportamento previsti. Tutti i file rilevati da Execution Control, insieme a BTD e File Watcher, vengono elaborati in base alle policy correlate alla quarantena automatica. Queste azioni vengono eseguite in base alla posizione del percorso assoluto del file PE.

File Actions:

 

 

Unsafe Executable Auto Quarantine With Executable Control Enabled

Disabled Determina se i file considerati una grave minaccia vengano messi automaticamente in quarantena.

Unsafe Executable Auto Upload Enabled

Enabled

Determina l'eventuale upload delle minacce gravi nel cloud per eseguire un secondo controllo.

Abnormal Executable Auto Quarantine With Executable Control Enabled

Disabled

Determina se i file considerati una potenziale minaccia vengono automaticamente messi in quarantena.

Abnormal Executable Auto Upload Enabled

Enabled

Determina l'eventuale upload delle minacce potenziali nel cloud per eseguire un secondo controllo.

Allow Execution of Files in Exclude Folders

Enabled

Si applica alla policy Exclude Specific Folders all'interno del gruppo di policy Protection Settings. Ciò consente l'esecuzione degli eseguibili all'interno delle cartelle Excluded anche se vengono messi automaticamente in quarantena.

Auto Delete

Disabled

In questo modo viene abilitato il timer sul criterio Giorni fino all'eliminazione. Ciò si applica agli elementi in quarantena: una volta trascorsi i giorni fino all'eliminazione, eventuali minacce all'interno di una cartella dei quarantena vengono rimosse automaticamente se questo criterio è abilitato.

Days until Deleted

14

Determina il numero di giorni, per ogni minaccia, in cui un elemento rimane nella cartella dei quaranteni locali.

Memory Actions

   

Memory Protection Enabled

Enabled

Ciò abilita la funzionalità di protezione della memoria Il modulo di protezione della memoria analizza e interpreta le intenzioni delle applicazioni in esecuzione monitorando le interazioni tra le applicazioni e il sistema operativo in memoria.

Enable Exclude executable files

Enabled

Ciò consente di escludere eseguibili specifici da Protezione della memoria.

Exclude executable files

Schermo vuoto

Tutte le esclusioni aggiunte devono essere specificate indicando il percorso del file eseguibile (escludere la lettera dell'unità dal percorso).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Exploitation: Stack Pivot

Avviso

Lo stack per un thread è stato sostituito con un altro. In genere, il computer alloca un singolo stack per un thread. Un utente malintenzionato utilizza uno stack diverso per controllare l'esecuzione in un modo che Data Execution Prevention (DEP) non può bloccare.

Applicabile a: Windows, Mac

Exploitation: Stack Protect

Avviso

La protezione della memoria dello stack di un thread è stata modificata per abilitare l'autorizzazione all'esecuzione. La memoria dello stack non deve essere eseguibile, quindi in genere questo significa che un utente malintenzionato sta per eseguire un codice dannoso archiviato nella memoria dello stack come parte di un exploit, un tentativo che altrimenti verrebbe bloccato da Data Execution Prevention (DEP).

Applicabile a: Windows, Mac

Exploitation: Overwrite Code

Avviso

Il codice presente nella memoria di un processo è stato modificato utilizzando una tecnica che potrebbe indicare un tentativo di ignorare Data Execution Prevention (DEP).

Applicabile a: Windows

Exploitation: Scanner Memory Search

Avviso

Un processo tenta di leggere dati validi di una striscia magnetica da un altro processo. In genere relativi ai computer POS (Point-of-Sale Computer)

Applicabile a: Windows

Exploitation: Malicious Payload

Avviso

Un processo tenta di leggere dati validi di una striscia magnetica da un altro processo. In genere relativi ai computer POS (Point-of-Sale Computer)

Applicabile a: Windows

Exploitation: Malicious Payload

Avviso

È stato rilevato un rilevamento generico di shellcode e payload associato all'exploit.

Applicabile a: Windows

Process Injection: Remote Allocation of Memory

Avviso

Un processo ha allocato memoria in un altro. La maggior parte delle allocazioni avviene solo all'interno dello stesso processo. In genere, indica un tentativo di inserire codice o dati in un altro processo, il che potrebbe rappresentare un primo passo per il rafforzamento di una presenza dannosa su un computer.

