Article Number: 000126118
Não aplicável
Por padrão, é recomendável que o Advanced Threat Prevention (ATP) seja inicialmente executado em um modo de aprendizagem. Todas as informações sobre ameaças são coletadas para dar aos administradores a flexibilidade de gerenciar ameaças e Programas Potencialmente Indesejados (PUPs) em seu ambiente e colocar aplicativos essenciais na lista de permissões.
Para obter mais informações sobre como modificar políticas no Dell Endpoint Security Suite Enterprise, consulte Como modificar políticas no Dell Data Protection Server.
Para obter mais informações e regras sobre a criação de exclusões no Dell Endpoint Security Suite Enterprise, consulte Como adicionar exclusões no Dell Endpoint Security Suite Enterprise.
| Valor da política | Valor sugerido | Policy Description |
|---|---|---|
| Advanced Threat Prevention (switch principal) |
Aceso |
Esse valor de política determina se os clients podem consumir políticas para o Advanced Threat Prevention. Ele também habilita Ações de arquivo e Controle de execução, que não podem ser desabilitados. O Controle de execução abrange a Detecção de ameaças em segundo plano e o File Watcher. Este módulo no ATP analisa e abstrai as intenções de um Executável Portátil (PE) com base nas ações e no comportamento pretendidos. Todos os arquivos detectados pelo Controle de execução e, também, pela BTD e pelo File Watcher são processados com base nas políticas que se correlacionam à quarentena automática. Essas ações são executadas com base no local do caminho absoluto do executável portátil. |
| Ações do arquivo: |
|
|
| Quarentena automática de executável não seguro com o controle do executável ativado |
Disabled | Isso determina se os arquivos que são considerados uma ameaça grave são automaticamente colocados em quarentena. |
| Carregamento automático de executável não seguro ativado |
Enabled |
Define se as ameaças graves são carregadas na nuvem para que seja possível verificá-las mais uma vez. |
| Quarentena automática de executável anormal com o controle do executável ativado |
Disabled |
Isso determina se os arquivos que são considerados uma ameaça potencial são automaticamente colocados em quarentena. |
| Carregamento automático de executável anormal ativado |
Enabled |
Define se as possíveis ameaças são carregadas na nuvem para que seja possível verificá-las mais uma vez. |
| Permitir a execução de arquivos em Excluir pastas |
Enabled |
Isso se aplica à política Excluir pastas específicas do grupo de políticas Configurações de proteção. Isso permite que os executáveis dentro das pastas excluídas sejam executados mesmo que sejam automaticamente colocados em quarentena. |
| Exclusão automática |
Disabled |
Isso habilita o temporizador na política Dias até a exclusão. Isso se aplica a itens em quarentena, uma vez que os Dias até a exclusão expiram, todas as ameaças dentro de uma pasta de quarentena são removidas automaticamente se essa política estiver habilitada. |
| Dias até a exclusão |
14 |
Isso determina o número de dias, por ameaça, que um item permanece na pasta de quarentena local. |
| Ações de memória |
||
| Proteção de memória ativada |
Enabled |
Isso ativa a funcionalidade Proteção de memória O módulo de proteção de memória analisa e interpreta as intenções de executar aplicativos monitorando as interações entre aplicativos e o sistema operacional na memória. |
| Ativar Excluir arquivos executáveis |
Enabled |
Isso permite que executáveis específicos sejam excluídos da proteção de memória. |
| Excluir arquivos executáveis |
Em branco |
Todas as exclusões adicionadas devem ser especificadas usando o caminho relativo desse arquivo executável (exclua a letra da unidade do caminho). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Exploração: Stack pivot |
Alerta |
A pilha de um thread foi substituída por uma pilha diferente. Geralmente, o computador aloca uma única pilha para um thread. Um invasor pode usar uma pilha diferente para controlar a execução de forma que a Prevenção de Execução de Dados (DEP) não possa bloquear. Aplica-se a: Windows, Mac |
| Exploração: Proteção de pilha |
Alerta |
