Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Règles recommandées par Dell pour Dell Endpoint Security Suite Enterprise Advanced Threat Protection et Prevention

Summary: Dell Endpoint Security Suite Enterprise offre des fonctionnalités de prévention et de protection contre les menaces les plus récentes et les plus destructrices d'aujourd'hui.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Remarque :

Produits concernés :

  • Dell Endpoint Security Suite Enterprise

Cause

Sans objet

Resolution

Par défaut, Advanced Threat Prevention (ATP) propose de s'exécuter initialement en mode d'apprentissage. Toutes les informations sur les menaces sont collectées pour offrir aux administrateurs la flexibilité nécessaire pour gérer les menaces et les programmes potentiellement indésirables au sein de leur environnement et autoriser la liste des applications critiques.

Pour plus d’informations sur la modification des politiques dans Dell Endpoint Security Suite Enterprise, consultez l’article Comment modifier des règles sur le serveur Dell Data Protection.

Pour plus d’informations et pour connaître les règles de création d’exclusions dans Dell Endpoint Security Suite Enterprise, consultez l’article Comment ajouter des exclusions dans Dell Endpoint Security Suite Enterprise.

Remarque : l'utilisation des fonctions de détection des menaces en arrière-plan et de surveillance des nouveaux fichiers pour les serveurs de fichiers et d'applications doit faire l'objet d'une attention particulière. Vous trouverez plus d'informations à ce sujet ci-dessous. Ces appareils sont séparés par un groupe de points de terminaison au sein de Dell Security Management Server pour leur permettre d'avoir des règles différentes des autres appareils de l'environnement.
Remarque : ces règles reflètent la version 10.2.3 de Dell Security Management Server.
Valeur de règle Valeur suggérée Policy Description

Advanced Threat Prevention (commutateur principal)

Allumé

Cette valeur de règle détermine si les clients peuvent utiliser des règles pour Advanced Threat Prevention.

Cela active également les actions de fichier et le contrôle de l'exécution, qui ne peuvent pas être désactivés.

Le contrôle de l'exécution englobe les fonctions de détection des menaces en arrière-plan et de surveillance des fichiers. Ce module au sein d'ATP analyse et extrait les intentions d'un exécutable portable (PE) en fonction de ses actions et de son comportement prévus. Tous les fichiers détectés par le contrôle de l'exécution, ainsi que par les fonctions de détection des menaces en arrière-plan et de surveillance des fichiers, sont traités en fonction des règles corrélées à la mise en quarantaine automatique. Ces actions sont effectuées en fonction de l'emplacement du chemin absolu de l'exécutable portable.

Actions de fichier :

 

 

Mise en quarantaine automatique du fichier exécutable dangereux avec contrôle de l'exécutable activé

Désactivé Ce contrôle détermine si les fichiers considérés comme des menaces graves sont automatiquement mis en quarantaine.

Téléchargement automatique de l'exécutable dangereux activé

Activé

Définit si les menaces graves sont téléchargées vers le Cloud, afin d'obtenir un deuxième avis sur celles-ci.

Mise en quarantaine automatique du fichier exécutable anormal avec contrôle de l'exécutable activé

Désactivé

Cela permet de déterminer si les fichiers considérés comme des menaces potentielles sont automatiquement mis en quarantaine.

Téléchargement automatique de l'exécutable anormal activé

Activé

Définit si les menaces potentielles sont téléchargées vers le Cloud, afin d'obtenir un deuxième avis sur celles-ci.

Autoriser l'exécution des fichiers dans les dossiers à exclure

Activé

Cela s'applique à la règle Exclure des dossiers spécifiques dans le groupe de règles Paramètres de protection. Cela permet aux fichiers exécutables contenus dans les dossiers exclus de s’exécuter, même s’ils sont automatiquement mis en quarantaine.

Suppression automatique

Désactivé

Cela active le minuteur sur la règle Jours avant suppression. Cela s’applique aux éléments mis en quarantaine. Une fois le délai avant suppression écoulé, toutes les menaces au sein d’un dossier de quarantaine sont automatiquement supprimées si cette stratégie est activée.

Jours avant suppression

14

Cela détermine le nombre de jours, par menace, pendant lesquels un élément reste dans le dossier de quarantaine local.

Actions de mémoire

   

Protection de la mémoire activée

Activé

Le module de protection de la mémoire analyse et interprète les intentions d’exécution des applications en surveillant les interactions entre les applications et le système d’exploitation en mémoire.

Activer l'exclusion des fichiers exécutables

Activé

Cela permet d’exclure des fichiers exécutables spécifiques de la protection de la mémoire.