Applicabile a: Windows, Mac

Process Injection: Remote Mapping of Memory

Avviso

Un processo ha introdotto codice o dati in un altro. Potrebbe indicare un tentativo di avviare l'esecuzione del codice in un altro processo e il rafforzamento di una presenza dannosa.

Applicabile a: Windows, Mac

Process Injection: Remote Write to Memory

Avviso

Un processo ha modificato la memoria in un altro. In genere si tratta di un tentativo di archiviare codice o dati in una memoria precedentemente allocata (vedere OutofProcessAllocation), ma è possibile che un utente malintenzionato stia tentando di sovrascrivere la memoria esistente al fine di destinare l'esecuzione a uno scopo dannoso.

Applicabile a: Windows, Mac

Process Injection: Remote Write PE to Memory

Avviso

Un processo ha modificato la memoria in un altro, in modo da contenere un'immagine eseguibile. In genere, indica che un utente malintenzionato sta tentando di eseguire codice senza prima scriverlo su disco.

Applicabile a: Windows, Mac

Process Injection: Remote Overwrite Code

Avviso

Un processo ha modificato la memoria eseguibile in un altro. In condizioni normali, la memoria eseguibile non viene modificata, in particolare da un altro processo. In genere, indica un tentativo di modificare lo scopo dell'esecuzione in un altro processo.

Applicabile a: Windows, Mac

Process Injection: Remote Unmap of Memory

Avviso

Un processo ha rimosso un eseguibile Windows dalla memoria di un altro. Potrebbe indicare l'intenzione di sostituire l'immagine dell'eseguibile con una copia modificata per modificare lo scopo dell'esecuzione.

Applicabile a: Windows, Mac

Process Injection: Remote Thread Creation

Avviso

Un processo ha creato un thread in un altro. Un utente malintenzionato utilizza questa policy per attivare una presenza dannosa inserita in un altro processo.

Applicabile a: Windows, Mac

Process Injection: Remote APC Scheduled

Avviso

Un processo ha modificato l'esecuzione del thread di un altro. Un utente malintenzionato utilizza questa policy per attivare una presenza dannosa inserita in un altro processo.

Applicabile a: Windows

Process Injection: DYLD Injection (Mac OS X only)

Avviso

È stata impostata una variabile di ambiente per cui una libreria condivisa viene inserita in un processo avviato. Gli attacchi possono modificare l'elenco di proprietà (plist) di applicazioni come Safari o sostituire le applicazioni con script bash che causano il caricamento automatico dei relativi moduli all'avvio di un'applicazione.

Applicabile a: Mac

Escalation: LSASS Read

Avviso

È stato effettuato l'accesso a una memoria appartenente al Processo autorità protezione locale di Windows in un modo che indica un tentativo di ottenere le password degli utenti.

Applicabile a: Windows

Escalation: Zero Allocate

Avviso

È stata allocata una pagina null. L'area di memoria è in genere riservata, ma in alcune circostanze può essere allocata. Gli attacchi possono utilizzare questa policy per configurare l'escalation dei privilegi sfruttando alcuni exploit di dereferenziazione null noti, in genere nel kernel.

Applicabile a: Windows, Mac

Execution Control

   

Prevent Service Shutdown from Device

Disabled

Se abilitata, impedisce di arrestare il servizio ATP e inoltre la disinstallazione dell'applicazione.

Kill Unsafe Running Process and Sub-Processes

Disabled

L'abilitazione di questa funzione consente il rilevamento e l'interruzione di qualsiasi minaccia basata sulla memoria che genera sottoprocessi.

Background Threat Detection

Esegui una volta

Determina se sul dispositivo viene eseguita una scansione dei file esistenti. Può essere impostato su Disabilitato, Esegui una volta o Esegui ricorrente.

Se la policy Watch For New Files è abilitata, si consiglia di impostare Background Threat Detection su Run Once. È necessario controllare i file esistenti una sola volta se si controllano anche i file nuovi e aggiornati.