A proteção de memória da pilha de um thread foi modificada para habilitar a permissão de execução. A memória da pilha não deve ser executável, portanto, isso normalmente significa que um invasor está se preparando para executar código mal-intencionado armazenado na memória da pilha, como parte de uma exploração. Essa tentativa, de outra forma, seria bloqueada pela Prevenção de Execução de Dados (DEP). Aplica-se a: Windows, Mac |
| Exploração: Substituir código |
Alerta |
O código que reside na memória de um processo foi modificado usando uma técnica que pode indicar uma tentativa de contornar a Prevenção de Execução de Dados (DEP). Aplica-se a: Windows |
| Exploração: Pesquisa de memória do scanner |
Alerta |
Um processo está tentando ler dados de monitoramento válidos da tarja magnética de outro processo. Normalmente relacionados a computadores de ponto de venda (POS) Aplica-se a: Windows |
| Exploração: Payload mal-intencionada |
Alerta |
Um processo está tentando ler dados de monitoramento válidos da tarja magnética de outro processo. Normalmente relacionados a computadores de ponto de venda (POS) Aplica-se a: Windows |
| Exploração: Payload mal-intencionada |
Alerta |
Uma detecção de shellcode e payload genérica, associada à exploração, foi identificada. Aplica-se a: Windows |
| Injeção de processos: Alocação remota de memória |
Alerta |
Um processo alocou memória em outro processo. A maioria das alocações ocorrem apenas no mesmo processo. Isso geralmente indica uma tentativa de injetar códigos ou dados em outro processo, o que pode ser o primeiro passo para fortalecer uma presença mal-intencionada no computador. Aplica-se a: Windows, Mac |
| Injeção de processos: Mapeamento remoto da memória |
Alerta |
Um processo introduziu códigos ou dados em outro processo. Essa pode ser uma tentativa de começar a executar códigos em outro processo e fortalecer uma presença mal-intencionada. Aplica-se a: Windows, Mac |
| Injeção de processos: Gravação remota na memória |
Alerta |
Um processo modificou a memória em outro processo. Geralmente, essa é uma tentativa de armazenar códigos ou dados na memória alocada anteriormente (consulte Alocação fora do processo), mas é possível que um invasor esteja tentando substituir a memória existente para desviar a execução para uma finalidade mal-intencionada. Aplica-se a: Windows, Mac |
| Injeção de processos: Gravação remota de PE na memória |
Alerta |
Um processo modificou a memória em outro processo para incluir uma imagem executável. Geralmente, isso indica que um invasor está tentando executar códigos sem, primeiro, gravá-los no disco. Aplica-se a: Windows, Mac |
| Injeção de processos: Substituir código remoto |
Alerta |
Um processo modificou a memória executável em outro processo. Em condições normais, a memória executável não é modificada, sobretudo por outro processo. Essa é geralmente uma tentativa de desviar a execução em outro processo. Aplica-se a: Windows, Mac |
| Injeção de processos: Cancelamento do mapeamento remoto de memória |
Alerta |
Um processo removeu um executável do Windows da memória de outro processo. Isso pode indicar uma intenção de substituir a imagem executável por uma cópia modificada para desviar a execução. Aplica-se a: Windows, Mac |
| Injeção de processos: Criação remota de thread |
Alerta |
Um processo criou um thread em outro processo. Um invasor faz isso para ativar a presença mal-intencionada que foi injetada em outro processo. Aplica-se a: Windows, Mac |
| Injeção de processos: APC remoto agendado |
Alerta |
Um processo desviou a execução do thread de outro processo. Um invasor faz isso para ativar a presença mal-intencionada que foi injetada em outro processo. Aplica-se a: Windows |
| Injeção de processos: Injeção de DYLD (somente Mac OS X) |
Alerta |
Uma variável de ambiente definida faz com que uma biblioteca compartilhada seja injetada em um processo iniciado. Os ataques podem modificar o plist de aplicativos, como o Safari, ou substituir aplicativos por scripts bash que fazem com que seus módulos sejam carregados automaticamente quando um aplicativo é iniciado. Aplica-se a: Mac |
| Atendimento de segundo nível: Leitura de LSASS |
Alerta |
A memória pertencente ao processo da autoridade de segurança local do Windows foi acessada de uma forma que indica a tentativa de obter as senhas dos usuários. Aplica-se a: Windows |
