Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Políticas recomendadas pela Dell para proteção e prevenção contra ameaças avançadas do Dell Endpoint Security Suite Enterprise

Summary: O Dell Endpoint Security Suite Enterprise oferece prevenção e proteção contra as ameaças mais recentes e destrutivas da atualidade.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Nota:

Produtos afetados:

  • Dell Endpoint Security Suite Enterprise

Cause

Não aplicável

Resolution

Por padrão, é recomendável que o Advanced Threat Prevention (ATP) seja inicialmente executado em um modo de aprendizagem. Todas as informações sobre ameaças são coletadas para dar aos administradores a flexibilidade de gerenciar ameaças e Programas Potencialmente Indesejados (PUPs) em seu ambiente e colocar aplicativos essenciais na lista de permissões.

Para obter mais informações sobre como modificar políticas no Dell Endpoint Security Suite Enterprise, consulte Como modificar políticas no Dell Data Protection Server.

Para obter mais informações e regras sobre a criação de exclusões no Dell Endpoint Security Suite Enterprise, consulte Como adicionar exclusões no Dell Endpoint Security Suite Enterprise.

Nota: Os servidores de arquivos e aplicativos devem ter critérios especiais para Detecção de ameaças em segundo plano e Procurar novos arquivos. Eles são definidos abaixo. Esses dispositivos são separados por um grupo de endpoints dentro do Dell Security Management Server para que possam ter políticas diferentes das dos dispositivos restantes no ambiente.
Nota: Essas políticas refletem um Dell Security Management Server 10.2.3.
Valor da política Valor sugerido Policy Description

Advanced Threat Prevention (switch principal)

Aceso

Esse valor de política determina se os clients podem consumir políticas para o Advanced Threat Prevention.

Ele também habilita Ações de arquivo e Controle de execução, que não podem ser desabilitados.

O Controle de execução abrange a Detecção de ameaças em segundo plano e o File Watcher. Este módulo no ATP analisa e abstrai as intenções de um Executável Portátil (PE) com base nas ações e no comportamento pretendidos. Todos os arquivos detectados pelo Controle de execução e, também, pela BTD e pelo File Watcher são processados com base nas políticas que se correlacionam à quarentena automática. Essas ações são executadas com base no local do caminho absoluto do executável portátil.

Ações do arquivo:

 

 

Quarentena automática de executável não seguro com o controle do executável ativado

Disabled Isso determina se os arquivos que são considerados uma ameaça grave são automaticamente colocados em quarentena.

Carregamento automático de executável não seguro ativado

Enabled

Define se as ameaças graves são carregadas na nuvem para que seja possível verificá-las mais uma vez.

Quarentena automática de executável anormal com o controle do executável ativado

Disabled

Isso determina se os arquivos que são considerados uma ameaça potencial são automaticamente colocados em quarentena.

Carregamento automático de executável anormal ativado

Enabled

Define se as possíveis ameaças são carregadas na nuvem para que seja possível verificá-las mais uma vez.

Permitir a execução de arquivos em Excluir pastas

Enabled

Isso se aplica à política Excluir pastas específicas do grupo de políticas Configurações de proteção. Isso permite que os executáveis dentro das pastas excluídas sejam executados mesmo que sejam automaticamente colocados em quarentena.

Exclusão automática

Disabled

Isso habilita o temporizador na política Dias até a exclusão. Isso se aplica a itens em quarentena, uma vez que os Dias até a exclusão expiram, todas as ameaças dentro de uma pasta de quarentena são removidas automaticamente se essa política estiver habilitada.

Dias até a exclusão

14

Isso determina o número de dias, por ameaça, que um item permanece na pasta de quarentena local.

Ações de memória

   

Proteção de memória ativada

Enabled

Isso ativa a funcionalidade Proteção de memória O módulo de proteção de memória analisa e interpreta as intenções de executar aplicativos monitorando as interações entre aplicativos e o sistema operacional na memória.

Ativar Excluir arquivos executáveis

Enabled

Isso permite que executáveis específicos sejam excluídos da proteção de memória.

Excluir arquivos executáveis

Em branco

Todas as exclusões adicionadas devem ser especificadas usando o caminho relativo desse arquivo executável (exclua a letra da unidade do caminho).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Exploração: Stack pivot

Alerta

A pilha de um thread foi substituída por uma pilha diferente. Geralmente, o computador aloca uma única pilha para um thread. Um invasor pode usar uma pilha diferente para controlar a execução de forma que a Prevenção de Execução de Dados (DEP) não possa bloquear.