Exclure des fichiers exécutables

Vide

Toutes les exclusions ajoutées doivent être spécifiées en utilisant le chemin relatif des fichiers exécutables concernés (mais vous devez exclure la lettre du lecteur du chemin d’accès).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Exploitation : Falsification de la pile

Alerte

La pile d'un thread a été remplacée par une pile différente. En règle générale, l'ordinateur alloue une pile unique à un thread. Un attaquant utiliserait une pile différente pour contrôler l'exécution de sorte que la prévention d'exécution des données (DEP) ne puisse pas la bloquer.

S’applique à : Windows, Mac

Exploitation : Protection de la pile

Alerte

La protection de la mémoire de la pile d'un thread a été modifiée pour activer l'autorisation d'exécution. La mémoire de la pile ne doit pas être exécutable. Cela signifie généralement qu'un attaquant se prépare à exécuter un code malveillant stocké dans la mémoire de la pile dans le cadre d'une attaque, une tentative que la prévention d'exécution des données (DEP) bloquerait autrement.

S’applique à : Windows, Mac

Exploitation : Écrasement du code

Alerte

Le code résidant dans la mémoire d'un processus a été modifié avec une technique qui peut indiquer une tentative de contournement de la prévention d'exécution des données (DEP).

S’applique à : Windows

Exploitation : Recherche dans la mémoire du scanner

Alerte

Un processus tente de lire des données de piste de bande magnétique valides provenant d'un autre processus. Généralement lié aux ordinateurs de point de vente (POS)

S’applique à : Windows

Exploitation : Charge utile malveillante

Alerte

Un processus tente de lire des données de piste de bande magnétique valides provenant d'un autre processus. Généralement lié aux ordinateurs de point de vente (POS)

S’applique à : Windows

Exploitation : Charge utile malveillante

Alerte

Un shellcode générique et une détection de charge utile associés à l'exploitation ont été détectés.

S’applique à : Windows

Injection de processus : Allocation de mémoire à distance

Alerte

Un processus a alloué de la mémoire dans un autre processus. La plupart des allocations se produisent uniquement au sein du même processus. Cela indique généralement une tentative d'injection de code ou de données dans un autre processus, ce qui peut être une première étape pour renforcer une présence malveillante sur un ordinateur.

S’applique à : Windows, Mac

Injection de processus : Mappage à distance de la mémoire

Alerte

Un processus a introduit du code ou des données dans un autre processus. Cela peut indiquer une tentative d'exécution du code dans un autre processus et renforcer une présence malveillante.

S’applique à : Windows, Mac

Injection de processus : Écriture à distance dans la mémoire

Alerte

Un processus a modifié la mémoire dans un autre processus. Il s'agit généralement d'une tentative de stockage du code ou des données dans la mémoire précédemment allouée (consultez OutofProcessAllocation), mais il est possible qu'un attaquant tente d'écraser la mémoire existante afin de détourner l'exécution à des fins malveillantes.

S’applique à : Windows, Mac

Injection de processus : Écriture de PE à distance dans la mémoire

Alerte

Un processus a modifié la mémoire dans un autre processus pour héberger une image d'exécutable. En règle générale, cela indique qu'un attaquant tente d'exécuter du code sans l'écrire au préalable sur le disque.

S’applique à : Windows, Mac

Injection de processus : Écrasement à distance du code

Alerte

Un processus a modifié la mémoire exécutable dans un autre processus. Dans des conditions normales, la mémoire exécutable n'est pas modifiée, encore moins par un autre processus. Cela indique généralement une tentative de détournement de l'exécution dans un autre processus.

S’applique à : Windows, Mac

Injection de processus : Démappage à distance de la mémoire

Alerte

Un processus a supprimé un exécutable Windows de la mémoire d'un autre processus. Cela peut indiquer une intention de remplacement de l'image d'exécutable par une copie modifiée pour détourner l'exécution.

S’applique à : Windows, Mac

Injection de processus : Création à distance de threads

Alerte

Un processus a créé un thread dans un autre processus. Un attaquant utilise cette méthode pour activer une présence malveillante qui a été injectée dans un autre processus.

S’applique à : Windows, Mac

Injection de processus : APC planifié à distance

Alerte

Un processus a détourné l'exécution du thread d'un autre processus. Un attaquant utilise cette méthode pour activer une présence malveillante qui a été injectée dans un autre processus.

S’applique à : Windows

Injection de processus : Injection DYLD (Mac OS X uniquement)

Alerte

Une variable d'environnement a été définie, ce qui entraîne l'injection d'une bibliothèque partagée dans un processus lancé. Les attaques peuvent modifier la liste de propriétés des applications telles que Safari ou remplacer les applications par des scripts bash qui entraînent le chargement automatique de leurs modules lorsqu'une application démarre.

S’applique à : Mac

Escalade : Lecture LSASS

Alerte

La mémoire appartenant au processus d'autorité de sécurité locale de Windows a été consultée d'une manière qui indique une tentative d'obtention des mots de passe des utilisateurs.