| Atendimento de segundo nível: Alocação zero |
Alerta |
Uma página nula foi alocada. A região da memória é normalmente reservada. No entanto, em determinadas circunstâncias, ela pode ser alocada. Os ataques podem usá-la para configurar o escalonamento de privilégios aproveitando algumas explorações conhecidas de desatribuição nula, normalmente no kernel. Aplica-se a: Windows, Mac |
| Execution Control |
||
| Impedir o desligamento do serviço pelo dispositivo |
Disabled |
Quando ativada, essa opção impossibilita a interrupção do serviço ATP. Ela também impede que o aplicativo seja desinstalado. |
| Eliminar processos não seguros em execução e seus subprocessos |
Disabled |
A ativação desse recurso permite a detecção e o encerramento de qualquer ameaça baseada em memória, que gere subprocessos. |
| Detecção de ameaças em segundo plano |
Executar uma vez |
Determina se uma verificação dos arquivos existentes é executada no dispositivo. Isso pode ser definido como Desativado, Executar uma vez ou Executar regularmente. Se a opção Procurar novos arquivos estiver habilitada, é recomendável definir a configuração de Detecção de ameaças em segundo plano como Executar uma vez. Você precisará verificar os arquivos existentes somente uma vez se também estiver procurando arquivos novos e atualizados. |
| Procurar novos arquivos |
Enabled |
Esse recurso habilitado permite a detecção e a análise de todos os arquivos que foram gravados recentemente no dispositivo ou que foram alterados.
Nota: É recomendável desativar a opção Procurar novos arquivos em dispositivos de alto tráfego (como arquivos ou servidores de aplicativos), pois isso pode causar aumentos inesperados na latência do disco, pois cada arquivo teria que ser analisado à medida que é gravado no disco. Esse problema é reduzido por padrão, pois todos os executáveis portáteis são analisados durante a tentativa de execução. Ele pode ser atenuado ainda mais ativando e definindo a configuração de Detecção de ameaças em segundo plano como Executar regularmente.
|
| Definir o tamanho máximo do arquivo de arquivamento para verificação |
150 |
Configura o tamanho máximo do arquivo descompactado que pode ser analisado O tamanho está em megabytes. |
| Configurações de proteção | ||
| Ativar Excluir pastas específicas (inclui subpastas) | Enabled | Isso permite definir pastas no File Watcher e no Controle de execução com base na política e permitir a execução de arquivos em pastas excluídas que não são monitoradas. |
| Excluir pastas específicas (inclui subpastas) | -Em branco- | Define uma lista de pastas no File Watcher que não estão sendo monitoradas, a política de Permitir a execução de arquivos em pastas excluídas impede a quarentena de todos os arquivos executados a partir desses diretórios. Essa política impede a varredura desses diretórios com o recurso Procurar novos arquivos ou Detecção de ameaças em segundo plano. Todas as exclusões adicionadas precisam ser especificadas usando o caminho absoluto desse arquivo executável (inclua a letra da unidade do caminho). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Application Control | ||
| Application Control | Disabled | Isso permite restringir alterações baseadas em aplicativos no dispositivo, nenhum novo aplicativo pode ser adicionado, nenhum aplicativo pode ser removido e nenhum aplicativo pode ser modificado ou atualizado. |
| Pastas permitidas do controle de aplicativos | -Em branco- | Isso define uma lista de pastas no controle de aplicativos que não são monitoradas. Todas as exclusões adicionadas precisam ser especificadas usando o caminho absoluto desse arquivo executável (inclua a letra da unidade do caminho). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Ativar Alterar janela | Disabled | Quando habilitada, essa opção desativa temporariamente o Controle de aplicativos, permitindo que modificações aconteçam no ambiente. |
| Script Control | ||
| Script Control | Enabled | Permite o uso do Script Control O controle de scripts monitora aplicativos e serviços que podem executar ações no sistema operacional. Esses aplicativos geralmente são chamados de interpretadores. O ATP monitora esses aplicativos e serviços durante a tentativa de execução de quaisquer scripts e, com base em políticas, notifica sobre as ações que foram tomadas ou impede que as ações ocorram. Essas decisões são tomadas com base no nome do script e no caminho relativo em que o script foi executado. |
