Niet van toepassing
Standaard wordt aangeraden om Advanced Threat Prevention (ATP) in eerste instantie in een leermodus uit te voeren. Alle dreigingsinformatie wordt verzameld om beheerders de flexibiliteit te geven om bedreigingen en potentieel ongewenste programma's (PUP's) binnen hun omgeving te beheren en om bedrijfskritieke apps op de toelatingslijst te zetten.
Raadpleeg voor meer informatie over het wijzigen van beleidsregels in de Dell Endpoint Security Suite Enterprise Beleidsregels wijzigen op de Dell Data Protection Server.
Raadpleeg voor meer informatie en regels over het maken van uitsluitingen in Dell Endpoint Security Suite Enterprise Uitsluitingen toevoegen in Dell Endpoint Security Suite Enterprise.
Beleidswaarde | Voorgestelde waarde | Beschrijving van het beleid |
---|---|---|
Preventie van geavanceerde bedreigingen (primaire switch) |
Aan |
Deze beleidswaarde bepaalt of de clients beleidsregels voor geavanceerde bedreigingspreventie kunnen gebruiken. Dit maakt ook bestandsacties en uitvoeringscontrole mogelijk, die niet kunnen worden uitgeschakeld. Execution control omvat Background Threat Detection en File Watcher. Deze module binnen ATP analyseert en abstraheert de intenties van een Portable Executable (PE) op basis van de beoogde acties en gedragingen. Alle bestanden die worden gedetecteerd door Execution Control, en samen met BTD en File Watcher, worden verwerkt op basis van het beleid dat correleert met Auto-Quarantine. Deze acties worden uitgevoerd op basis van de absolute padlocatie van het draagbare uitvoerbare bestand. |
Bestandsacties: |
|
|
Onveilige uitvoerbare automatische quarantaine met uitvoerbare controle ingeschakeld |
Disabled | Hiermee wordt bepaald of bestanden die als een ernstige bedreiging worden beschouwd, automatisch in quarantaine worden geplaatst. |
Onveilig uitvoerbaar automatisch uploaden ingeschakeld |
Enabled |
Hiermee kunt u instellen of ernstige bedreigingen worden geüpload naar de cloud om een second opinion-controle uit te voeren op deze bedreigingen. |
Abnormale uitvoerbare automatische quarantaine met uitvoerbare controle ingeschakeld |
Disabled |
Hiermee wordt bepaald of bestanden die als een potentiële bedreiging worden beschouwd, automatisch in quarantaine worden geplaatst. |
Automatisch uploaden van abnormaal uitvoerbaar bestand ingeschakeld |
Enabled |
Hiermee kunt u instellen of potentiële bedreigingen worden geüpload naar de cloud om een second opinion-controle uit te voeren op deze bedreigingen. |
Uitvoering van bestanden in uitsluitingsmappen toestaan |
Enabled |
Dit is van toepassing op het beleid Specifieke mappen uitsluiten binnen de beleidsgroep Beveiligingsinstellingen. Hierdoor kunnen uitvoerbare bestanden in de uitgesloten mappen worden uitgevoerd, zelfs als ze automatisch in quarantaine worden geplaatst. |
Automatisch verwijderen |
Disabled |
Hiermee schakelt u de timer in voor het beleid Days until Deleted. Dit is van toepassing op items die in quarantaine zijn geplaatst. Zodra de dagen tot verwijderd zijn verstreken, worden alle bedreigingen in een quarantainemap automatisch verwijderd als dit beleid is ingeschakeld. |
Dagen tot verwijdering |
14 |
Dit bepaalt het aantal dagen, per bedreiging, dat een item in de lokale quarantainemap blijft. |
Geheugenacties |
||
Geheugenbeveiliging ingeschakeld |
Enabled |
Dit maakt de functionaliteit Geheugenbescherming mogelijk: de module van geheugenbeveiliging analyseert en interpreteert de intenties van het uitvoeren van applicaties door de interacties tussen applicaties en het besturingssysteem in het geheugen te bewaken. |
Uitvoerbare bestanden uitsluiten inschakelen |
Enabled |
Hierdoor kunnen specifieke uitvoerbare bestanden worden uitgesloten van geheugenbeveiliging. |
Uitvoerbare bestanden uitsluiten |
Lege |
Alle toegevoegde uitsluitingen moeten worden gespecificeerd met behulp van het relatieve pad van dat uitvoerbare bestand (laat de stationsletter van het pad weg). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
Exploitatie: Draaipunt stack |
Waarschuwing |
De stapel voor een schroefdraad is vervangen door een andere stapel. Over het algemeen wijst de computer één stack toe voor een thread. Een aanvaller zou een andere stack gebruiken om de uitvoering te regelen op een manier die Data Execution Prevention (DEP) niet kan blokkeren. Van toepassing op: Windows, Mac |
Exploitatie: Stackbescherming |
Waarschuwing |