Watch For New Files

Enabled

L'impostazione di questa policy su Enabled consente il rilevamento e l'analisi di tutti i file appena scritti sul dispositivo o che vengono modificati.

 
Nota: Si consiglia di disabilitare Watch for New Files sui dispositivi ad alto traffico (come file o server applicazioni), in quanto ciò potrebbe causare aumenti imprevisti della latenza del disco poiché ogni file dovrebbe essere analizzato mentre viene scritto su disco. Questa condizione è mitigata per impostazione predefinita, in quanto tutti i file PE vengono analizzati durante il tentativo di esecuzione. La condizione può essere ulteriormente mitigata abilitando e impostando Background Threat Detection su Run Recurring.

Set Maximum Archive File Size to Scan

150

Configura la dimensione massima dell'archivio decompresso che è possibile analizzare. La dimensione è in megabyte.

Protection Settings    
Enable Exclude Specific Folders (includes subfolders) Enabled In questo modo è possibile definire le cartelle in File Watcher e Controllo esecuzione in base alla policy e Consentire l'esecuzione dei file nelle cartelle escluse non monitorate.
Exclude Specific Folders (includes subfolders) -vuoto-

Definisce un elenco di cartelle in File Watcher che non vengono monitorate. La policy Consenti esecuzione dei file nelle cartelle di esclusione impedisce la quarantena di tutti i file eseguiti da queste directory. Questa policy impedisce la scansione di queste directory in base a Watch for New Files o Background Threat Detection.

Tutte le esclusioni aggiunte devono essere specificate indicando il percorso assoluto del file eseguibile (includere la lettera dell'unità dal percorso).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Application Control    
Application Control Disabled In questo modo è possibile limitare le modifiche basate sulle applicazioni sul dispositivo, non è possibile aggiungere nuove applicazioni, rimuovere applicazioni e modificare o aggiornare le applicazioni.
Application Control Allowed Folders -vuoto-

In questo modo viene definito un elenco di cartelle nel controllo delle applicazioni che non vengono monitorate.

Tutte le esclusioni aggiunte devono essere specificate indicando il percorso assoluto del file eseguibile (includere la lettera dell'unità dal percorso).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Enable Change Window Disabled Se è abilitata, disabilita temporaneamente Application Control, consentendo di apportare modifiche all'ambiente.
Controllo mediante script    
Controllo mediante script Enabled

Consente l'utilizzo di Controllo script

Script Control monitora le applicazioni e i servizi che possono eseguire azioni all'interno del sistema operativo. Queste applicazioni sono comunemente chiamate interpreti. ATP monitora questi servizi e applicazioni per gli script che tentano di essere eseguiti e, in base alle policy, segnala l'azione intrapresa o ne impedisce l'esecuzione. Queste decisioni vengono prese in base al nome dello script e al percorso relativo in cui è stato eseguito lo script.

Script Control Mode Avviso

Se impostata su Block, non viene eseguito alcun elemento basato su script. È incluso qualsiasi script attivo, basato su macro o su PowerShell. Nelle versioni successive, sono separati nelle rispettive policy.

Applicabile a: 1.2.1371 e build precedenti di ESSE

Script attivo Avviso

Se impostata su Block, impedisce l'esecuzione di JavaScript, VBscript, batch, Python, Perl, PHP, Ruby e molti altri script.

Applicabile a: 1.2.1391 e build successive di ESSE.

Macro Avviso

L'impostazione di questa policy su Alert consente l'analisi delle macro all'interno dei documenti per determinare se eseguono comandi potenzialmente malevoli. Se viene percepita una minaccia, l'impostazione Block impedisce l'esecuzione della macro. Le macro eseguite all'avvio potrebbero impedire il caricamento dell'applicazione.

Applicabile a: 1.2.1391 e build successive di ESSE.

Powershell Avviso

Se impostata su Block, impedisce l'esecuzione di script basati su PowerShell nell'ambiente.

Applicabile a: 1.2.1391 e build successive di ESSE.

Powershell Console Allow

Se impostata su Block, impedisce l'avvio della console PowerShell V3 e di ISE.