S’applique à : Windows

Escalade : Aucune allocation

Alerte

Une page vide a été allouée. La zone de mémoire est généralement réservée, mais dans certains cas, elle peut être allouée. Les attaques peuvent s'en servir pour configurer l'escalade des privilèges en tirant parti de certains exploits null dereference connus, généralement dans le noyau.

S’applique à : Windows, Mac

Contrôle de l’exécution

   

Empêcher l’arrêt du service à partir de l’appareil

Désactivé

Lorsque cette règle est activée, elle empêche l'arrêt du service ATP. La désinstallation de l'application est également empêchée.

Arrêter les processus et sous-processus dangereux en cours d'exécution

Désactivé

L'activation de cette fonctionnalité permet la détection et l'arrêt des menaces basées sur la mémoire qui génèrent des sous-processus.

Détection des menaces en arrière-plan

Exécuter une fois

Cela détermine si une analyse des fichiers existants est exécutée sur l'appareil. Cette valeur peut être définie sur Désactivé, Exécuter une fois ou Exécuter une opération récurrente.

Si la fonction de surveillance des nouveaux fichiers est activée, il est recommandé de configurer la détection des menaces en arrière-plan sur Exécuter une fois. Vous ne devez vérifier les fichiers existants qu'une seule fois si vous surveillez également les nouveaux fichiers et les fichiers mis à jour.

Rechercher les nouveaux fichiers

Activé

La définition de cette valeur de règle sur Activée permet de détecter et d'analyser les fichiers qui sont nouvellement écrits sur l'appareil ou qui sont modifiés.

 
Remarque : Il est recommandé de désactiver l’option Rechercher les nouveaux fichiers sur les périphériques les plus fréquentés (tels que les serveurs de fichiers ou d’applications), car cela peut entraîner une augmentation inattendue de la latence du disque, car chaque fichier doit être analysé au fur et à mesure de son écriture sur le disque. Cela est atténué par défaut, car tous les exécutables portables qui tentent de s'exécuter sont analysés au moment de leur tentative d'exécution. Vous pouvez aller encore plus loin en activant et en définissant la fonction de détection des menaces en arrière-plan sur Exécuter une opération récurrente.

Définir la taille maximale du fichier d'archive à analyser

150

Configure la taille maximale de l’archive décompressée pouvant être analysée. La taille est exprimée en mégaoctets.

Paramètres de protection    
Activer l'exclusion de dossiers spécifiques (y compris les sous-dossiers) Activé Cela permet de définir des dossiers dans la fonction de surveillance et de contrôle d’exécution des fichiers en fonction de la règle et d’autoriser l’exécution de fichiers dans les dossiers d’exclusion qui ne sont pas surveillés.
Exclure des dossiers spécifiques (y compris les sous-dossiers) -Vide-

Définit une liste de dossiers qui ne sont pas surveillés dans File Watcher. La règle Autoriser l’exécution de fichiers dans les dossiers d’exclusion empêche la mise en quarantaine de tous les fichiers exécutés à partir de ces répertoires. Cette règle empêche l'analyse de ces répertoires par les fonctions de surveillance des nouveaux fichiers ou de détection des menaces en arrière-plan.

Toutes les exclusions ajoutées doivent être spécifiées en utilisant le chemin absolu du fichier exécutable concerné (incluez la lettre du lecteur du chemin).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Contrôle des applications    
Contrôle des applications Désactivé Cela permet de restreindre les modifications basées sur les applications sur l’appareil. Aucune nouvelle application ne peut être ajoutée, aucune application ne peut être supprimée et aucune application ne peut être modifiée ou mise à jour.
Dossiers autorisés pour le contrôle des applications -Vide-

Cela définit une liste de dossiers qui ne sont pas surveillés dans le contrôle des applications.

Toutes les exclusions ajoutées doivent être spécifiées en utilisant le chemin absolu du fichier exécutable concerné (incluez la lettre du lecteur du chemin).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Activer la fenêtre de modification Désactivé Lorsque cette valeur de règle est activée, le contrôle des applications est désactivé de façon temporaire, ce qui permet d'effectuer des modifications dans l'environnement.
Contrôle des scripts    
Contrôle des scripts Activé

Active l’utilisation du contrôle des scripts

Le contrôle des scripts surveille les applications et les services qui peuvent exécuter des actions au sein du système d'exploitation. Ces applications sont généralement appelées interpréteurs. ATP surveille ces applications et services pour tous les scripts qui tentent de s'exécuter et, en fonction des règles, signale l'action effectuée ou bloque l'exécution des actions. Ces décisions sont prises en fonction du nom du script et du chemin d'exécution relatif du script.