De geheugenbeveiliging van de stack van een thread is gewijzigd om uitvoeringsmachtiging in te schakelen. Stackgeheugen mag niet uitvoerbaar zijn, dus meestal betekent dit dat een aanvaller zich voorbereidt op het uitvoeren van kwaadaardige code die is opgeslagen in het stackgeheugen als onderdeel van een exploit, een poging die Data Execution Prevention (DEP) anders zou blokkeren. Van toepassing op: Windows, Mac |
Exploitatie: Code overschrijven |
Waarschuwing |
Code die zich in het geheugen van een proces bevindt, is gewijzigd met behulp van een techniek die kan duiden op een poging om Data Execution Prevention (DEP) te omzeilen. Van toepassing op: Windows |
Exploitatie: Zoeken in scannergeheugen |
Waarschuwing |
Een proces probeert geldige magneetstriptrackgegevens van een ander proces te lezen. Meestal gerelateerd aan point-of-sale computers (POS) Van toepassing op: Windows |
Exploitatie: Schadelijke payload |
Waarschuwing |
Een proces probeert geldige magneetstriptrackgegevens van een ander proces te lezen. Meestal gerelateerd aan point-of-sale computers (POS) Van toepassing op: Windows |
Exploitatie: Schadelijke payload |
Waarschuwing |
Er is een generieke shellcode en payloaddetectie gedetecteerd die verband houdt met exploitatie. Van toepassing op: Windows |
Proces Injectie: Externe toewijzing van geheugen |
Waarschuwing |
Een proces heeft geheugen toegewezen in een ander proces. De meeste toewijzingen vinden alleen plaats binnen hetzelfde proces. Dit duidt over het algemeen op een poging om code of gegevens in een ander proces te injecteren, wat een eerste stap kan zijn in het versterken van een kwaadaardige aanwezigheid op een computer. Van toepassing op: Windows, Mac |
Proces Injectie: Externe toewijzing van geheugen |
Waarschuwing |
Een proces heeft code of data geïntroduceerd in een ander proces. Dit kan duiden op een poging om code in een ander proces uit te voeren en een kwaadaardige aanwezigheid te versterken. Van toepassing op: Windows, Mac |
Proces Injectie: Extern schrijven naar geheugen |
Waarschuwing |
Een proces heeft het geheugen in een ander proces gewijzigd. Dit is meestal een poging om code of data op te slaan in eerder toegewezen geheugen (zie OutofProcessAllocation), maar het is mogelijk dat een aanvaller het bestaande geheugen probeert te overschrijven om de uitvoering voor een kwaadaardig doel af te leiden. Van toepassing op: Windows, Mac |
Proces Injectie: Op afstand PE naar geheugen schrijven |
Waarschuwing |
Een proces heeft het geheugen in een ander proces gewijzigd om een uitvoerbare image te bevatten. Over het algemeen geeft dit aan dat een aanvaller probeert code uit te voeren zonder die code eerst naar de schijf te schrijven. Van toepassing op: Windows, Mac |
Proces Injectie: Externe overschrijfcode |
Waarschuwing |
Een proces heeft het uitvoerbare geheugen in een ander proces gewijzigd. Onder normale omstandigheden wordt het uitvoerbare geheugen niet gewijzigd, vooral niet door een ander proces. Dit duidt meestal op een poging om de uitvoering in een ander proces af te leiden. Van toepassing op: Windows, Mac |
Proces Injectie: Externe toewijzing van geheugen ongedaan maken |
Waarschuwing |
Een proces heeft een uitvoerbaar Windows-bestand uit het geheugen van een ander proces verwijderd. Dit kan erop wijzen dat het de bedoeling is om de uitvoerbare image te vervangen door een gewijzigde kopie om de uitvoering om te leiden. Van toepassing op: Windows, Mac |
Proces Injectie: Externe threads maken |
Waarschuwing |
Een proces heeft een thread in een ander proces gemaakt. Een aanvaller gebruikt dit om een kwaadaardige aanwezigheid te activeren die in een ander proces is geïnjecteerd. Van toepassing op: Windows, Mac |
Proces Injectie: Externe APC gepland |
Waarschuwing |
Een proces heeft de uitvoering van de thread van een ander proces omgeleid. Een aanvaller gebruikt dit om een kwaadaardige aanwezigheid te activeren die in een ander proces is geïnjecteerd. Van toepassing op: Windows |
Proces Injectie: Dyld-injectie (alleen Mac OS X) |
Waarschuwing |
Er is een omgevingsvariabele ingesteld die ervoor zorgt dat een gedeelde bibliotheek wordt geïnjecteerd in een gelanceerd proces. Aanvallen kunnen de lijst met applicaties zoals Safari wijzigen of applicaties vervangen door bash-scripts die ervoor zorgen dat hun modules automatisch worden geladen wanneer een applicatie wordt gestart. Van toepassing op: Mac |
Escalatie: LSASS Lezen |
Waarschuwing |