| Modo de controle de script | Alerta | Quando essa opção é definida como Bloquear, nenhum item baseado em script é executado. Inclusive qualquer script ativo, script baseado em macro ou script baseado em Powershell. Em versões posteriores, eles são separados em suas próprias políticas. Aplica-se a: ESSE compilação 1.2.1371 ou anterior |
| Active Script | Alerta | Quando essa opção é definida como Bloquear, ela desabilita a execução de JavaScript, VBscript, lotes, Python, Perl, PHP, Ruby e de vários outros scripts. Aplica-se a: ESSE compilação 1.2.1391 ou posterior. |
| Macros | Alerta | Definir essa opção como Alerta permite a análise de macros dentro dos documentos para determinar se eles estão executando comandos possivelmente mal-intencionados. Se uma ameaça for percebida, a configuração Bloquear impedirá que a macro seja executada. As macros executadas no início podem impedir o carregamento do aplicativo. Aplica-se a: ESSE compilação 1.2.1391 ou posterior. |
| PowerShell | Alerta | Quando essa opção é definida como Bloquear, ela impede que qualquer script baseado em Powershell seja executado no ambiente. Aplica-se a: ESSE compilação 1.2.1391 ou posterior. |
| Console do Powershell | Permitir | Quando essa opção é definida como Bloquear, ela impede que o console do Powershell V3 e o ISE sejam iniciados. Aplica-se a: ESSE compilação 1.2.1391 ou posterior. |
| Habilitar Aprovar scripts em pastas (e subpastas) | Enabled | Isso permite que a capacidade de excluir locais no controle de scripts seja analisada. |
| Aprovar scripts em pastas (e subpastas) | -Em branco- | Esta seção detalha as pastas no controle de scripts que não são monitoradas.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Permissão global | -Em branco- | Essa política é utilizada pelo Modo desconectado do ESSE. Ela permite que os clientes tenham um ambiente totalmente separado da Internet. Essa política determina caminhos e certificados de ameaças específicos que devem ser permitidos no ambiente. |
| Lista de quarentena | -Em branco- | Essa política é utilizada pelo Modo desconectado do ESSE. Ela permite que os clientes tenham um ambiente totalmente separado da Internet. Essa é uma lista definida de hashes ruins conhecidos, que são automaticamente colocados em quarentena quando encontrados pelo agente. |
| Lista segura | -Em branco- | Essa política é utilizada pelo Modo desconectado do ESSE. Ela permite que os clientes tenham um ambiente totalmente separado da Internet. Essa política determina hashes de ameaças específicos que devem ser permitidos no ambiente. |
| Configurações do agente | ||
| Suprimir notificações pop-up | Enabled | Isso habilita ou desabilita a capacidade do ESSE de exibir uma caixa de diálogo de notificação. |
| Nível mínimo de notificação pop-up | High | Isso define o que será notificado ao usuário final se a política Suprimir notificações pop-up estiver desabilitada. High
Média
Low
|
| Ativar a garantia do BIOS | Enabled | Realiza verificações de integridade do BIOS em computadores Dell compatíveis (computadores de classe empresarial de 2016 ou mais recentes) |
| Ativar carregamento automático de arquivos de log | Enabled | Isso permite que os agentes carreguem automaticamente seus arquivos de log do plug-in ATP para a nuvem todos os dias à meia-noite ou a 100 MB, o que ocorrer primeiro. |
| Valor da política | Valor sugerido | Policy Description |
|---|---|---|
| Advanced Threat Prevention (switch principal) |
Aceso |
Esse valor de política determina se os clients podem consumir políticas para o Advanced Threat Prevention. Ele também habilita Ações de arquivo e Controle de execução, que não podem ser desabilitados. O Controle de execução abrange a Detecção de ameaças em segundo plano e o File Watcher. Este módulo no ATP analisa e abstrai as intenções de um Executável Portátil (PE) com base nas ações e no comportamento pretendidos. Todos os arquivos detectados pelo Controle de execução, BTD e File Watcher são processados com base nas políticas que se correlacionam à quarentena automática. Essas ações são executadas com base no local do caminho absoluto do executável portátil. |