Mode de contrôle des scripts Alerte

Quand cette valeur de règle est définie sur Bloquer, aucun élément basé sur des scripts n'est exécuté. Cela inclut tous les scripts actifs, les scripts basés sur des macros ou les scripts basés sur Powershell. Dans les versions supérieures, ils sont séparés en fonction de leurs propres règles.

S’applique à : builds 1.2.1371 et antérieurs de Dell ESSE

Active Script Alerte

Quand cette valeur de règle est définie sur Bloquer, l'exécution de scripts JavaScript, VBscript, batch, Python, Perl, PHP, Ruby, etc. est impossible.

S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE.

Macros Alerte

La définition de cette valeur de règle sur Alerte permet d'analyser les macros dans les documents, afin de déterminer si elles exécutent des commandes potentiellement malveillantes. Si une menace est détectée, le paramètre Bloquer empêche la macro de s'exécuter. Les macros qui s'exécutent au lancement peuvent empêcher le chargement de l'application.

S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE.

PowerShell Alerte

Lorsque cette valeur de règle est définie sur Bloquer, cela empêche les scripts basés sur Powershell de s'exécuter dans l'environnement.

S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE.

Console Powershell Autoriser

Lorsque cette valeur de règle est définie sur Bloquer, cela empêche le lancement de la console Powershell V3 et d'ISE.

S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE.

Activer l'approbation des scripts dans les dossiers (et les sous-dossiers) Activé Cela permet d’exclure de l’analyse des emplacements dans le contrôle des scripts.
Approuver des scripts dans les dossiers (et les sous-dossiers) -Vide-

Cette section détaille les dossiers qui ne sont pas surveillés dans le contrôle des scripts.

  • Les chemins de dossiers peuvent mener à un lecteur local, un lecteur réseau mappé ou un chemin de convention de dénomination universelle (UNC).
  • Les exclusions de dossier de scripts doivent spécifier le chemin relatif du dossier ou du sous-dossier.
  • N’importe quel chemin de dossier spécifié inclut également tous les sous-dossiers.
  • Les caractères génériques ne sont pas pris en charge.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Autorisation globale -Vide-

Cette règle s'appuie sur le mode déconnecté pour ESSE. Cela permet aux clients de disposer d'un environnement entièrement séparé d'Internet.

Cette règle détermine les certificats et les chemins des menaces spécifiques qui doivent être autorisés dans l'environnement.

Liste de quarantaine -Vide-

Cette règle s'appuie sur le mode déconnecté pour ESSE. Cela permet aux clients de disposer d'un environnement entièrement séparé d'Internet.

Il s'agit d'une liste définie des hachages incorrects connus, qui sont automatiquement mis en quarantaine lorsqu'ils sont rencontrés par l'agent.

Liste sécurisée -Vide-

Cette règle s'appuie sur le mode déconnecté pour ESSE. Cela permet aux clients de disposer d'un environnement entièrement séparé d'Internet.

Cette règle détermine les hachages de menace spécifiques qui doivent être autorisés dans l'environnement.

Paramètres de l’agent    
Supprimer les notifications contextuelles Activé Cela permet d’activer ou de désactiver la possibilité pour ESSE d’afficher une boîte de dialogue toaster.
Niveau de notification contextuelle minimal Élevé

Définit ce qui est notifié à l’utilisateur final si la règle Supprimer les notifications contextuelles est désactivée.

Élevé

  • L'état de protection a changé. (« Protégé » signifie que le service Advanced Threat Prevention est en cours d'exécution, qu'il protège l'ordinateur et qu'il n'a besoin d'aucune interaction de l'utilisateur ou de l'administrateur.)
  • Une menace est détectée et la règle n'est pas définie pour traiter automatiquement la menace.

Moyen

  • Le contrôle de l'exécution a bloqué le démarrage d'un processus, car il a été détecté comme une menace.
  • Une menace est détectée avec une atténuation associée (par exemple, la menace a été mise en quarantaine manuellement), de sorte que le processus a été arrêté.
  • Un processus a été bloqué ou arrêté en raison d'une violation de mémoire.
  • Une violation de mémoire a été détectée et aucune règle d'atténuation automatique n'est en vigueur pour ce type de violation.