Toegang tot het geheugen van het Windows Local Security Authority-proces is verkregen op een manier die duidt op een poging om wachtwoorden van gebruikers te achterhalen. Van toepassing op: Windows |
Escalatie: Geen toewijzing |
Waarschuwing |
Er is een null-pagina toegewezen. Het geheugengebied is doorgaans gereserveerd, maar kan onder bepaalde omstandigheden worden toegewezen. Aanvallen kunnen dit gebruiken om escalatie van bevoegdheden in te stellen door gebruik te maken van enkele bekende null de-reference-exploits, meestal in de kernel. Van toepassing op: Windows, Mac |
Uitvoeringscontrole |
||
Voorkomen dat de service wordt afgesloten op het apparaat |
Disabled |
Als deze optie is ingeschakeld, kan de ATP-service niet worden gestopt. Dit voorkomt ook dat de applicatie wordt verwijderd. |
Dood onveilige lopende processen en subprocessen |
Disabled |
Door deze functie in te schakelen, kan elke op geheugen gebaseerde bedreiging die subprocessen voortbrengt, worden gedetecteerd en beëindigd. |
Detectie van bedreigingen op de achtergrond |
Eenmaal uitvoeren |
Dit bepaalt of er een scan van bestaande bestanden op het apparaat wordt uitgevoerd. Dit kan worden ingesteld op Uitgeschakeld, Eén keer uitvoeren of Terugkerend uitvoeren. Als Controleren op nieuwe bestanden is ingeschakeld, is het raadzaam om Detectie van achtergrondbedreigingen te configureren om één keer uit te voeren. U hoeft bestaande bestanden slechts één keer te controleren als u ook op zoek bent naar nieuwe en bijgewerkte bestanden. |
Let op nieuwe bestanden |
Enabled |
Als u deze optie instelt op Ingeschakeld, kunnen bestanden die nieuw naar het apparaat zijn geschreven of die zijn gewijzigd, worden gedetecteerd en geanalyseerd.
Opmerking: Het wordt aanbevolen om Watch for New Files uit te schakelen op apparaten met veel verkeer (zoals bestanden of applicatieservers), omdat dit kan leiden tot onverwachte verhogingen van de schijflatentie, aangezien elk bestand moet worden geanalyseerd terwijl het naar schijf wordt geschreven. Dit wordt standaard beperkt omdat alle draagbare uitvoerbare bestanden die proberen uit te voeren, worden geanalyseerd terwijl ze worden uitgevoerd. Dit kan verder worden beperkt door Achtergrondbedreigingsdetectie in te schakelen en in te stellen op Terugkerende uitvoering.
|
Maximale archiefbestandsgrootte instellen om te scannen |
150 |
Configureert de maximale gedecomprimeerde archiefgrootte die kan worden geanalyseerd De grootte is in megabytes. |
Beveiligingsinstellingen | ||
Specifieke mappen uitsluiten inschakelen (inclusief submappen) | Enabled | Hiermee kunt u mappen definiëren in Bestandsbewaking en Uitvoeringsbeheer op basis van het beleid en Uitvoering toestaan van bestanden in Exclude Folders die niet worden bewaakt. |
Specifieke mappen uitsluiten (inclusief submappen) | -Lege- | Definieert een lijst met mappen in Bestandswachter die niet worden gecontroleerd, het beleid van Uitvoering van bestanden toestaan in mappen uitsluiten voorkomt de quarantaine van bestanden die vanuit deze mappen worden uitgevoerd. Dit beleid voorkomt dat deze mappen worden gescand door Watch for New Files of Background Threat Detection. Alle uitsluitingen die worden toegevoegd, moeten worden opgegeven met behulp van het absolute pad van dat uitvoerbare bestand (inclusief de stationsaanduiding van het pad). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
Applicatiecontrole | ||
Applicatiecontrole | Disabled | Dit maakt de mogelijkheid mogelijk om applicatiegebaseerde wijzigingen op het apparaat te beperken, nieuwe applicaties kunnen niet worden toegevoegd, applicaties kunnen niet worden verwijderd en applicaties kunnen niet worden gewijzigd of bijgewerkt. |
Toegestane mappen voor applicatiebeheer | -Lege- | Dit definieert een lijst met mappen in het applicatiebeheer die niet worden bewaakt. Alle uitsluitingen die worden toegevoegd, moeten worden opgegeven met behulp van het absolute pad van dat uitvoerbare bestand (inclusief de stationsaanduiding van het pad). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
Wijzigingsvenster inschakelen | Disabled | Wanneer deze optie is ingeschakeld, wordt Applicatiebeheer tijdelijk uitgeschakeld, zodat er wijzigingen in de omgeving kunnen worden aangebracht. |
Scriptcontrole | ||
Scriptcontrole | Enabled | Hiermee kunt u scriptbeheer gebruiken Script Control controleert applicaties en services die acties binnen het besturingssysteem kunnen uitvoeren. Deze toepassingen worden gewoonlijk tolken genoemd. ATP controleert deze applicaties en services op scripts die proberen uit te voeren en op basis van beleid meldt het dat hun actie is ondernomen of blokkeert het uitvoeren van de acties. Deze beslissingen worden genomen op basis van de scriptnaam en het relatieve pad waar het script is uitgevoerd. |