Aplica-se a: Windows, Mac

Exploração: Proteção de pilha

Alerta

A proteção de memória da pilha de um thread foi modificada para habilitar a permissão de execução. A memória da pilha não deve ser executável, portanto, isso normalmente significa que um invasor está se preparando para executar código mal-intencionado armazenado na memória da pilha, como parte de uma exploração. Essa tentativa, de outra forma, seria bloqueada pela Prevenção de Execução de Dados (DEP).

Aplica-se a: Windows, Mac

Exploração: Substituir código

Alerta

O código que reside na memória de um processo foi modificado usando uma técnica que pode indicar uma tentativa de contornar a Prevenção de Execução de Dados (DEP).

Aplica-se a: Windows

Exploração: Pesquisa de memória do scanner

Alerta

Um processo está tentando ler dados de monitoramento válidos da tarja magnética de outro processo. Normalmente relacionados a computadores de ponto de venda (POS)

Aplica-se a: Windows

Exploração: Payload mal-intencionada

Alerta

Um processo está tentando ler dados de monitoramento válidos da tarja magnética de outro processo. Normalmente relacionados a computadores de ponto de venda (POS)

Aplica-se a: Windows

Exploração: Payload mal-intencionada

Alerta

Uma detecção de shellcode e payload genérica, associada à exploração, foi identificada.

Aplica-se a: Windows

Injeção de processos: Alocação remota de memória

Alerta

Um processo alocou memória em outro processo. A maioria das alocações ocorrem apenas no mesmo processo. Isso geralmente indica uma tentativa de injetar códigos ou dados em outro processo, o que pode ser o primeiro passo para fortalecer uma presença mal-intencionada no computador.

Aplica-se a: Windows, Mac

Injeção de processos: Mapeamento remoto da memória

Alerta

Um processo introduziu códigos ou dados em outro processo. Essa pode ser uma tentativa de começar a executar códigos em outro processo e fortalecer uma presença mal-intencionada.

Aplica-se a: Windows, Mac

Injeção de processos: Gravação remota na memória

Alerta

Um processo modificou a memória em outro processo. Geralmente, essa é uma tentativa de armazenar códigos ou dados na memória alocada anteriormente (consulte Alocação fora do processo), mas é possível que um invasor esteja tentando substituir a memória existente para desviar a execução para uma finalidade mal-intencionada.

Aplica-se a: Windows, Mac

Injeção de processos: Gravação remota de PE na memória

Alerta

Um processo modificou a memória em outro processo para incluir uma imagem executável. Geralmente, isso indica que um invasor está tentando executar códigos sem, primeiro, gravá-los no disco.

Aplica-se a: Windows, Mac

Injeção de processos: Substituir código remoto

Alerta

Um processo modificou a memória executável em outro processo. Em condições normais, a memória executável não é modificada, sobretudo por outro processo. Essa é geralmente uma tentativa de desviar a execução em outro processo.

Aplica-se a: Windows, Mac

Injeção de processos: Cancelamento do mapeamento remoto de memória

Alerta

Um processo removeu um executável do Windows da memória de outro processo. Isso pode indicar uma intenção de substituir a imagem executável por uma cópia modificada para desviar a execução.

Aplica-se a: Windows, Mac

Injeção de processos: Criação remota de thread

Alerta

Um processo criou um thread em outro processo. Um invasor faz isso para ativar a presença mal-intencionada que foi injetada em outro processo.

Aplica-se a: Windows, Mac

Injeção de processos: APC remoto agendado

Alerta

Um processo desviou a execução do thread de outro processo. Um invasor faz isso para ativar a presença mal-intencionada que foi injetada em outro processo.

Aplica-se a: Windows

Injeção de processos: Injeção de DYLD (somente Mac OS X)

Alerta

Uma variável de ambiente definida faz com que uma biblioteca compartilhada seja injetada em um processo iniciado. Os ataques podem modificar o plist de aplicativos, como o Safari, ou substituir aplicativos por scripts bash que fazem com que seus módulos sejam carregados automaticamente quando um aplicativo é iniciado.