Bas

  • Un fichier identifié comme une menace a été ajouté à la liste de sécurité globale ou supprimé du système de fichiers.
  • Une menace a été détectée et automatiquement mise en quarantaine.
  • Un fichier a été identifié comme une menace, mais a été supprimé de l'ordinateur.
  • L'état d'une menace actuelle a changé. Par exemple, il est passé de Menace à Mis en quarantaine, de Mis en quarantaine à Supprimé ou de Supprimé à Mis en quarantaine.
Activer l'assurance du BIOS Activé Effectue des contrôles d'intégrité du BIOS sur les ordinateurs Dell pris en charge (ordinateurs de niveau entreprise 2016 et versions ultérieures)
Activer le téléchargement automatique des fichiers journaux Activé Cela permet aux agents de télécharger automatiquement leurs fichiers journaux pour le plug-in ATP dans le Cloud tous les jours à minuit ou à 100 Mo, selon la première éventualité.
Remarque : ces règles reflètent la version 10.2.3 de Dell Security Management Server.
Valeur de règle Valeur suggérée Policy Description

Advanced Threat Prevention (commutateur principal)

Allumé

Cette valeur de règle détermine si les clients peuvent utiliser des règles pour Advanced Threat Prevention.

Cela active également les actions de fichier et le contrôle de l'exécution, qui ne peuvent pas être désactivés.

Le contrôle de l'exécution englobe les fonctions de détection des menaces en arrière-plan et de surveillance des fichiers. Ce module au sein d'ATP analyse et extrait les intentions d'un exécutable portable (PE) en fonction de ses actions et de son comportement prévus. Tous les fichiers détectés par le contrôle d’exécution, ainsi que BTD et File Watcher, sont traités en fonction des règles associées à la mise en quarantaine automatique. Ces actions sont effectuées en fonction de l'emplacement du chemin absolu de l'exécutable portable.

Actions de fichier :

 

 

Mise en quarantaine automatique du fichier exécutable dangereux avec contrôle de l'exécutable activé

Activé Ce contrôle détermine si les fichiers considérés comme des menaces graves sont automatiquement mis en quarantaine.

Téléchargement automatique de l'exécutable dangereux activé

Activé

Définit si les menaces graves sont téléchargées vers le Cloud, afin d'obtenir un deuxième avis sur celles-ci.

Mise en quarantaine automatique du fichier exécutable anormal avec contrôle de l'exécutable activé

Activé

Cela permet de déterminer si les fichiers considérés comme des menaces potentielles sont automatiquement mis en quarantaine.

Téléchargement automatique de l'exécutable anormal activé

Activé

Définit si les menaces potentielles sont téléchargées vers le Cloud, afin d'obtenir un deuxième avis sur celles-ci.

Autoriser l'exécution des fichiers dans les dossiers à exclure

Activé

Cela s'applique à la règle Exclure des dossiers spécifiques dans le groupe de règles Paramètres de protection. Cela permet aux fichiers exécutables contenus dans les dossiers exclus de s’exécuter, même s’ils sont automatiquement mis en quarantaine.

Suppression automatique

Activé

Cela active le minuteur sur les jours jusqu’à la suppression de la règle. Cela s’applique également aux éléments mis en quarantaine. Une fois le nombre de jours écoulé avant suppression, toutes les menaces au sein d’un dossier de quarantaine sont automatiquement supprimées si cette règle est activée.

Jours avant suppression

14

Détermine le nombre de jours, par menace, pendant lesquels un élément reste dans le dossier de quarantaine local.

Actions de mémoire

   

Protection de la mémoire activée

Activé

Cela active la fonctionnalité de protection de la mémoire. Le module de protection de la mémoire analyse et interprète les intentions d’exécution des applications en surveillant les interactions entre les applications et le système d’exploitation en mémoire.

Activer l'exclusion des fichiers exécutables

Activé

Cela permet d’exclure des fichiers exécutables spécifiques de la protection de la mémoire.

Exclure des fichiers exécutables

Varie en fonction de l’environnement

Toutes les exclusions ajoutées doivent être spécifiées en utilisant le chemin relatif des fichiers exécutables concernés (mais vous devez exclure la lettre du lecteur du chemin d’accès).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Exploitation : Falsification de la pile

Arrêter

La pile d'un thread a été remplacée par une pile différente. En règle générale, l'ordinateur n'alloue qu'une seule pile à un thread. Un attaquant utiliserait une pile différente pour contrôler l'exécution de sorte que la prévention d'exécution des données (DEP) ne la bloque pas.

S’applique à : Windows, Mac

Exploitation : Protection de la pile

Arrêter

La protection de la mémoire de la pile d'un thread a été modifiée pour activer l'autorisation d'exécution. La mémoire de la pile ne doit pas être exécutable. Cela signifie généralement qu'un attaquant se prépare à exécuter un code malveillant stocké dans la mémoire de la pile dans le cadre d'une attaque, une tentative que la prévention d'exécution des données (DEP) ne bloquerait pas autrement.

S’applique à : Windows, Mac

Exploitation : Écrasement du code

Arrêter

Le code résidant dans la mémoire d'un processus a été modifié avec une technique qui peut indiquer une tentative de contournement de la prévention d'exécution des données (DEP).