Scriptbesturingsmodus | Waarschuwing | Wanneer deze is ingesteld op Blokkeren, worden er geen op script gebaseerde items uitgevoerd. Dit omvat alle actieve scripts, macroscripts of PowerShell-scripts. In latere versies worden deze opgesplitst in hun eigen beleid. Van toepassing op: 1.2.1371 en eerdere versies van ESSE |
Active Script | Waarschuwing | Wanneer deze optie is ingesteld op Blokkeren, wordt de mogelijkheid uitgeschakeld om JavaScript, VBscript, batch, Python, Perl, PHP, Ruby en vele andere scripts uit te voeren. Van toepassing op: 1.2.1391 en latere builds van ESSE. |
Macro's | Waarschuwing | Als u deze optie instelt op Waarschuwing, kunnen macro's in documenten worden geanalyseerd om te bepalen of er potentieel schadelijke opdrachten worden uitgevoerd. Als er een dreiging wordt waargenomen, voorkomt de instelling Blokkeren dat de macro wordt uitgevoerd. Macro's die worden uitgevoerd bij het opstarten, kunnen voorkomen dat de applicatie wordt geladen. Van toepassing op: 1.2.1391 en latere builds van ESSE. |
Powershell | Waarschuwing | Wanneer deze optie is ingesteld op Blokkeren, voorkomt dit dat op PowerShell gebaseerde scripts in de omgeving worden uitgevoerd. Van toepassing op: 1.2.1391 en latere builds van ESSE. |
Powershell Console | Allow | Wanneer deze is ingesteld op Blokkeren, kunnen de PowerShell V3-console en ISE niet worden gestart. Van toepassing op: 1.2.1391 en latere builds van ESSE. |
Goedkeurscripts inschakelen in mappen (en submappen) | Enabled | Hiermee kunt u locaties in Script Control uitsluiten van analyse. |
Scripts in mappen (en submappen) goedkeuren | -Lege- | In dit gedeelte vindt u informatie over de mappen in Scriptbeheer die niet worden bewaakt.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
Globaal toestaan | -Lege- | Dit beleid maakt gebruik van een niet-verbonden modus voor ESSE. Hierdoor kunnen klanten een omgeving hebben die volledig gescheiden is van het internet. Dit beleid bepaalt specifieke bedreigingspaden en certificaten die in de omgeving moeten worden toegestaan. |
Quarantainelijst | -Lege- | Dit beleid maakt gebruik van een niet-verbonden modus voor ESSE. Hierdoor kunnen klanten een omgeving hebben die volledig gescheiden is van het internet. Dit is een gedefinieerde lijst met bekende slechte hashes die automatisch in quarantaine wordt geplaatst wanneer de agent deze tegenkomt. |
Veilige lijst | -Lege- | Dit beleid maakt gebruik van een niet-verbonden modus voor ESSE. Hierdoor kunnen klanten een omgeving hebben die volledig gescheiden is van het internet. Dit beleid bepaalt specifieke bedreigingshashes die in de omgeving moeten worden toegestaan. |
Agentinstellingen | ||
Pop-upmeldingen onderdrukken | Enabled | Hiermee kunt u de mogelijkheid voor ESSE om een broodroosterdialoogvenster weer te geven in- of uitschakelen. |
Minimaal meldingsniveau pop-up | Hoog | Dit bepaalt wat er aan de eindgebruiker wordt gemeld als het beleid Pop-upmeldingen onderdrukken is uitgeschakeld. Hoog
Gemiddeld
Laag
|
BIOS Assurance inschakelen | Enabled | Voert BIOS-integriteitscontroles uit op ondersteunde Dell computers (2016 en latere enterprise-klasse computers) |
Automatisch uploaden van logbestanden inschakelen | Enabled | Hierdoor kunnen agents hun logbestanden voor de ATP-plug-in elke dag om middernacht of om 100 MB automatisch uploaden naar de cloud, afhankelijk van wat zich het eerst voordoet. |
Beleidswaarde | Voorgestelde waarde | Beschrijving van het beleid |
---|---|---|
Preventie van geavanceerde bedreigingen (primaire switch) |
Aan |
Deze beleidswaarde bepaalt of de clients beleidsregels voor geavanceerde bedreigingspreventie kunnen gebruiken. Dit maakt ook bestandsacties en uitvoeringscontrole mogelijk, die niet kunnen worden uitgeschakeld. Execution control omvat Background Threat Detection en File Watcher. Deze module binnen ATP analyseert en abstraheert de intenties van een Portable Executable (PE) op basis van de beoogde acties en gedragingen. Alle bestanden die worden gedetecteerd door Execution Control en BTD en File Watcher, worden verwerkt op basis van het beleid dat correleert met Auto-Quarantine. Deze acties worden uitgevoerd op basis van de absolute padlocatie van het draagbare uitvoerbare bestand. |
Bestandsacties: |
|
|