| Ações do arquivo: |
|
|
| Quarentena automática de executável não seguro com o controle do executável ativado |
Enabled | Isso determina se os arquivos que são considerados uma ameaça grave são automaticamente colocados em quarentena. |
| Carregamento automático de executável não seguro ativado |
Enabled |
Define se as ameaças graves são carregadas na nuvem para que seja possível verificá-las mais uma vez. |
| Quarentena automática de executável anormal com o controle do executável ativado |
Enabled |
Isso determina se os arquivos que são considerados uma ameaça potencial são automaticamente colocados em quarentena. |
| Carregamento automático de executável anormal ativado |
Enabled |
Define se as possíveis ameaças são carregadas na nuvem para que seja possível verificá-las mais uma vez. |
| Permitir a execução de arquivos em Excluir pastas |
Enabled |
Isso se aplica à política Excluir pastas específicas do grupo de políticas Configurações de proteção. Isso permite que os executáveis dentro das pastas excluídas sejam executados mesmo que sejam automaticamente colocados em quarentena. |
| Exclusão automática |
Enabled |
Isso ativa o temporizador nos dias até a exclusão da política. Isso também se aplica aos itens em quarentena. Depois que os dias até a exclusão expirarem, todas as ameaças dentro de uma pasta de quarentena serão removidas automaticamente se essa política estiver habilitada. |
| Dias até a exclusão |
14 |
Determina o número de dias, por ameaça, que um item permanece na pasta de quarentena local. |
| Ações de memória |
||
| Proteção de memória ativada |
Enabled |
Isso ativa a funcionalidade de proteção de memória, o módulo de proteção de memória analisa e interpreta as intenções de executar aplicativos monitorando as interações entre aplicativos e o sistema operacional na memória. |
| Ativar Excluir arquivos executáveis |
Enabled |
Isso permite que executáveis específicos sejam excluídos da proteção de memória. |
| Excluir arquivos executáveis |
Varia de acordo com o ambiente |
Todas as exclusões adicionadas devem ser especificadas usando o caminho relativo desse arquivo executável (exclua a letra da unidade do caminho). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
| Exploração: Stack pivot |
Encerrar |
A pilha de um thread foi substituída por uma pilha diferente. Geralmente, o computador aloca somente uma única pilha para um thread. Um invasor pode usar uma pilha diferente para controlar a execução de forma que a Prevenção de Execução de Dados (DEP) não bloqueie. Aplica-se a: Windows, Mac |
| Exploração: Proteção de pilha |
Encerrar |
A proteção de memória da pilha de um thread foi modificada para habilitar a permissão de execução. A memória da pilha não deve ser executável, portanto, isso normalmente significa que um invasor está se preparando para executar código mal-intencionado armazenado na memória da pilha, como parte de uma exploração. Essa tentativa. de outra forma, não seria bloqueada pela Prevenção de Execução de Dados (DEP). Aplica-se a: Windows, Mac |
| Exploração: Substituir código |
Encerrar |
O código que reside na memória de um processo foi modificado usando uma técnica que pode indicar uma tentativa de contornar a Prevenção de Execução de Dados (DEP). Aplica-se a: Windows |
| Exploração: Pesquisa de memória do scanner |
Encerrar |
Um processo está tentando ler dados de monitoramento válidos da tarja magnética de outro processo, que normalmente estão relacionados a computadores de ponto de venda (POS). Aplica-se a: Windows |
| Exploração: Payload mal-intencionada |
Encerrar |
Uma detecção de shellcode e payload genérica, associada à exploração, foi identificada. Aplica-se a: Windows |
| Injeção de processos: Alocação remota de memória |
Encerrar |
Um processo alocou memória em outro processo. A maioria das alocações ocorrem apenas no mesmo processo. Isso geralmente indica uma tentativa de injetar códigos ou dados em outro processo, o que pode ser o primeiro passo para fortalecer uma presença mal-intencionada no computador. Aplica-se a: Windows, Mac |