Applicabile a: 1.2.1391 e build successive di ESSE.

Enable Approve Scripts in Folders (and Subfolders) Enabled In questo modo è possibile escludere le posizioni in Controllo script dall'analisi.
Approve Scripts in Folders (and Subfolders) -vuoto-

Questa sezione descrive in dettaglio le cartelle non monitorate in Script Control.

  • I percorsi delle cartelle possono essere quelli di un'unità locale, un'unità di rete mappata o un percorso UNC (Universal Naming Convention).
  • Le esclusioni delle cartelle di script devono specificare il percorso relativo della cartella o della sottocartella.
  • Qualsiasi percorso di cartella specificato include anche le eventuali sottocartelle.
  • I caratteri jolly non sono supportati.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Global Allow -vuoto-

Questa policy sfrutta la modalità Disconnected per ESSE. Consente ai clienti di avere un ambiente completamente separato da Internet.

Questa policy determina percorsi di minaccia e certificati specifici che devono essere consentiti all'interno dell'ambiente.

Quarantine List -vuoto-

Questa policy sfrutta la modalità Disconnected per ESSE. Consente ai clienti di avere un ambiente completamente separato da Internet.

Si tratta di un elenco definito di hash non validi noti che vengono automaticamente messi in quarantena quando rilevati dall'agent.

Safe List -vuoto-

Questa policy sfrutta la modalità Disconnected per ESSE. Consente ai clienti di avere un ambiente completamente separato da Internet.

Questa policy determina hash di minaccia specifici che devono essere consentiti all'interno dell'ambiente.

Impostazioni agent    
Suppress Popup Notifications Enabled In questo modo si abilita o si disabilita la possibilità per ESSE di visualizzare una finestra di dialogo del tostapane.
Minimum Popup Notification Level Alto

Definisce ciò che viene notificato all'utente finale se la policy Elimina notifiche popup è disabilitata.

Alto

  • Lo stato della protezione è cambiato (Protected significa che il servizio Advanced Threat Prevention è in esecuzione e protegge il computer, senza richiedere alcuna interazione con l'utente o l'amministratore).
  • Viene rilevata una minaccia e la policy non è impostata sulla risoluzione automatica.

Medio

  • Execution Control ha bloccato l'avvio di un processo perché è stato rilevato come una minaccia.
  • Viene rilevata una minaccia con una mitigazione associata (ad esempio, la minaccia è stata messa in quarantena manualmente), quindi il processo è stato terminato.
  • Un processo è stato bloccato o terminato a causa di una violazione della memoria.
  • È stata rilevata una violazione della memoria e non è in vigore alcuna policy di mitigazione automatica per questo tipo di violazione.

Basso

  • Un file identificato come minaccia è stato aggiunto all'elenco dei file sicuri globale o eliminato dal file system.
  • Una minaccia è stata rilevata e messa automaticamente in quarantena.
  • Un file è stato identificato come minaccia, ma viene ignorato nel computer.
  • Lo stato di una minaccia corrente è cambiato, ad esempio, da Threat in Quarantined, da Quarantined in Waived o da Waived in Quarantined.
Enable BIOS Assurance Enabled Esegue i controlli di integrità del BIOS sui computer Dell supportati (computer di livello enterprise 2016 e successivi)
Enable Auto-upload of Log Files Enabled In questo modo, gli agenti possono caricare automaticamente i file di registro per il plug-in ATP nel cloud ogni giorno a mezzanotte o a 100 MB, a seconda dell'evento che si verifica per primo.
Nota: queste policy riflettono Dell Security Management Server 10.2.3.
Valore della policy Valore consigliato Policy Description

Advanced Threat Prevention (Primary Switch)

Acceso

Il valore di questa policy determina se i client possono utilizzare policy per Advanced Threat Prevention.

In questo modo vengono abilitati anche i valori File Actions ed Execution Control, che non è possibile disabilitare.

Execution Control include Background Threat Detection e File Watcher. Questo modulo all'interno di ATP analizza e astrae le intenzioni di un file eseguibile di tipo Portable Executable (PE) in base alle azioni e al comportamento previsti. Tutti i file rilevati da Controllo esecuzione, BTD e File Watcher vengono elaborati in base alle policy correlate alla quarantena automatica. Queste azioni vengono eseguite in base alla posizione del percorso assoluto del file PE.