S’applique à : Windows

Exploitation : Recherche dans la mémoire du scanner

Arrêter

Un processus tente de lire des données de piste de bande magnétique valides provenant d'un autre processus, généralement en lien avec les ordinateurs de point de vente.

S’applique à : Windows

Exploitation : Charge utile malveillante

Arrêter

Un shellcode générique et une détection de charge utile associés à l'exploitation ont été détectés.

S’applique à : Windows

Injection de processus : Allocation de mémoire à distance

Arrêter

Un processus a alloué de la mémoire dans un autre processus. La plupart des allocations se produisent uniquement au sein du même processus. Cela indique généralement une tentative d'injection de code ou de données dans un autre processus, ce qui peut être une première étape pour renforcer une présence malveillante sur un ordinateur.

S’applique à : Windows, Mac

Injection de processus : Mappage à distance de la mémoire

Arrêter

Un processus a introduit du code ou des données dans un autre processus. Cela peut indiquer une tentative d'exécution du code dans un autre processus et renforcer une présence malveillante.

S’applique à : Windows, Mac

Injection de processus : Écriture à distance dans la mémoire

Arrêter

Un processus a modifié la mémoire dans un autre processus. Il s'agit généralement d'une tentative de stockage du code ou des données dans la mémoire précédemment allouée (consultez OutOfProcessAllocation), mais il est possible qu'un attaquant tente d'écraser la mémoire existante afin de détourner l'exécution à des fins malveillantes.

S’applique à : Windows, Mac

Injection de processus : Écriture de PE à distance dans la mémoire

Arrêter

Un processus a modifié la mémoire dans un autre processus pour héberger une image d'exécutable. En règle générale, cela indique qu'un attaquant tente d'exécuter du code sans l'écrire au préalable sur le disque.

S’applique à : Windows, Mac

Injection de processus : Écrasement à distance du code

Arrêter

Un processus a modifié la mémoire exécutable dans un autre processus. Dans des conditions normales, la mémoire exécutable n'est pas modifiée, encore moins par un autre processus. Cela indique généralement une tentative de détournement de l'exécution dans un autre processus.

S’applique à : Windows, Mac

Injection de processus : Démappage à distance de la mémoire

Arrêter

Un processus a supprimé un exécutable Windows de la mémoire d'un autre processus. Cela peut indiquer une intention de remplacement de l'image d'exécutable par une copie modifiée pour détourner l'exécution.

S’applique à : Windows, Mac

Injection de processus : Création à distance de threads

Arrêter

Un processus a créé un thread dans un autre processus. Un attaquant utilise cette méthode pour activer une présence malveillante qui a été injectée dans un autre processus.

S’applique à : Windows, Mac

Injection de processus : APC planifié à distance

Arrêter

Un processus a détourné l'exécution du thread d'un autre processus. Un attaquant utilise cette méthode pour activer une présence malveillante qui a été injectée dans un autre processus.

S’applique à : Windows

Injection de processus : Injection DYLD (Mac OS X uniquement)

Arrêter

Une variable d'environnement a été définie, ce qui entraîne l'injection d'une bibliothèque partagée dans un processus lancé. Les attaques peuvent modifier la liste de propriétés des applications telles que Safari ou remplacer les applications par des scripts bash qui entraînent le chargement automatique de leurs modules lorsqu'une application démarre.

S’applique à : Mac

Escalade : Lecture LSASS

Arrêter

La mémoire appartenant au processus d'autorité de sécurité locale de Windows a été consultée d'une manière qui indique une tentative d'obtention des mots de passe des utilisateurs.

S’applique à : Windows

Escalade : Aucune allocation

Arrêter

Une page vide a été allouée. La zone de mémoire est généralement réservée, mais dans certains cas, elle peut être allouée. Les attaques peuvent s'en servir pour configurer l'escalade des privilèges en tirant parti de certains exploits null dereference connus, généralement dans le noyau.

S’applique à : Windows, Mac

Contrôle de l’exécution

   

Empêcher l’arrêt du service à partir de l’appareil

Activé

Lorsque cette règle est activée, elle empêche l'arrêt du service ATP, même en tant qu'ordinateur. La désinstallation de l'application est également empêchée.

Arrêter les processus et sous-processus dangereux en cours d'exécution

Activé

L'activation de cette fonctionnalité permet la détection et l'arrêt des menaces basées sur la mémoire qui génèrent des sous-processus.

Détection des menaces en arrière-plan

Exécuter une fois

Cela détermine si une analyse des fichiers existants est exécutée sur l'appareil. Cette valeur peut être définie sur Désactivé, Exécuter une fois ou Exécuter une opération récurrente.

Si la fonction de surveillance des nouveaux fichiers est activée, il est recommandé de configurer la détection des menaces en arrière-plan sur Exécuter une fois. Vous ne devez vérifier les fichiers existants qu'une seule fois si vous surveillez également les nouveaux fichiers et les fichiers mis à jour.