Aplica-se a: Mac

Atendimento de segundo nível: Leitura de LSASS

Alerta

A memória pertencente ao processo da autoridade de segurança local do Windows foi acessada de uma forma que indica a tentativa de obter as senhas dos usuários.

Aplica-se a: Windows

Atendimento de segundo nível: Alocação zero

Alerta

Uma página nula foi alocada. A região da memória é normalmente reservada. No entanto, em determinadas circunstâncias, ela pode ser alocada. Os ataques podem usá-la para configurar o escalonamento de privilégios aproveitando algumas explorações conhecidas de desatribuição nula, normalmente no kernel.

Aplica-se a: Windows, Mac

Execution Control

   

Impedir o desligamento do serviço pelo dispositivo

Disabled

Quando ativada, essa opção impossibilita a interrupção do serviço ATP. Ela também impede que o aplicativo seja desinstalado.

Eliminar processos não seguros em execução e seus subprocessos

Disabled

A ativação desse recurso permite a detecção e o encerramento de qualquer ameaça baseada em memória, que gere subprocessos.

Detecção de ameaças em segundo plano

Executar uma vez

Determina se uma verificação dos arquivos existentes é executada no dispositivo. Isso pode ser definido como Desativado, Executar uma vez ou Executar regularmente.

Se a opção Procurar novos arquivos estiver habilitada, é recomendável definir a configuração de Detecção de ameaças em segundo plano como Executar uma vez. Você precisará verificar os arquivos existentes somente uma vez se também estiver procurando arquivos novos e atualizados.

Procurar novos arquivos

Enabled

Esse recurso habilitado permite a detecção e a análise de todos os arquivos que foram gravados recentemente no dispositivo ou que foram alterados.

 
Nota: É recomendável desativar a opção Procurar novos arquivos em dispositivos de alto tráfego (como arquivos ou servidores de aplicativos), pois isso pode causar aumentos inesperados na latência do disco, pois cada arquivo teria que ser analisado à medida que é gravado no disco. Esse problema é reduzido por padrão, pois todos os executáveis portáteis são analisados durante a tentativa de execução. Ele pode ser atenuado ainda mais ativando e definindo a configuração de Detecção de ameaças em segundo plano como Executar regularmente.

Definir o tamanho máximo do arquivo de arquivamento para verificação

150

Configura o tamanho máximo do arquivo descompactado que pode ser analisado O tamanho está em megabytes.

Configurações de proteção    
Ativar Excluir pastas específicas (inclui subpastas) Enabled Isso permite definir pastas no File Watcher e no Controle de execução com base na política e permitir a execução de arquivos em pastas excluídas que não são monitoradas.
Excluir pastas específicas (inclui subpastas) -Em branco-

Define uma lista de pastas no File Watcher que não estão sendo monitoradas, a política de Permitir a execução de arquivos em pastas excluídas impede a quarentena de todos os arquivos executados a partir desses diretórios. Essa política impede a varredura desses diretórios com o recurso Procurar novos arquivos ou Detecção de ameaças em segundo plano.

Todas as exclusões adicionadas precisam ser especificadas usando o caminho absoluto desse arquivo executável (inclua a letra da unidade do caminho).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Application Control    
Application Control Disabled Isso permite restringir alterações baseadas em aplicativos no dispositivo, nenhum novo aplicativo pode ser adicionado, nenhum aplicativo pode ser removido e nenhum aplicativo pode ser modificado ou atualizado.
Pastas permitidas do controle de aplicativos -Em branco-

Isso define uma lista de pastas no controle de aplicativos que não são monitoradas.

Todas as exclusões adicionadas precisam ser especificadas usando o caminho absoluto desse arquivo executável (inclua a letra da unidade do caminho).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Ativar Alterar janela Disabled Quando habilitada, essa opção desativa temporariamente o Controle de aplicativos, permitindo que modificações aconteçam no ambiente.
Script Control    
Script Control Enabled

Permite o uso do Script Control

O controle de scripts monitora aplicativos e serviços que podem executar ações no sistema operacional. Esses aplicativos geralmente são chamados de interpretadores. O ATP monitora esses aplicativos e serviços durante a tentativa de execução de quaisquer scripts e, com base em políticas, notifica sobre as ações que foram tomadas ou impede que as ações ocorram. Essas decisões são tomadas com base no nome do script e no caminho relativo em que o script foi executado.