File Actions:

 

 

Unsafe Executable Auto Quarantine With Executable Control Enabled

Enabled Determina se i file considerati una grave minaccia vengano messi automaticamente in quarantena.

Unsafe Executable Auto Upload Enabled

Enabled

Determina l'eventuale upload delle minacce gravi nel cloud per eseguire un secondo controllo.

Abnormal Executable Auto Quarantine With Executable Control Enabled

Enabled

Determina se i file considerati una potenziale minaccia vengono automaticamente messi in quarantena.

Abnormal Executable Auto Upload Enabled

Enabled

Determina l'eventuale upload delle minacce potenziali nel cloud per eseguire un secondo controllo.

Allow Execution of Files in Exclude Folders

Enabled

Si applica alla policy Exclude Specific Folders all'interno del gruppo di policy Protection Settings. Ciò consente l'esecuzione degli eseguibili all'interno delle cartelle Excluded anche se vengono messi automaticamente in quarantena.

Auto Delete

Enabled

In questo modo viene abilitato il timer sul criterio giorni fino all'eliminazione; questo vale anche per gli elementi in quarantena. Una volta trascorsi i giorni fino all'eliminazione, tutte le minacce all'interno di una cartella dei quarantena vengono rimosse automaticamente se questo criterio è abilitato.

Days until Deleted

14

Determina il numero di giorni, per minaccia, in cui un elemento rimane nella cartella in quarantena locale.

Memory Actions

   

Memory Protection Enabled

Enabled

Ciò abilita la funzionalità di protezione della memoria; il modulo di protezione della memoria analizza e interpreta le intenzioni delle applicazioni in esecuzione monitorando le interazioni tra le applicazioni e il sistema operativo in memoria.

Enable Exclude executable files

Enabled

Ciò consente di escludere eseguibili specifici da Protezione della memoria.

Exclude executable files

Varia in base all'ambiente

Tutte le esclusioni aggiunte devono essere specificate indicando il percorso del file eseguibile (escludere la lettera dell'unità dal percorso).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Exploitation: Stack Pivot

Terminate

Lo stack per un thread è stato sostituito con un altro. In genere, il computer alloca solo un singolo stack per un thread. Un utente malintenzionato utilizza uno stack diverso per controllare l'esecuzione in un modo che Data Execution Prevention (DEP) non può bloccare.

Applicabile a: Windows, Mac

Exploitation: Stack Protect

Terminate

La protezione della memoria dello stack di un thread è stata modificata per abilitare l'autorizzazione all'esecuzione. La memoria dello stack non deve essere eseguibile, quindi in genere questo significa che un utente malintenzionato sta per eseguire un codice dannoso archiviato nella memoria dello stack come parte di un exploit, un tentativo che altrimenti non verrebbe bloccato da Data Execution Prevention (DEP).

Applicabile a: Windows, Mac

Exploitation: Overwrite Code

Terminate

Il codice presente nella memoria di un processo è stato modificato utilizzando una tecnica che potrebbe indicare un tentativo di ignorare Data Execution Prevention (DEP).

Applicabile a: Windows

Exploitation: Scanner Memory Search

Terminate

Un processo tenta di leggere dati validi di una striscia magnetica da un altro processo, in genere correlato ai computer POS (Point-of-Sale).

Applicabile a: Windows

Exploitation: Malicious Payload

Terminate

È stato rilevato un rilevamento generico di shellcode e payload associato all'exploit.

Applicabile a: Windows

Process Injection: Remote Allocation of Memory

Terminate

Un processo ha allocato memoria in un altro. La maggior parte delle allocazioni avviene solo all'interno dello stesso processo. In genere, indica un tentativo di inserire codice o dati in un altro processo, il che potrebbe rappresentare un primo passo per il rafforzamento di una presenza dannosa su un computer.