Onveilige uitvoerbare automatische quarantaine met uitvoerbare controle ingeschakeld |
Enabled | Hiermee wordt bepaald of bestanden die als een ernstige bedreiging worden beschouwd, automatisch in quarantaine worden geplaatst. |
Onveilig uitvoerbaar automatisch uploaden ingeschakeld |
Enabled |
Hiermee kunt u instellen of ernstige bedreigingen worden geüpload naar de cloud om een second opinion-controle uit te voeren op deze bedreigingen. |
Abnormale uitvoerbare automatische quarantaine met uitvoerbare controle ingeschakeld |
Enabled |
Hiermee wordt bepaald of bestanden die als een potentiële bedreiging worden beschouwd, automatisch in quarantaine worden geplaatst. |
Automatisch uploaden van abnormaal uitvoerbaar bestand ingeschakeld |
Enabled |
Hiermee kunt u instellen of potentiële bedreigingen worden geüpload naar de cloud om een second opinion-controle uit te voeren op deze bedreigingen. |
Uitvoering van bestanden in uitsluitingsmappen toestaan |
Enabled |
Dit is van toepassing op het beleid Specifieke mappen uitsluiten binnen de beleidsgroep Beveiligingsinstellingen. Hierdoor kunnen uitvoerbare bestanden in de uitgesloten mappen worden uitgevoerd, zelfs als ze automatisch in quarantaine worden geplaatst. |
Automatisch verwijderen |
Enabled |
Hiermee schakelt u de timer in voor het beleid dagen tot verwijderd. Dit geldt ook voor items die in quarantaine zijn geplaatst. Zodra de dagen tot verwijdering zijn verstreken, worden alle bedreigingen in een quarantainemap automatisch verwijderd als dit beleid is ingeschakeld. |
Dagen tot verwijdering |
14 |
Bepaalt het aantal dagen, per bedreiging, dat een item in de lokale quarantainemap blijft. |
Geheugenacties |
||
Geheugenbeveiliging ingeschakeld |
Enabled |
Dit maakt de functionaliteit Geheugenbescherming mogelijk, de module van geheugenbeveiliging die de intenties van het uitvoeren van applicaties analyseert en interpreteert door de interacties tussen applicaties en het besturingssysteem in het geheugen te bewaken. |
Uitvoerbare bestanden uitsluiten inschakelen |
Enabled |
Hierdoor kunnen specifieke uitvoerbare bestanden worden uitgesloten van geheugenbeveiliging. |
Uitvoerbare bestanden uitsluiten |
Is afhankelijk van de omgeving |
Alle toegevoegde uitsluitingen moeten worden gespecificeerd met behulp van het relatieve pad van dat uitvoerbare bestand (laat de stationsletter van het pad weg). Correct (OS X): /Users/application.app/executable Correct (Windows): \Application\SubFolder\application.exe Incorrect: C:\Application\SubFolder\application.exe Incorrect: \Application\SubFolder\ |
Exploitatie: Draaipunt stack |
Beëindigen |
De stapel voor een schroefdraad is vervangen door een andere stapel. Over het algemeen wijst de computer slechts één stapel toe voor een thread. Een aanvaller zou een andere stack gebruiken om de uitvoering te controleren op een manier die Data Execution Prevention (DEP) niet blokkeert. Van toepassing op: Windows, Mac |
Exploitatie: Stackbescherming |
Beëindigen |
De geheugenbeveiliging van de stack van een thread is gewijzigd om uitvoeringsmachtiging in te schakelen. Stackgeheugen mag niet uitvoerbaar zijn, dus meestal betekent dit dat een aanvaller zich voorbereidt op het uitvoeren van kwaadaardige code die is opgeslagen in stackgeheugen als onderdeel van een exploit, een poging die Data Execution Prevention (DEP) anders niet zou blokkeren. Van toepassing op: Windows, Mac |
Exploitatie: Code overschrijven |
Beëindigen |
Code die zich in het geheugen van een proces bevindt, is gewijzigd met behulp van een techniek die kan duiden op een poging om Data Execution Prevention (DEP) te omzeilen. Van toepassing op: Windows |
Exploitatie: Zoeken in scannergeheugen |
Beëindigen |
Een proces probeert geldige trackinggegevens met een magneetstrip van een ander proces te lezen, meestal gerelateerd aan point-of-sale computers (POS). Van toepassing op: Windows |
Exploitatie: Schadelijke payload |
Beëindigen |
Er is een generieke shellcode en payloaddetectie gedetecteerd die verband houdt met exploitatie. Van toepassing op: Windows |
Proces Injectie: Externe toewijzing van geheugen |
Beëindigen |
Een proces heeft geheugen toegewezen in een ander proces. De meeste toewijzingen vinden alleen plaats binnen hetzelfde proces. Dit duidt over het algemeen op een poging om code of gegevens in een ander proces te injecteren, wat een eerste stap kan zijn in het versterken van een kwaadaardige aanwezigheid op een computer. Van toepassing op: Windows, Mac |