| Injeção de processos: Mapeamento remoto da memória |
Encerrar |
Um processo introduziu códigos ou dados em outro processo. Essa pode ser uma tentativa de começar a executar códigos em outro processo e fortalecer uma presença mal-intencionada. Aplica-se a: Windows, Mac |
| Injeção de processos: Gravação remota na memória |
Encerrar |
Um processo modificou a memória em outro processo. Geralmente, essa é uma tentativa de armazenar códigos ou dados na memória alocada anteriormente (consulte Alocação fora do processo), mas é possível que um invasor esteja tentando substituir a memória existente para desviar a execução para uma finalidade mal-intencionada. Aplica-se a: Windows, Mac |
| Injeção de processos: Gravação remota de PE na memória |
Encerrar |
Um processo modificou a memória em outro processo para incluir uma imagem executável. Geralmente, isso indica que um invasor está tentando executar códigos sem, primeiro, gravá-los no disco. Aplica-se a: Windows, Mac |
| Injeção de processos: Substituir código remoto |
Encerrar |
Um processo modificou a memória executável em outro processo. Em condições normais, a memória executável não é modificada, sobretudo por outro processo. Essa é geralmente uma tentativa de desviar a execução em outro processo. Aplica-se a: Windows, Mac |
| Injeção de processos: Cancelamento do mapeamento remoto de memória |
Encerrar |
Um processo removeu um executável do Windows da memória de outro processo. Isso pode indicar uma intenção de substituir a imagem executável por uma cópia modificada para desviar a execução. Aplica-se a: Windows, Mac |
| Injeção de processos: Criação remota de thread |
Encerrar |
Um processo criou um thread em outro processo. Um invasor faz isso para ativar a presença mal-intencionada que foi injetada em outro processo. Aplica-se a: Windows, Mac |
| Injeção de processos: APC remoto agendado |
Encerrar |
Um processo desviou a execução do thread de outro processo. Um invasor faz isso para ativar a presença mal-intencionada que foi injetada em outro processo. Aplica-se a: Windows |
| Injeção de processos: Injeção de DYLD (somente Mac OS X) |
Encerrar |
Uma variável de ambiente definida faz com que uma biblioteca compartilhada seja injetada em um processo iniciado. Os ataques podem modificar o plist de aplicativos, como o Safari, ou substituir aplicativos por scripts bash que fazem com que seus módulos sejam carregados automaticamente quando um aplicativo é iniciado. Aplica-se a: Mac |
| Atendimento de segundo nível: Leitura de LSASS |
Encerrar |
A memória pertencente ao processo da autoridade de segurança local do Windows foi acessada de uma forma que indica a tentativa de obter as senhas dos usuários. Aplica-se a: Windows |
| Atendimento de segundo nível: Alocação zero |
Encerrar |
Uma página nula foi alocada. A região da memória é normalmente reservada. No entanto, em determinadas circunstâncias, ela pode ser alocada. Os ataques podem usá-la para estabelecer o escalonamento de privilégios aproveitando algumas explorações conhecidas de desatribuição nula, normalmente no kernel. Aplica-se a: Windows, Mac |
| Execution Control |
||
| Impedir o desligamento do serviço pelo dispositivo |
Enabled |
Quando ativada, essa opção impossibilita a interrupção do serviço ATP, mesmo como um computador. Ela também impede que o aplicativo seja desinstalado. |
| Eliminar processos não seguros em execução e seus subprocessos |
Enabled |
A ativação desse recurso permite a detecção e o encerramento de qualquer ameaça baseada em memória, que gere subprocessos. |
| Detecção de ameaças em segundo plano |
Executar uma vez |
Determina se uma verificação dos arquivos existentes é executada no dispositivo. Isso pode ser definido como Desativado, Executar uma vez ou Executar regularmente. Se a opção Procurar novos arquivos estiver habilitada, é recomendável definir a configuração de Detecção de ameaças em segundo plano como Executar uma vez. Você precisará verificar os arquivos existentes somente uma vez se também estiver procurando arquivos novos e atualizados. |
| Procurar novos arquivos |
Enabled |
Esse recurso habilitado permite a detecção e a análise de todos os arquivos que foram gravados recentemente no dispositivo ou que foram alterados.