Rechercher les nouveaux fichiers

Activé

La définition de cette valeur de règle sur Activée permet de détecter et d'analyser les fichiers qui sont nouvellement écrits sur l'appareil ou qui sont modifiés.

 
Remarque : Il est recommandé de désactiver l’option Rechercher les nouveaux fichiers sur les périphériques les plus fréquentés (tels que les serveurs de fichiers ou d’applications), car cela peut entraîner une augmentation inattendue de la latence du disque, car chaque fichier doit être analysé au fur et à mesure de son écriture sur le disque. Cela est atténué par défaut, car tous les exécutables portables qui tentent de s'exécuter sont analysés au moment de leur tentative d'exécution. Vous pouvez aller encore plus loin en activant et en définissant la fonction de détection des menaces en arrière-plan sur Exécuter une opération récurrente.

Définir la taille maximale du fichier d'archive à analyser

150

Configure la taille maximale de l’archive décompressée pouvant être analysée. La taille est exprimée en mégaoctets.

Paramètres de protection    
Activer l'exclusion de dossiers spécifiques (y compris les sous-dossiers) Activé Cela permet de définir des dossiers dans la fonction de surveillance des fichiers et le contrôle d’exécution en fonction de la règle Autoriser l’exécution de fichiers dans les dossiers d’exclusion qui ne sont pas surveillés.
Exclure des dossiers spécifiques (y compris les sous-dossiers) Varie en fonction de l’environnement

Cela définit une liste de dossiers qui ne sont pas surveillés dans la fonction de surveillance des fichiers. Cette règle d’Autoriser l’exécution de fichiers dans les dossiers d’exclusion empêche la mise en quarantaine de tous les fichiers exécutés à partir de ces répertoires. Cette règle empêche l'analyse de ces répertoires par les fonctions de surveillance des nouveaux fichiers ou de détection des menaces en arrière-plan.

Toutes les exclusions ajoutées doivent être spécifiées en utilisant le chemin absolu du fichier exécutable concerné (incluez la lettre du lecteur du chemin).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Contrôle des applications    
Contrôle des applications Désactivé Cela permet de restreindre les modifications basées sur l’application sur l’appareil. Aucune application ne peut être ajoutée, aucune application ne peut être supprimée et aucune application ne peut être modifiée ou mise à jour.
Dossiers autorisés pour le contrôle des applications -Vide-

Cela définit une liste de dossiers qui ne sont pas surveillés dans le contrôle des applications.

Toutes les exclusions ajoutées doivent être spécifiées en utilisant le chemin absolu du fichier exécutable concerné (incluez la lettre du lecteur du chemin).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Activer la fenêtre de modification Désactivé Lorsque cette valeur de règle est activée, le contrôle des applications est désactivé de façon temporaire, ce qui permet d'effectuer des modifications dans l'environnement.
Contrôle des scripts    
Contrôle des scripts Activé

Active l’utilisation du contrôle des scripts

Le contrôle des scripts surveille les applications et les services qui peuvent exécuter des actions au sein du système d'exploitation. Ces applications sont généralement appelées interpréteurs. ATP surveille ces applications et services pour tous les scripts qui tentent de s'exécuter et, en fonction des règles, signale l'action effectuée ou bloque l'exécution des actions. Ces décisions sont prises en fonction du nom du script et du chemin d'exécution relatif du script.

Mode de contrôle des scripts Bloqué

Quand cette valeur de règle est définie sur Bloquer, aucun élément basé sur des scripts n'est exécuté. Cela inclut tous les scripts actifs, les scripts basés sur des macros ou les scripts basés sur Powershell. Dans les versions supérieures, ils sont séparés en fonction de leurs propres règles.

S’applique à : builds 1.2.1371 et antérieurs de Dell ESSE

Active Script Bloqué

Quand cette valeur de règle est définie sur Bloquer, l'exécution de scripts JavaScript, VBscript, batch, Python, Perl, PHP, Ruby, etc. est impossible.

S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE.

Macros Bloqué

La définition de cette valeur de règle sur Alerte permet d'analyser les macros dans les documents, afin de déterminer si elles exécutent des commandes potentiellement malveillantes. Si une menace est détectée, le paramètre « Bloquer » empêche la macro de s'exécuter. Les macros qui s'exécutent au lancement peuvent empêcher le chargement de l'application.

S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE.

PowerShell Bloqué

Lorsque cette valeur de règle est définie sur Bloquer, cela empêche les scripts basés sur Powershell de s'exécuter dans l'environnement.

S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE.

Console Powershell Autoriser

Lorsque cette valeur de règle est définie sur Bloquer, cela empêche le lancement de la console Powershell V3 et d'ISE.