Proces Injectie: Externe toewijzing van geheugen |
Beëindigen |
Een proces heeft code of data geïntroduceerd in een ander proces. Dit kan duiden op een poging om code in een ander proces uit te voeren en een kwaadaardige aanwezigheid te versterken. Van toepassing op: Windows, Mac |
Proces Injectie: Extern schrijven naar geheugen |
Beëindigen |
Een proces heeft het geheugen in een ander proces gewijzigd. Dit is meestal een poging om code of data op te slaan in eerder toegewezen geheugen (zie OutOfProcessAllocation), maar het is mogelijk dat een aanvaller het bestaande geheugen probeert te overschrijven om de uitvoering voor een kwaadaardig doel af te leiden. Van toepassing op: Windows, Mac |
Proces Injectie: Op afstand PE naar geheugen schrijven |
Beëindigen |
Een proces heeft het geheugen in een ander proces gewijzigd om een uitvoerbare image te bevatten. Over het algemeen geeft dit aan dat een aanvaller probeert code uit te voeren zonder die code eerst naar de schijf te schrijven. Van toepassing op: Windows, Mac |
Proces Injectie: Externe overschrijfcode |
Beëindigen |
Een proces heeft het uitvoerbare geheugen in een ander proces gewijzigd. Onder normale omstandigheden wordt het uitvoerbare geheugen niet gewijzigd, vooral niet door een ander proces. Dit duidt meestal op een poging om de uitvoering in een ander proces af te leiden. Van toepassing op: Windows, Mac |
Proces Injectie: Externe toewijzing van geheugen ongedaan maken |
Beëindigen |
Een proces heeft een uitvoerbaar Windows-bestand uit het geheugen van een ander proces verwijderd. Dit kan erop wijzen dat het de bedoeling is om de uitvoerbare image te vervangen door een gewijzigde kopie om de uitvoering om te leiden. Van toepassing op: Windows, Mac |
Proces Injectie: Externe threads maken |
Beëindigen |
Een proces heeft een thread in een ander proces gemaakt. Een aanvaller gebruikt dit om een kwaadaardige aanwezigheid te activeren die in een ander proces is geïnjecteerd. Van toepassing op: Windows, Mac |
Proces Injectie: Externe APC gepland |
Beëindigen |
Een proces heeft de uitvoering van de thread van een ander proces omgeleid. Een aanvaller gebruikt dit om een kwaadaardige aanwezigheid te activeren die in een ander proces is geïnjecteerd. Van toepassing op: Windows |
Proces Injectie: Dyld-injectie (alleen Mac OS X) |
Beëindigen |
Er is een omgevingsvariabele ingesteld die ervoor zorgt dat een gedeelde bibliotheek wordt geïnjecteerd in een gelanceerd proces. Aanvallen kunnen de lijst met applicaties zoals Safari wijzigen of applicaties vervangen door bash-scripts die ervoor zorgen dat hun modules automatisch worden geladen wanneer een applicatie wordt gestart. Van toepassing op: Mac |
Escalatie: LSASS Lezen |
Beëindigen |
Toegang tot het geheugen van het Windows Local Security Authority-proces is verkregen op een manier die duidt op een poging om wachtwoorden van gebruikers te achterhalen. Van toepassing op: Windows |
Escalatie: Geen toewijzing |
Beëindigen |
Er is een null-pagina toegewezen. Het geheugengebied is doorgaans gereserveerd, maar kan onder bepaalde omstandigheden worden toegewezen. Aanvallen kunnen dit gebruiken om escalatie van bevoegdheden in te stellen door gebruik te maken van enkele bekende null de-reference-exploits, meestal in de kernel. Van toepassing op: Windows, Mac |
Uitvoeringscontrole |
||
Voorkomen dat de service wordt afgesloten op het apparaat |
Enabled |
Als deze optie is ingeschakeld, kan de ATP-service niet worden gestopt, zelfs als de computer zich bevindt. Dit voorkomt ook dat de applicatie wordt verwijderd. |
Dood onveilige lopende processen en subprocessen |
Enabled |
Door deze functie in te schakelen, kan elke op geheugen gebaseerde bedreiging die subprocessen voortbrengt, worden gedetecteerd en beëindigd. |
Detectie van bedreigingen op de achtergrond |
Eenmaal uitvoeren |
Dit bepaalt of er een scan van bestaande bestanden op het apparaat wordt uitgevoerd. Dit kan worden ingesteld op Uitgeschakeld, Eén keer uitvoeren of Terugkerend uitvoeren. Als Controleren op nieuwe bestanden is ingeschakeld, is het raadzaam om Detectie van achtergrondbedreigingen te configureren om één keer uit te voeren. U hoeft bestaande bestanden slechts één keer te controleren als u ook op zoek bent naar nieuwe en bijgewerkte bestanden. |
Let op nieuwe bestanden |
Enabled |
Als u deze optie instelt op Ingeschakeld, kunnen bestanden die nieuw naar het apparaat zijn geschreven of die zijn gewijzigd, worden gedetecteerd en geanalyseerd.