Nota: É recomendável desativar a opção Procurar novos arquivos em dispositivos de alto tráfego (como arquivos ou servidores de aplicativos), pois isso pode causar aumentos inesperados na latência do disco, pois cada arquivo teria que ser analisado à medida que é gravado no disco. Esse problema é reduzido por padrão, pois todos os executáveis portáteis são analisados durante a tentativa de execução. Ele pode ser atenuado ainda mais ativando e definindo a configuração de Detecção de ameaças em segundo plano como Executar regularmente.
|
| Definir o tamanho máximo do arquivo de arquivamento para verificação |
150 |
Configura o tamanho máximo do arquivo descompactado que pode ser analisado O tamanho está em megabytes. |
| Configurações de proteção | ||
| Ativar Excluir pastas específicas (inclui subpastas) | Enabled | Isso permite definir pastas no File Watcher e no Controle de execução com base na política Permitir a execução de arquivos em pastas excluídas que não são monitoradas. |
| Excluir pastas específicas (inclui subpastas) | Varia de acordo com o ambiente | Isso define uma lista de pastas no File Watcher que não são monitoradas. Essa política de Permitir a execução de arquivos em pastas excluídas impede a quarentena de todos os arquivos executados a partir desses diretórios. Essa política impede a varredura desses diretórios com o recurso Procurar novos arquivos ou Detecção de ameaças em segundo plano. Todas as exclusões adicionadas precisam ser especificadas usando o caminho absoluto desse arquivo executável (inclua a letra da unidade do caminho). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Application Control | ||
| Application Control | Disabled | Isso permite a capacidade de restringir alterações baseadas em aplicativos no dispositivo. Nenhum novo aplicativo pode ser adicionado, nenhum aplicativo pode ser removido e nenhum aplicativo pode ser modificado ou atualizado. |
| Pastas permitidas do controle de aplicativos | -Em branco- | Isso define uma lista de pastas no controle de aplicativos que não são monitoradas. Todas as exclusões adicionadas precisam ser especificadas usando o caminho absoluto desse arquivo executável (inclua a letra da unidade do caminho). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
| Ativar Alterar janela | Disabled | Quando habilitada, essa opção desativa temporariamente o Controle de aplicativos, permitindo que modificações aconteçam no ambiente. |
| Script Control | ||
| Script Control | Enabled | Permite o uso do Script Control O controle de scripts monitora aplicativos e serviços que podem executar ações no sistema operacional. Esses aplicativos geralmente são chamados de interpretadores. O ATP monitora esses aplicativos e serviços durante a tentativa de execução de quaisquer scripts e, com base em políticas, notifica sobre as ações que foram tomadas ou impede que as ações ocorram. Essas decisões são tomadas com base no nome do script e no caminho relativo a partir do qual o script foi executado. |
| Modo de controle de script | Bloquear | Quando essa opção é definida como Bloquear, nenhum item baseado em script é executado. Inclusive qualquer script ativo, script baseado em macro ou script baseado em Powershell. Em versões posteriores, eles são separados em suas próprias políticas. Aplica-se a: ESSE compilação 1.2.1371 ou anterior |
| Active Script | Bloquear | Quando essa opção é definida como Bloquear, ela desabilita a execução de JavaScript, VBscript, lotes, Python, Perl, PHP, Ruby e de vários outros scripts. Aplica-se a: ESSE compilação 1.2.1391 ou posterior. |