Applicabile a: Windows, Mac

Process Injection: Remote Mapping of Memory

Terminate

Un processo ha introdotto codice o dati in un altro. Potrebbe indicare un tentativo di avviare l'esecuzione del codice in un altro processo e il rafforzamento di una presenza dannosa.

Applicabile a: Windows, Mac

Process Injection: Remote Write to Memory

Terminate

Un processo ha modificato la memoria in un altro. In genere si tratta di un tentativo di archiviare codice o dati in una memoria precedentemente allocata (vedere OutOfProcessAllocation), ma è possibile che un utente malintenzionato stia tentando di sovrascrivere la memoria esistente al fine di destinare l'esecuzione a uno scopo dannoso.

Applicabile a: Windows, Mac

Process Injection: Remote Write PE to Memory

Terminate

Un processo ha modificato la memoria in un altro, in modo da contenere un'immagine eseguibile. In genere indica che un utente malintenzionato sta tentando di eseguire codice senza prima scriverlo su disco.

Applicabile a: Windows, Mac

Process Injection: Remote Overwrite Code

Terminate

Un processo ha modificato la memoria eseguibile in un altro. In condizioni normali, la memoria eseguibile non viene modificata, in particolare da un altro processo. In genere, indica un tentativo di modificare lo scopo dell'esecuzione in un altro processo.

Applicabile a: Windows, Mac

Process Injection: Remote Unmap of Memory

Terminate

Un processo ha rimosso un eseguibile Windows dalla memoria di un altro. Potrebbe indicare l'intenzione di sostituire l'immagine dell'eseguibile con una copia modificata per modificare lo scopo dell'esecuzione.

Applicabile a: Windows, Mac

Process Injection: Remote Thread Creation

Terminate

Un processo ha creato un thread in un altro. Un utente malintenzionato utilizza questa policy per attivare una presenza dannosa inserita in un altro processo.

Applicabile a: Windows, Mac

Process Injection: Remote APC Scheduled

Terminate

Un processo ha modificato l'esecuzione del thread di un altro. Un utente malintenzionato utilizza questa policy per attivare una presenza dannosa inserita in un altro processo.

Applicabile a: Windows

Process Injection: DYLD Injection (Mac OS X only)

Terminate

È stata impostata una variabile di ambiente per cui una libreria condivisa viene inserita in un processo avviato. Gli attacchi possono modificare l'elenco di proprietà (plist) di applicazioni come Safari o sostituire le applicazioni con script bash che causano il caricamento automatico dei relativi moduli all'avvio di un'applicazione.

Applicabile a: Mac

Escalation: LSASS Read

Terminate

È stato effettuato l'accesso a una memoria appartenente al Processo autorità protezione locale di Windows in un modo che indica un tentativo di ottenere le password degli utenti.

Applicabile a: Windows

Escalation: Zero Allocate

Terminate

È stata allocata una pagina null. L'area di memoria è in genere riservata, ma in alcune circostanze può essere allocata. Gli attacchi possono utilizzare questa policy per configurare l'escalation dei privilegi sfruttando alcuni exploit di dereferenziazione null noti, in genere nel kernel.

Applicabile a: Windows, Mac

Execution Control

   

Prevent Service Shutdown from Device

Enabled

Se abilitata, impedisce di arrestare il servizio ATP, anche come computer, e inoltre la disinstallazione dell'applicazione.

Kill Unsafe Running Process and Sub-Processes

Enabled

L'abilitazione di questa funzione consente il rilevamento e l'interruzione di qualsiasi minaccia basata sulla memoria che genera sottoprocessi.

Background Threat Detection

Esegui una volta

Determina se sul dispositivo viene eseguita una scansione dei file esistenti. Può essere impostato su Disabilitato, Esegui una volta o Esegui ricorrente.

Se la policy Watch For New Files è abilitata, si consiglia di impostare Background Threat Detection su Run Once. È necessario controllare i file esistenti una sola volta se si controllano anche i file nuovi e aggiornati.

Watch For New Files

Enabled

L'impostazione di questa policy su Enabled consente il rilevamento e l'analisi di tutti i file appena scritti sul dispositivo o che vengono modificati.