Opmerking: Het wordt aanbevolen om Watch for New Files uit te schakelen op apparaten met veel verkeer (zoals bestanden of applicatieservers), omdat dit kan leiden tot onverwachte verhogingen van de schijflatentie, aangezien elk bestand moet worden geanalyseerd terwijl het naar schijf wordt geschreven. Dit wordt standaard beperkt omdat alle draagbare uitvoerbare bestanden die proberen te worden uitgevoerd, worden geanalyseerd terwijl ze worden uitgevoerd. Dit kan verder worden beperkt door Achtergrondbedreigingsdetectie in te schakelen en in te stellen op Terugkerende uitvoering.
|
Maximale archiefbestandsgrootte instellen om te scannen |
150 |
Configureert de maximale gedecomprimeerde archiefgrootte die kan worden geanalyseerd De grootte is in megabytes. |
Beveiligingsinstellingen | ||
Specifieke mappen uitsluiten inschakelen (inclusief submappen) | Enabled | Hiermee kunt u mappen definiëren in Bestandsbeheer en Uitvoeringsbeheer op basis van het beleid Uitvoering van bestanden toestaan in mappen uitsluiten die niet worden bewaakt. |
Specifieke mappen uitsluiten (inclusief submappen) | Is afhankelijk van de omgeving | Dit definieert een lijst met mappen in File Watcher die niet worden gecontroleerd. Dit beleid van Uitvoering van bestanden toestaan in uitsluitingsmappen voorkomt de quarantaine van bestanden die vanuit deze mappen worden uitgevoerd. Dit beleid voorkomt dat deze mappen worden gescand door Watch for New Files of Background Threat Detection. Alle uitsluitingen die worden toegevoegd, moeten worden opgegeven met behulp van het Absolute-pad van dat uitvoerbare bestand (inclusief de stationsaanduiding van het pad). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
Applicatiecontrole | ||
Applicatiecontrole | Disabled | Hiermee kunt u wijzigingen op basis van applicaties op het apparaat beperken. Er kunnen geen nieuwe toepassingen worden toegevoegd, er kunnen geen toepassingen worden verwijderd en er kunnen geen toepassingen worden gewijzigd of bijgewerkt. |
Toegestane mappen voor applicatiebeheer | -Lege- | Dit definieert een lijst met mappen in het applicatiebeheer die niet worden bewaakt. Alle uitsluitingen die worden toegevoegd, moeten worden opgegeven met behulp van het Absolute-pad van dat uitvoerbare bestand (inclusief de stationsaanduiding van het pad). Correct (OS X): /Mac\ HD/Users/Application\ Support/Dell Correct (Windows): C:\Program Files\Dell\ Incorrect: \Program Files\Dell\ Incorrect: C:\Program Files\Dell\Executable.exe |
Wijzigingsvenster inschakelen | Disabled | Wanneer deze optie is ingeschakeld, wordt Applicatiebeheer tijdelijk uitgeschakeld, zodat er wijzigingen in de omgeving kunnen worden aangebracht. |
Scriptcontrole | ||
Scriptcontrole | Enabled | Hiermee kunt u Script Control gebruiken Script Control controleert applicaties en services die acties binnen het besturingssysteem kunnen uitvoeren. Deze toepassingen worden gewoonlijk tolken genoemd. ATP controleert deze applicaties en services op scripts die proberen uit te voeren en op basis van beleidsregels een melding geeft dat hun actie is ondernomen of blokkeert de acties. Deze beslissingen worden genomen op basis van de scriptnaam en het relatieve pad van waaruit het script is uitgevoerd. |
Scriptbesturingsmodus | Blokkeren | Wanneer deze is ingesteld op Blokkeren, worden er geen op script gebaseerde items uitgevoerd. Dit omvat alle actieve scripts, scripts gebaseerd op macro's of op PowerShell gebaseerde scripts. In latere versies worden deze opgesplitst in hun eigen beleid. Van toepassing op: 1.2.1371 en eerdere versies van ESSE |
Active Script | Blokkeren | Wanneer deze optie is ingesteld op Blokkeren, wordt de mogelijkheid uitgeschakeld om JavaScript, VBscript, batch, Python, Perl, PHP, Ruby en vele andere scripts uit te voeren. Van toepassing op: 1.2.1391 en latere builds van ESSE. |