S’applique à : builds 1.2.1391 et supérieurs de Dell ESSE.

Activer l'approbation des scripts dans les dossiers (et les sous-dossiers) Activé Cela permet d’exclure de l’analyse des emplacements du contrôle des scripts.
Approuver des scripts dans les dossiers (et les sous-dossiers) Varie en fonction de l’environnement

Cette section détaille les dossiers qui ne sont pas surveillés dans le contrôle des scripts.

  • Les chemins de dossiers peuvent mener à un lecteur local, un lecteur réseau mappé ou un chemin de convention de dénomination universelle (UNC).
  • Les exclusions de dossier de scripts doivent spécifier le chemin relatif du dossier ou du sous-dossier.
  • N’importe quel chemin de dossier spécifié inclut également tous les sous-dossiers.
  • Les caractères génériques ne sont pas pris en charge.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Autorisation globale Varie en fonction de l’environnement

Cette règle s'appuie sur le mode déconnecté pour ESSE. Cela permet aux clients de disposer d'un environnement entièrement séparé d'Internet.

Cette règle détermine les certificats et les chemins des menaces spécifiques qui doivent être autorisés dans l'environnement.

Liste de quarantaine Varie en fonction de l’environnement

Cette règle s'appuie sur le mode déconnecté pour ESSE. Cela permet aux clients de disposer d'un environnement entièrement séparé d'Internet.

Il s'agit d'une liste définie des hachages incorrects connus, qui sont automatiquement mis en quarantaine lorsqu'ils sont rencontrés par l'agent.

Liste sécurisée Varie en fonction de l’environnement

Cette règle s'appuie sur le mode déconnecté pour ESSE. Cela permet aux clients de disposer d'un environnement entièrement séparé d'Internet.

Cette règle détermine les hachages de menace spécifiques qui doivent être autorisés dans l'environnement.

Paramètres de l’agent    
Supprimer les notifications contextuelles Désactivé Cela permet d’activer ou de désactiver la possibilité pour ESSE d’afficher une boîte de dialogue toaster.
Niveau de notification contextuelle minimal Élevé

Cela définit les éléments qui sont notifiés à l’utilisateur final si la règle Supprimer les notifications contextuelles est désactivée.

Élevé

  • L'état de protection a changé. (« Protégé » signifie que le service Advanced Threat Prevention est en cours d'exécution, qu'il protège l'ordinateur et qu'il n'a besoin d'aucune interaction de l'utilisateur ou de l'administrateur.)
  • Une menace est détectée et la règle n'est pas définie pour traiter automatiquement la menace.

Moyen

  • Le contrôle de l'exécution a bloqué le démarrage d'un processus, car il a été détecté comme une menace.
  • Une menace est détectée avec une atténuation associée (par exemple, la menace a été mise en quarantaine manuellement), de sorte que le processus a été arrêté.
  • Un processus a été bloqué ou arrêté en raison d'une violation de mémoire.
  • Une violation de mémoire a été détectée et aucune règle d'atténuation automatique n'est en vigueur pour ce type de violation.

Bas

  • Un fichier identifié comme une menace a été ajouté à la liste de sécurité globale ou supprimé du système de fichiers.
  • Une menace a été détectée et automatiquement mise en quarantaine.
  • Un fichier a été identifié comme une menace, mais a été supprimé de l'ordinateur.
  • L'état d'une menace actuelle a changé (par exemple, il est passé de Menace à Mis en quarantaine, de Mis en quarantaine à Supprimé ou de Supprimé à Mis en quarantaine).
Activer l'assurance du BIOS Activé Effectue des contrôles d'intégrité du BIOS sur les ordinateurs Dell pris en charge (ordinateurs de niveau entreprise 2016 et versions ultérieures)
Activer le téléchargement automatique des fichiers journaux Activé Cela permet aux agents de télécharger automatiquement leurs fichiers journaux pour le plug-in ATP dans le Cloud tous les jours à minuit ou à 100 Mo, selon la première éventualité.
Activer l'interface utilisateur standard Activé Cela permet d’utiliser la console Dell Data Security sur un point de terminaison. Cela permet aux utilisateurs locaux de voir les menaces, les événements de mémoire ou les scripts qui ont été détectés sur le point de terminaison local. Cette option est disponible via le menu contextuel sur le point de terminaison ou à l’aide de la roue dentée des paramètres de la console Dell Data Security dans une option intitulée Advanced Threat Prevention.

Une fois cette option sélectionnée, des boutons bascules supplémentaires sont disponibles pour afficher ou masquer les menaces, les événements de mémoire ou les scripts qui ont été détectés sur cet ordinateur.

Cette règle exige que Dell Encryption Management Agent version 8.18.0 ou une version supérieure soit installé.

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126118
Article Type: Solution
Last Modified: 04 Mar 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.