 
Nota: Si consiglia di disabilitare Watch for New Files sui dispositivi ad alto traffico (come file o server applicazioni), in quanto ciò potrebbe causare aumenti imprevisti della latenza del disco poiché ogni file dovrebbe essere analizzato mentre viene scritto su disco. Questa condizione è mitigata per impostazione predefinita, in quanto tutti i file PE vengono analizzati durante il tentativo di esecuzione. La condizione può essere ulteriormente mitigata abilitando e impostando Background Threat Detection su Run Recurring.

Set Maximum Archive File Size to Scan

150

Configura la dimensione massima dell'archivio decompresso che è possibile analizzare. La dimensione è in megabyte.

Protection Settings    
Enable Exclude Specific Folders (includes subfolders) Enabled In questo modo è possibile definire le cartelle in File Watcher ed Execution Control in base alla policy Allow Execution of Files in Exclude Folders that are not monitored.
Exclude Specific Folders (includes subfolders) Varia in base all'ambiente

In questo modo viene definito un elenco di cartelle in File Watcher che non vengono monitorate. Questo criterio Consenti esecuzione file nelle cartelle di esclusione impedisce la messa in quarantena di tutti i file eseguiti da queste directory. Questa policy impedisce la scansione di queste directory in base a Watch for New Files o Background Threat Detection.

Tutte le esclusioni aggiunte devono essere specificate indicando il percorso assoluto del file eseguibile (includere la lettera dell'unità dal percorso).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Application Control    
Application Control Disabled In questo modo è possibile limitare le modifiche basate sulle applicazioni sul dispositivo. Non è possibile aggiungere nuove applicazioni, rimuovere applicazioni e modificare o aggiornare le applicazioni.
Application Control Allowed Folders -vuoto-

In questo modo viene definito un elenco di cartelle nel controllo delle applicazioni che non vengono monitorate.

Tutte le esclusioni aggiunte devono essere specificate indicando il percorso assoluto del file eseguibile (includere la lettera dell'unità dal percorso).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Enable Change Window Disabled Se è abilitata, disabilita temporaneamente Application Control, consentendo di apportare modifiche all'ambiente.
Controllo mediante script    
Controllo mediante script Enabled

Consente l'utilizzo di Controllo script

Script Control monitora le applicazioni e i servizi che possono eseguire azioni all'interno del sistema operativo. Queste applicazioni sono comunemente chiamate interpreti. ATP monitora questi servizi e applicazioni per gli script che tentano di essere eseguiti e, in base alle policy, segnala l'azione intrapresa o ne impedisce l'esecuzione. Queste decisioni vengono prese in base al nome dello script e al percorso relativo da cui è stato eseguito lo script.

Script Control Mode Blocco

Se impostata su Block, non viene eseguito alcun elemento basato su script. È incluso qualsiasi script attivo, basato su macro o su PowerShell. Nelle versioni successive, sono separati nelle rispettive policy.

Applicabile a: 1.2.1371 e build precedenti di ESSE

Script attivo Blocco

Se impostata su Block, impedisce l'esecuzione di JavaScript, VBscript, batch, Python, Perl, PHP, Ruby e molti altri script.

Applicabile a: 1.2.1391 e build successive di ESSE.

Macro Blocco

L'impostazione di questa policy su Alert consente l'analisi delle macro all'interno dei documenti per determinare se eseguono comandi potenzialmente malevoli. Se viene percepita una minaccia, l'impostazione "Block" impedisce l'esecuzione della macro. Le macro eseguite all'avvio potrebbero impedire il caricamento dell'applicazione.

Applicabile a: 1.2.1391 e build successive di ESSE.

Powershell Blocco

Se impostata su Block, impedisce l'esecuzione di script basati su PowerShell nell'ambiente.

Applicabile a: 1.2.1391 e build successive di ESSE.

Powershell Console Allow

Se impostata su Block, impedisce l'avvio della console PowerShell V3 e di ISE.

Applicabile a: 1.2.1391 e build successive di ESSE.

Enable Approve Scripts in Folders (and Subfolders) Enabled In questo modo è possibile escludere posizioni da Script Control dall'analisi.
Approve Scripts in Folders (and Subfolders) Varia in base all'ambiente

Questa sezione descrive in dettaglio le cartelle non monitorate in Script Control.