Modo de controle de script Alerta

Quando essa opção é definida como Bloquear, nenhum item baseado em script é executado. Inclusive qualquer script ativo, script baseado em macro ou script baseado em Powershell. Em versões posteriores, eles são separados em suas próprias políticas.

Aplica-se a: ESSE compilação 1.2.1371 ou anterior

Active Script Alerta

Quando essa opção é definida como Bloquear, ela desabilita a execução de JavaScript, VBscript, lotes, Python, Perl, PHP, Ruby e de vários outros scripts.

Aplica-se a: ESSE compilação 1.2.1391 ou posterior.

Macros Alerta

Definir essa opção como Alerta permite a análise de macros dentro dos documentos para determinar se eles estão executando comandos possivelmente mal-intencionados. Se uma ameaça for percebida, a configuração Bloquear impedirá que a macro seja executada. As macros executadas no início podem impedir o carregamento do aplicativo.

Aplica-se a: ESSE compilação 1.2.1391 ou posterior.

PowerShell Alerta

Quando essa opção é definida como Bloquear, ela impede que qualquer script baseado em Powershell seja executado no ambiente.

Aplica-se a: ESSE compilação 1.2.1391 ou posterior.

Console do Powershell Permitir

Quando essa opção é definida como Bloquear, ela impede que o console do Powershell V3 e o ISE sejam iniciados.

Aplica-se a: ESSE compilação 1.2.1391 ou posterior.

Habilitar Aprovar scripts em pastas (e subpastas) Enabled Isso permite que a capacidade de excluir locais no controle de scripts seja analisada.
Aprovar scripts em pastas (e subpastas) -Em branco-

Esta seção detalha as pastas no controle de scripts que não são monitoradas.

  • Os caminhos das pastas podem ser um caminho de convenção de nomenclatura universal (UNC), de uma unidade de rede mapeada ou uma unidade local.
  • As exclusões da pasta Script devem especificar o caminho relativo da pasta ou subpasta.
  • Qualquer caminho de pasta especificado também inclui as subpastas.
  • Curingas não são compatíveis.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Permissão global -Em branco-

Essa política é utilizada pelo Modo desconectado do ESSE. Ela permite que os clientes tenham um ambiente totalmente separado da Internet.

Essa política determina caminhos e certificados de ameaças específicos que devem ser permitidos no ambiente.

Lista de quarentena -Em branco-

Essa política é utilizada pelo Modo desconectado do ESSE. Ela permite que os clientes tenham um ambiente totalmente separado da Internet.

Essa é uma lista definida de hashes ruins conhecidos, que são automaticamente colocados em quarentena quando encontrados pelo agente.

Lista segura -Em branco-

Essa política é utilizada pelo Modo desconectado do ESSE. Ela permite que os clientes tenham um ambiente totalmente separado da Internet.

Essa política determina hashes de ameaças específicos que devem ser permitidos no ambiente.

Configurações do agente    
Suprimir notificações pop-up Enabled Isso habilita ou desabilita a capacidade do ESSE de exibir uma caixa de diálogo de notificação.
Nível mínimo de notificação pop-up High

Isso define o que será notificado ao usuário final se a política Suprimir notificações pop-up estiver desabilitada.

High

  • O status de proteção foi alterado. (Protegido significa que o serviço Advanced Threat Prevention está em execução, protegendo o computador, e não precisa de interação do usuário ou administrador.)
  • Uma ameaça foi detectada, mas a política não está definida para lidar automaticamente com a ameaça.

Média

  • O Controle de execução bloqueou a inicialização de um processo porque ele foi detectado como uma ameaça.
  • Uma ameaça que tem uma redução associada (por exemplo, colocada em quarentena manualmente) foi detectada, portanto, o processo foi encerrado.
  • Um processo foi bloqueado ou encerrado devido a uma violação de memória.
  • Uma violação de memória foi detectada e nenhuma política de redução automática está em vigor para esse tipo de violação.