| Macros | Bloquear | Definir essa opção como Alerta permite a análise de macros dentro dos documentos para determinar se eles estão executando comandos possivelmente mal-intencionados. Se uma ameaça for percebida, a configuração "Bloquear" impedirá que a macro seja executada. As macros executadas no início podem impedir o carregamento do aplicativo. Aplica-se a: ESSE compilação 1.2.1391 ou posterior. |
| PowerShell | Bloquear | Quando essa opção é definida como Bloquear, ela impede que qualquer script baseado em Powershell seja executado no ambiente. Aplica-se a: ESSE compilação 1.2.1391 ou posterior. |
| Console do Powershell | Permitir | Quando essa opção é definida como Bloquear, ela impede que o console do Powershell V3 e o ISE sejam iniciados. Aplica-se a: ESSE compilação 1.2.1391 ou posterior. |
| Habilitar Aprovar scripts em pastas (e subpastas) | Enabled | Isso permite que a capacidade de excluir locais do controle de scripts seja analisada. |
| Aprovar scripts em pastas (e subpastas) | Varia de acordo com o ambiente | Esta seção detalha as pastas no controle de scripts que não são monitoradas.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
| Permissão global | Varia de acordo com o ambiente | Essa política é utilizada pelo Modo desconectado do ESSE. Ela permite que os clientes tenham um ambiente totalmente separado da Internet. Essa política determina caminhos e certificados de ameaças específicos que devem ser permitidos no ambiente. |
| Lista de quarentena | Varia de acordo com o ambiente | Essa política é utilizada pelo Modo desconectado do ESSE. Ela permite que os clientes tenham um ambiente totalmente separado da Internet. Essa é uma lista definida de hashes ruins conhecidos, que são automaticamente colocados em quarentena quando encontrados pelo agente. |
| Lista segura | Varia de acordo com o ambiente | Essa política é utilizada pelo Modo desconectado do ESSE. Ela permite que os clientes tenham um ambiente totalmente separado da Internet. Essa política determina hashes de ameaças específicos que devem ser permitidos no ambiente. |
| Configurações do agente | ||
| Suprimir notificações pop-up | Disabled | Isso habilita ou desabilita a capacidade do ESSE de exibir uma caixa de diálogo de notificação. |
| Nível mínimo de notificação pop-up | High | Isso define o que será notificado ao usuário final se a política Suprimir notificações pop-up estiver desabilitada. High
Média
Low
|
| Ativar a garantia do BIOS | Enabled | Realiza verificações de integridade do BIOS em computadores Dell compatíveis (computadores de classe empresarial de 2016 ou mais recentes) |
| Ativar carregamento automático de arquivos de log | Enabled | Isso permite que os agentes carreguem automaticamente seus arquivos de log do plug-in ATP para a nuvem todos os dias à meia-noite ou a 100 MB, o que ocorrer primeiro. |
| Habilitar a IU padrão | Enabled | Isso habilita uma opção adicional usando o Dell Data Security Console em um endpoint. Ela permite que os usuários locais vejam quais ameaças, eventos de memória ou scripts foram detectados no endpoint local. Essa opção está presente usando o menu de clique com o botão direito no endpoint ou usando a engrenagem de configurações do Dell Data Security Console em uma opção intitulada Advanced Threat Prevention. Quando essa opção é selecionada, há botões adicionais que mostram ou ocultam as ameaças, eventos de memória ou scripts que foram detectados nesse computador. Esta política exige o Dell Encryption Management Agent versão 8.18.0 ou posterior. |
Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.
Dell Endpoint Security Suite Enterprise
04 Mar 2024
10
Solution