Macro's | Blokkeren | Als u deze optie instelt op Waarschuwing, kunnen macro's in documenten worden geanalyseerd om te bepalen of er potentieel schadelijke opdrachten worden uitgevoerd. Als er een dreiging wordt waargenomen, voorkomt de instelling "Block" dat de macro wordt uitgevoerd. Macro's die worden uitgevoerd bij het opstarten, kunnen voorkomen dat de applicatie wordt geladen. Van toepassing op: 1.2.1391 en latere builds van ESSE. |
Powershell | Blokkeren | Wanneer deze optie is ingesteld op Blokkeren, voorkomt dit dat op PowerShell gebaseerde scripts worden uitgevoerd in de omgeving. Van toepassing op: 1.2.1391 en latere builds van ESSE. |
Powershell Console | Allow | Wanneer deze is ingesteld op Blokkeren, worden de PowerShell V3-console en ISE niet gestart. Van toepassing op: 1.2.1391 en latere builds van ESSE. |
Goedkeurscripts inschakelen in mappen (en submappen) | Enabled | Hiermee kunt u locaties van Script Control uitsluiten van analyse. |
Scripts in mappen (en submappen) goedkeuren | Is afhankelijk van de omgeving | In dit gedeelte vindt u informatie over de mappen in Scriptbeheer die niet worden bewaakt.
Correct (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed Correct (Windows): \Cases\ScriptsAllowed. Incorrect: C:\Application\SubFolder\application.vbs Incorrect: \Program Files\Dell\application.vbs |
Globaal toestaan | Is afhankelijk van de omgeving | Dit beleid wordt gebruikt door de modus Disconnected voor ESSE. Hierdoor hebben klanten een omgeving die volledig gescheiden is van het internet. Dit beleid bepaalt specifieke bedreigingspaden en certificaten die in de omgeving moeten worden toegestaan. |
Quarantainelijst | Is afhankelijk van de omgeving | Dit beleid wordt gebruikt door de modus Disconnected voor ESSE. Hierdoor hebben klanten een omgeving die volledig gescheiden is van het internet. Dit is een gedefinieerde lijst met bekende slechte hashes die automatisch in quarantaine worden geplaatst wanneer de agent ze tegenkomt. |
Veilige lijst | Is afhankelijk van de omgeving | Dit beleid wordt gebruikt door de modus Disconnected voor ESSE. Hierdoor hebben klanten een omgeving die volledig gescheiden is van het internet. Dit beleid bepaalt specifieke bedreigingshashes die in de omgeving moeten worden toegestaan. |
Agentinstellingen | ||
Pop-upmeldingen onderdrukken | Disabled | Hiermee kunt u de mogelijkheid voor ESSE om een broodroosterdialoogvenster weer te geven in- of uitschakelen. |
Minimaal meldingsniveau pop-up | Hoog | Dit bepaalt wat er aan de eindgebruiker wordt gemeld als het beleid Pop-upmeldingen onderdrukken is uitgeschakeld. Hoog
Gemiddeld
Laag
|
BIOS Assurance inschakelen | Enabled | Voert BIOS-integriteitscontroles uit op ondersteunde Dell computers (2016 en latere enterprise-klasse computers) |
Automatisch uploaden van logbestanden inschakelen | Enabled | Hierdoor kunnen agents hun logbestanden voor de ATP-plug-in elke dag om middernacht of om 100 MB automatisch uploaden naar de cloud, afhankelijk van wat zich het eerst voordoet. |
Standaard gebruikersinterface inschakelen | Enabled | Hiermee wordt een extra optie ingeschakeld met behulp van de Dell Data Security Console op een eindpunt. Hierdoor kunnen lokale gebruikers zien welke bedreigingen, geheugengebeurtenissen of scripts zijn gedetecteerd op het lokale eindpunt. Deze optie is aanwezig via het rechtsklikmenu op het eindpunt of via het instellingentandwiel in de Dell Data Security Console in een optie met de naam Advanced Threat Prevention. Zodra deze optie is geselecteerd, zijn er extra schakelaars beschikbaar waarmee de bedreigingen, geheugengebeurtenissen of scripts die op die computer zijn gedetecteerd, worden weergegeven of verborgen. Dit beleid vereist dat de Dell Encryption Management Agent versie 8.18.0 of hoger is. |
Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.