Low

  • Um arquivo identificado como ameaça foi adicionado à Lista segura global ou excluído do file system.
  • Uma ameaça foi detectada e automaticamente colocada em quarentena.
  • Um arquivo foi identificado como ameaça, mas ignorado no computador.
  • O status de uma ameaça atual foi alterado. Por exemplo, de Ameaça para Em quarentena, de Em quarentena para Ignorado ou de Ignorado para Em quarentena.
Ativar a garantia do BIOS Enabled Realiza verificações de integridade do BIOS em computadores Dell compatíveis (computadores de classe empresarial de 2016 ou mais recentes)
Ativar carregamento automático de arquivos de log Enabled Isso permite que os agentes carreguem automaticamente seus arquivos de log do plug-in ATP para a nuvem todos os dias à meia-noite ou a 100 MB, o que ocorrer primeiro.
Nota: Essas políticas refletem um Dell Security Management Server 10.2.3.
Valor da política Valor sugerido Policy Description

Advanced Threat Prevention (switch principal)

Aceso

Esse valor de política determina se os clients podem consumir políticas para o Advanced Threat Prevention.

Ele também habilita Ações de arquivo e Controle de execução, que não podem ser desabilitados.

O Controle de execução abrange a Detecção de ameaças em segundo plano e o File Watcher. Este módulo no ATP analisa e abstrai as intenções de um Executável Portátil (PE) com base nas ações e no comportamento pretendidos. Todos os arquivos detectados pelo Controle de execução, BTD e File Watcher são processados com base nas políticas que se correlacionam à quarentena automática. Essas ações são executadas com base no local do caminho absoluto do executável portátil.

Ações do arquivo:

 

 

Quarentena automática de executável não seguro com o controle do executável ativado

Enabled Isso determina se os arquivos que são considerados uma ameaça grave são automaticamente colocados em quarentena.

Carregamento automático de executável não seguro ativado

Enabled

Define se as ameaças graves são carregadas na nuvem para que seja possível verificá-las mais uma vez.

Quarentena automática de executável anormal com o controle do executável ativado

Enabled

Isso determina se os arquivos que são considerados uma ameaça potencial são automaticamente colocados em quarentena.

Carregamento automático de executável anormal ativado

Enabled

Define se as possíveis ameaças são carregadas na nuvem para que seja possível verificá-las mais uma vez.

Permitir a execução de arquivos em Excluir pastas

Enabled

Isso se aplica à política Excluir pastas específicas do grupo de políticas Configurações de proteção. Isso permite que os executáveis dentro das pastas excluídas sejam executados mesmo que sejam automaticamente colocados em quarentena.

Exclusão automática

Enabled

Isso ativa o temporizador nos dias até a exclusão da política. Isso também se aplica aos itens em quarentena. Depois que os dias até a exclusão expirarem, todas as ameaças dentro de uma pasta de quarentena serão removidas automaticamente se essa política estiver habilitada.

Dias até a exclusão

14

Determina o número de dias, por ameaça, que um item permanece na pasta de quarentena local.

Ações de memória

   

Proteção de memória ativada

Enabled

Isso ativa a funcionalidade de proteção de memória, o módulo de proteção de memória analisa e interpreta as intenções de executar aplicativos monitorando as interações entre aplicativos e o sistema operacional na memória.

Ativar Excluir arquivos executáveis

Enabled

Isso permite que executáveis específicos sejam excluídos da proteção de memória.

Excluir arquivos executáveis

Varia de acordo com o ambiente

Todas as exclusões adicionadas devem ser especificadas usando o caminho relativo desse arquivo executável (exclua a letra da unidade do caminho).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Exploração: Stack pivot

Encerrar

A pilha de um thread foi substituída por uma pilha diferente. Geralmente, o computador aloca somente uma única pilha para um thread. Um invasor pode usar uma pilha diferente para controlar a execução de forma que a Prevenção de Execução de Dados (DEP) não bloqueie.

Aplica-se a: Windows, Mac

Exploração: Proteção de pilha

Encerrar

A proteção de memória da pilha de um thread foi modificada para habilitar a permissão de execução. A memória da pilha não deve ser executável, portanto, isso normalmente significa que um invasor está se preparando para executar código mal-intencionado armazenado na memória da pilha, como parte de uma exploração. Essa tentativa. de outra forma, não seria bloqueada pela Prevenção de Execução de Dados (DEP).

Aplica-se a: Windows, Mac

Exploração: Substituir código

Encerrar

O código que reside na memória de um processo foi modificado usando uma técnica que pode indicar uma tentativa de contornar a Prevenção de Execução de Dados (DEP).

Aplica-se a: Windows

Exploração: Pesquisa de memória do scanner

Encerrar

Um processo está tentando ler dados de monitoramento válidos da tarja magnética de outro processo, que normalmente estão relacionados a computadores de ponto de venda (POS).