  • I percorsi delle cartelle possono essere quelli di un'unità locale, un'unità di rete mappata o un percorso UNC (Universal Naming Convention).
  • Le esclusioni delle cartelle di script devono specificare il percorso relativo della cartella o della sottocartella.
  • Qualsiasi percorso di cartella specificato include anche le eventuali sottocartelle.
  • I caratteri jolly non sono supportati.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Global Allow Varia in base all'ambiente

Questa policy sfrutta la modalità Disconnected per ESSE. Consente ai clienti di avere un ambiente completamente separato da Internet.

Questa policy determina percorsi di minaccia e certificati specifici che devono essere consentiti all'interno dell'ambiente.

Quarantine List Varia in base all'ambiente

Questa policy sfrutta la modalità Disconnected per ESSE. Consente ai clienti di avere un ambiente completamente separato da Internet.

Si tratta di un elenco definito di hash non validi noti che vengono automaticamente messi in quarantena quando rilevati dall'agent.

Safe List Varia in base all'ambiente

Questa policy sfrutta la modalità Disconnected per ESSE. Consente ai clienti di avere un ambiente completamente separato da Internet.

Questa policy determina hash di minaccia specifici che devono essere consentiti all'interno dell'ambiente.

Impostazioni agent    
Suppress Popup Notifications Disabled In questo modo si abilita o si disabilita la possibilità per ESSE di visualizzare una finestra di dialogo del tostapane.
Minimum Popup Notification Level Alto

Definisce ciò che viene notificato all'utente finale se la policy Suppress Popup Notifications è disabilitata.

Alto

  • Lo stato della protezione è cambiato (Protected significa che il servizio Advanced Threat Prevention è in esecuzione e protegge il computer, senza richiedere alcuna interazione con l'utente o l'amministratore).
  • Viene rilevata una minaccia e la policy non è impostata sulla risoluzione automatica.

Medio

  • Execution Control ha bloccato l'avvio di un processo perché è stato rilevato come una minaccia.
  • Viene rilevata una minaccia con una mitigazione associata (ad esempio, la minaccia è stata messa in quarantena manualmente), quindi il processo è stato terminato.
  • Un processo è stato bloccato o terminato a causa di una violazione della memoria.
  • È stata rilevata una violazione della memoria e non è in vigore alcuna policy di mitigazione automatica per questo tipo di violazione.

Basso

  • Un file identificato come minaccia è stato aggiunto all'elenco dei file sicuri globale o eliminato dal file system.
  • Una minaccia è stata rilevata e messa automaticamente in quarantena.
  • Un file è stato identificato come minaccia, ma viene ignorato nel computer.
  • Lo stato di una minaccia corrente è cambiato, ad esempio, da Threat in Quarantined, da Quarantined in Waived o da Waived in Quarantined.
Enable BIOS Assurance Enabled Esegue i controlli di integrità del BIOS sui computer Dell supportati (computer di livello enterprise 2016 e successivi)
Enable Auto-upload of Log Files Enabled In questo modo, gli agenti possono caricare automaticamente i file di registro per il plug-in ATP nel cloud ogni giorno a mezzanotte o a 100 MB, a seconda dell'evento che si verifica per primo.
Enable Standard UI Enabled In questo modo si abilita un'opzione aggiuntiva utilizzando Dell Data Security Console su un endpoint. Consente agli utenti locali di visualizzare le minacce, gli eventi di memoria o gli script rilevati sull'endpoint locale. Questa opzione è disponibile nel menu visualizzabile cliccando con il pulsante destro del mouse sull'endpoint o utilizzando l'ingranaggio delle impostazioni all'interno di Dell Data Security Console in un'opzione denominata Advanced Threat Prevention.

Una volta selezionata questa opzione, sono disponibili ulteriori interruttori che mostrano o nascondono le minacce, gli eventi di memoria o gli script rilevati sul computer.

Questa policy richiede Dell Encryption Management Agent 8.18.0 o versione successiva.

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126118
Article Type: Solution
Last Modified: 04 Mar 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.