Aplica-se a: Windows

Exploração: Payload mal-intencionada

Encerrar

Uma detecção de shellcode e payload genérica, associada à exploração, foi identificada.

Aplica-se a: Windows

Injeção de processos: Alocação remota de memória

Encerrar

Um processo alocou memória em outro processo. A maioria das alocações ocorrem apenas no mesmo processo. Isso geralmente indica uma tentativa de injetar códigos ou dados em outro processo, o que pode ser o primeiro passo para fortalecer uma presença mal-intencionada no computador.

Aplica-se a: Windows, Mac

Injeção de processos: Mapeamento remoto da memória

Encerrar

Um processo introduziu códigos ou dados em outro processo. Essa pode ser uma tentativa de começar a executar códigos em outro processo e fortalecer uma presença mal-intencionada.

Aplica-se a: Windows, Mac

Injeção de processos: Gravação remota na memória

Encerrar

Um processo modificou a memória em outro processo. Geralmente, essa é uma tentativa de armazenar códigos ou dados na memória alocada anteriormente (consulte Alocação fora do processo), mas é possível que um invasor esteja tentando substituir a memória existente para desviar a execução para uma finalidade mal-intencionada.

Aplica-se a: Windows, Mac

Injeção de processos: Gravação remota de PE na memória

Encerrar

Um processo modificou a memória em outro processo para incluir uma imagem executável. Geralmente, isso indica que um invasor está tentando executar códigos sem, primeiro, gravá-los no disco.

Aplica-se a: Windows, Mac

Injeção de processos: Substituir código remoto

Encerrar

Um processo modificou a memória executável em outro processo. Em condições normais, a memória executável não é modificada, sobretudo por outro processo. Essa é geralmente uma tentativa de desviar a execução em outro processo.

Aplica-se a: Windows, Mac

Injeção de processos: Cancelamento do mapeamento remoto de memória

Encerrar

Um processo removeu um executável do Windows da memória de outro processo. Isso pode indicar uma intenção de substituir a imagem executável por uma cópia modificada para desviar a execução.

Aplica-se a: Windows, Mac

Injeção de processos: Criação remota de thread

Encerrar

Um processo criou um thread em outro processo. Um invasor faz isso para ativar a presença mal-intencionada que foi injetada em outro processo.

Aplica-se a: Windows, Mac

Injeção de processos: APC remoto agendado

Encerrar

Um processo desviou a execução do thread de outro processo. Um invasor faz isso para ativar a presença mal-intencionada que foi injetada em outro processo.

Aplica-se a: Windows

Injeção de processos: Injeção de DYLD (somente Mac OS X)

Encerrar

Uma variável de ambiente definida faz com que uma biblioteca compartilhada seja injetada em um processo iniciado. Os ataques podem modificar o plist de aplicativos, como o Safari, ou substituir aplicativos por scripts bash que fazem com que seus módulos sejam carregados automaticamente quando um aplicativo é iniciado.

Aplica-se a: Mac

Atendimento de segundo nível: Leitura de LSASS

Encerrar

A memória pertencente ao processo da autoridade de segurança local do Windows foi acessada de uma forma que indica a tentativa de obter as senhas dos usuários.

Aplica-se a: Windows

Atendimento de segundo nível: Alocação zero

Encerrar

Uma página nula foi alocada. A região da memória é normalmente reservada. No entanto, em determinadas circunstâncias, ela pode ser alocada. Os ataques podem usá-la para estabelecer o escalonamento de privilégios aproveitando algumas explorações conhecidas de desatribuição nula, normalmente no kernel.

Aplica-se a: Windows, Mac

Execution Control

   

Impedir o desligamento do serviço pelo dispositivo

Enabled

Quando ativada, essa opção impossibilita a interrupção do serviço ATP, mesmo como um computador. Ela também impede que o aplicativo seja desinstalado.

Eliminar processos não seguros em execução e seus subprocessos

Enabled

A ativação desse recurso permite a detecção e o encerramento de qualquer ameaça baseada em memória, que gere subprocessos.

Detecção de ameaças em segundo plano

Executar uma vez

Determina se uma verificação dos arquivos existentes é executada no dispositivo. Isso pode ser definido como Desativado, Executar uma vez ou Executar regularmente.

Se a opção Procurar novos arquivos estiver habilitada, é recomendável definir a configuração de Detecção de ameaças em segundo plano como Executar uma vez. Você precisará verificar os arquivos existentes somente uma vez se também estiver procurando arquivos novos e atualizados.

Procurar novos arquivos

Enabled

Esse recurso habilitado permite a detecção e a análise de todos os arquivos que foram gravados recentemente no dispositivo ou que foram alterados.

 
Nota: É recomendável desativar a opção Procurar novos arquivos em dispositivos de alto tráfego (como arquivos ou servidores de aplicativos), pois isso pode causar aumentos inesperados na latência do disco, pois cada arquivo teria que ser analisado à medida que é gravado no disco. Esse problema é reduzido por padrão, pois todos os executáveis portáteis são analisados durante a tentativa de execução. Ele pode ser atenuado ainda mais ativando e definindo a configuração de Detecção de ameaças em segundo plano como Executar regularmente.

Definir o tamanho máximo do arquivo de arquivamento para verificação

150

Configura o tamanho máximo do arquivo descompactado que pode ser analisado O tamanho está em megabytes.

Configurações de proteção    
Ativar Excluir pastas específicas (inclui subpastas) Enabled Isso permite definir pastas no File Watcher e no Controle de execução com base na política Permitir a execução de arquivos em pastas excluídas que não são monitoradas.
Excluir pastas específicas (inclui subpastas) Varia de acordo com o ambiente

Isso define uma lista de pastas no File Watcher que não são monitoradas. Essa política de Permitir a execução de arquivos em pastas excluídas impede a quarentena de todos os arquivos executados a partir desses diretórios. Essa política impede a varredura desses diretórios com o recurso Procurar novos arquivos ou Detecção de ameaças em segundo plano.

Todas as exclusões adicionadas precisam ser especificadas usando o caminho absoluto desse arquivo executável (inclua a letra da unidade do caminho).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Application Control    
Application Control Disabled Isso permite a capacidade de restringir alterações baseadas em aplicativos no dispositivo. Nenhum novo aplicativo pode ser adicionado, nenhum aplicativo pode ser removido e nenhum aplicativo pode ser modificado ou atualizado.
Pastas permitidas do controle de aplicativos -Em branco-

Isso define uma lista de pastas no controle de aplicativos que não são monitoradas.

Todas as exclusões adicionadas precisam ser especificadas usando o caminho absoluto desse arquivo executável (inclua a letra da unidade do caminho).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Ativar Alterar janela Disabled Quando habilitada, essa opção desativa temporariamente o Controle de aplicativos, permitindo que modificações aconteçam no ambiente.
Script Control    
Script Control Enabled

Permite o uso do Script Control

O controle de scripts monitora aplicativos e serviços que podem executar ações no sistema operacional. Esses aplicativos geralmente são chamados de interpretadores. O ATP monitora esses aplicativos e serviços durante a tentativa de execução de quaisquer scripts e, com base em políticas, notifica sobre as ações que foram tomadas ou impede que as ações ocorram. Essas decisões são tomadas com base no nome do script e no caminho relativo a partir do qual o script foi executado.

Modo de controle de script Bloquear

Quando essa opção é definida como Bloquear, nenhum item baseado em script é executado. Inclusive qualquer script ativo, script baseado em macro ou script baseado em Powershell. Em versões posteriores, eles são separados em suas próprias políticas.

Aplica-se a: ESSE compilação 1.2.1371 ou anterior

Active Script Bloquear

Quando essa opção é definida como Bloquear, ela desabilita a execução de JavaScript, VBscript, lotes, Python, Perl, PHP, Ruby e de vários outros scripts.

Aplica-se a: ESSE compilação 1.2.1391 ou posterior.

Macros Bloquear

Definir essa opção como Alerta permite a análise de macros dentro dos documentos para determinar se eles estão executando comandos possivelmente mal-intencionados. Se uma ameaça for percebida, a configuração "Bloquear" impedirá que a macro seja executada. As macros executadas no início podem impedir o carregamento do aplicativo.

Aplica-se a: ESSE compilação 1.2.1391 ou posterior.

PowerShell Bloquear

Quando essa opção é definida como Bloquear, ela impede que qualquer script baseado em Powershell seja executado no ambiente.

Aplica-se a: ESSE compilação 1.2.1391 ou posterior.

Console do Powershell Permitir

Quando essa opção é definida como Bloquear, ela impede que o console do Powershell V3 e o ISE sejam iniciados.

Aplica-se a: ESSE compilação 1.2.1391 ou posterior.

Habilitar Aprovar scripts em pastas (e subpastas) Enabled Isso permite que a capacidade de excluir locais do controle de scripts seja analisada.
Aprovar scripts em pastas (e subpastas) Varia de acordo com o ambiente

Esta seção detalha as pastas no controle de scripts que não são monitoradas.

  • Os caminhos das pastas podem ser um caminho de convenção de nomenclatura universal (UNC), de uma unidade de rede mapeada ou uma unidade local.
  • As exclusões da pasta Script devem especificar o caminho relativo da pasta ou subpasta.
  • Qualquer caminho de pasta especificado também inclui as subpastas.
  • Curingas não são compatíveis.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Permissão global Varia de acordo com o ambiente

Essa política é utilizada pelo Modo desconectado do ESSE. Ela permite que os clientes tenham um ambiente totalmente separado da Internet.

Essa política determina caminhos e certificados de ameaças específicos que devem ser permitidos no ambiente.

Lista de quarentena Varia de acordo com o ambiente

Essa política é utilizada pelo Modo desconectado do ESSE. Ela permite que os clientes tenham um ambiente totalmente separado da Internet.

Essa é uma lista definida de hashes ruins conhecidos, que são automaticamente colocados em quarentena quando encontrados pelo agente.

Lista segura Varia de acordo com o ambiente

Essa política é utilizada pelo Modo desconectado do ESSE. Ela permite que os clientes tenham um ambiente totalmente separado da Internet.

Essa política determina hashes de ameaças específicos que devem ser permitidos no ambiente.

Configurações do agente    
Suprimir notificações pop-up Disabled Isso habilita ou desabilita a capacidade do ESSE de exibir uma caixa de diálogo de notificação.
Nível mínimo de notificação pop-up High

Isso define o que será notificado ao usuário final se a política Suprimir notificações pop-up estiver desabilitada.

High

  • O status de proteção foi alterado. (Protegido significa que o serviço Advanced Threat Prevention está em execução, protegendo o computador, e não precisa de interação do usuário ou administrador.)
  • Uma ameaça foi detectada, mas a política não está definida para lidar automaticamente com a ameaça.

Média

  • O Controle de execução bloqueou a inicialização de um processo porque ele foi detectado como uma ameaça.
  • Uma ameaça que tem uma redução associada (por exemplo, colocada em quarentena manualmente) foi detectada, portanto, o processo foi encerrado.
  • Um processo foi bloqueado ou encerrado devido a uma violação de memória.
  • Uma violação de memória foi detectada e nenhuma política de redução automática está em vigor para esse tipo de violação.

Low

  • Um arquivo identificado como ameaça foi adicionado à Lista segura global ou excluído do file system.
  • Uma ameaça foi detectada e automaticamente colocada em quarentena.
  • Um arquivo foi identificado como ameaça, mas ignorado no computador.
  • O status de uma ameaça atual foi alterado (por exemplo, de Ameaça para Em quarentena, de Em quarentena para Ignorado ou de Ignorado para Em quarentena).
Ativar a garantia do BIOS Enabled Realiza verificações de integridade do BIOS em computadores Dell compatíveis (computadores de classe empresarial de 2016 ou mais recentes)
Ativar carregamento automático de arquivos de log Enabled Isso permite que os agentes carreguem automaticamente seus arquivos de log do plug-in ATP para a nuvem todos os dias à meia-noite ou a 100 MB, o que ocorrer primeiro.
Habilitar a IU padrão Enabled Isso habilita uma opção adicional usando o Dell Data Security Console em um endpoint. Ela permite que os usuários locais vejam quais ameaças, eventos de memória ou scripts foram detectados no endpoint local. Essa opção está presente usando o menu de clique com o botão direito no endpoint ou usando a engrenagem de configurações do Dell Data Security Console em uma opção intitulada Advanced Threat Prevention.

Quando essa opção é selecionada, há botões adicionais que mostram ou ocultam as ameaças, eventos de memória ou scripts que foram detectados nesse computador.

Esta política exige o Dell Encryption Management Agent versão 8.18.0 ou posterior.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126118
Article Type: Solution
Last Modified: 04 Mar 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.