Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Doporučené zásady společnosti Dell pro pokročilou ochranu a prevenci hrozeb sady Dell Endpoint Security Suite Enterprise

Summary: Sada Dell Endpoint Security Suite Enterprise nabízí funkce prevence a ochrany před nejnovějšími a nejškodlivějšími hrozbami.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Poznámka:

Dotčené produkty:

  • Dell Endpoint Security Suite Enterprise

Cause

Není k dispozici

Resolution

Ve výchozím nastavení se funkce Advanced Threat Prevention (ATP) doporučuje nejprve spustit v režimu učení. Veškeré informace o hrozbách jsou shromažďovány tak, aby správcům poskytly flexibilitu při správě hrozeb a potenciálně nežádoucích programů (PUP) ve svém prostředí a aby bylo možné přidat na seznam povolených ty nejdůležitější aplikace.

Další informace o úpravách zásad v sadě Dell Endpoint Security Suite Enterprise naleznete v článku Jak upravit zásady na serveru Dell Data Protection Server.

Další informace a pravidla pro vytváření výjimek v sadě Dell Endpoint Security Suite Enterprise naleznete v článku Jak přidat výjimky do sady Dell Endpoint Security Suite Enterprise.

Poznámka: U aplikačních a souborových serverů je zvlášť třeba zvážit použití funkce Background Threat DetectionWatch for New Files. Ty jsou definovány níže. Tato zařízení se oddělují pomocí skupiny koncových bodů v rámci nástroje Dell Security Management Server, aby tato zařízení mohla používat zásady, které se liší od zbývajících zařízení v prostředí.
Poznámka: Tyto zásady berou v potaz nástroj Dell Security Management Server 10.2.3.
Hodnota zásady Doporučená hodnota Policy Description

Advanced Threat Prevention (Primary Switch)

Svítí

Tato hodnota zásady určuje, zda mohou klienti využívat zásady služby Advanced Threat Prevention.

Zároveň umožňuje akce souboru a funkci Execution Control, které nelze zakázat.

Funkce Execution Control zahrnuje funkci Background Threat Detection a File Watcher. Tento modul v rámci služby ATP analyzuje a shrnuje záměry přenosného spustitelného souboru (PE) na základě zamýšlených akcí a chování. Všechny soubory zjištěné kontrolou funkcí Execution Control společně s BTD a nástrojem File Watcher jsou zpracovávány na základě zásad, které se vztahují k automatické karanténě. Tyto akce se provádějí na základě absolutní cesty k přenosnému spustitelnému souboru.

Akce souboru:

 

 

Unsafe Executable Auto Quarantine With Executable Control Enabled

Disabled To určuje, zda jsou soubory, které jsou považovány za závažnou hrozbu, automaticky umístěny do karantény.

Unsafe Executable Auto Upload Enabled

Enabled

Nastaví, zda se mají do cloudu odesílat závažné hrozby za účelem jejich další kontroly.

Abnormal Executable Auto Quarantine With Executable Control Enabled

Disabled

To určuje, zda jsou soubory, které jsou považovány za potenciální hrozbu, automaticky umístěny do karantény.

Abnormal Executable Auto Upload Enabled

Enabled

Nastaví, zda se mají do cloudu odesílat potenciální hrozby za účelem jejich další kontroly.

Allow Execution of Files in Exclude Folders

Enabled

To platí pro zásady Exclude Specific Folders v rámci skupiny zásad Protection Settings. To umožňuje spuštění spustitelných souborů ve vyloučených složkách, i když jsou automaticky umístěny do karantény.

Auto Delete

Disabled

Tím se povolí časovač u zásady Days until Deleted. To platí pro položky v karanténě. Po uplynutí Dnů do odstranění se všechny hrozby ve složce karantény automaticky odeberou, pokud je tato zásada povolena.

Days Until Deleted

14

To určuje počet dní, po které na hrozbu zůstane položka v místní složce karantény.

Akce paměti

   

Memory Protection Enabled

Enabled

Modul ochrany paměti analyzuje a interpretuje záměry spuštěných aplikací sledováním interakcí mezi aplikacemi a operačním systémem v paměti.

Enable Exclude executable files

Enabled

To umožňuje vyloučit určité spustitelné soubory z ochrany paměti.

Exclude executable files

Prázdné

Všechny přidané výjimky musí být zadány pomocí relativní cesty k danému spustitelnému souboru (vynechte z cesty písmeno jednotky).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Exploitation: Stack Pivot

Alert

Stoh byl u vlákna nahrazen jiným stohem. Obecně počítač přiděluje na jedno vlákno jeden stoh. Útočník může použít ke kontrole spuštění jiný stoh takovým způsobem, že jej funkce zabránění spuštění dat (DEP) nedokáže zablokovat.

Platí pro: Windows, Mac

Exploitation: Stack Protect

Alert

Ochrana paměti stohu vlákna byla upravena tak, aby povolila oprávnění ke spuštění. Paměť stohu by neměla být spustitelná, takže to obvykle znamená, že útočník se v rámci útoku připravuje na spuštění škodlivého kódu uloženého v paměti stohu, což by jinak zablokovala funkce zabránění spuštění dat (DEP).

Platí pro: Windows, Mac

Exploitation: Overwrite Code

Alert

Kód uložený v paměti procesu byl upraven pomocí techniky, což může signalizovat pokus o obejití funkce zabránění spuštění dat (DEP).

Platí pro: Windows

Exploitation: Scanner Memory Search

Alert

Proces se snaží číst platná data stopy magnetického proužku z jiného procesu. Obvykle související s prodejními počítači (POS)

Platí pro: Windows

Exploitation: Malicious Payload

Alert

Proces se snaží číst platná data stopy magnetického proužku z jiného procesu. Obvykle související s prodejními počítači (POS)

Platí pro: Windows

Exploitation: Malicious Payload

Alert

Byl zjištěn obecný kód prostředí a datová část spojené s útokem.

Platí pro: Windows

Process Injection: Remote Allocation of Memory

Alert

Proces přidělil paměť v jiném procesu. Většina přidělování probíhá pouze v rámci stejného procesu. To zpravidla značí pokus o vložení kódu nebo dat do jiného procesu, což může představovat první krok k odstranění přítomnosti škodlivého činitele v počítači.

Platí pro: Windows, Mac

Process Injection: Remote Mapping of Memory

Alert

Proces zavedl kód nebo data do jiného procesu. To může značit pokus o zahájení spuštění kódu v jiném procesu a posílení škodlivého činitele.

Platí pro: Windows, Mac

Process Injection: Remote Write to Memory

Alert

Proces upravil paměť v jiném procesu. Obvykle se jedná o pokus o uložení kódu nebo dat do dříve přidělené paměti (viz OutofProcessAllocation), je však možné, že se útočník pokouší přepsat stávající paměť, aby mohl odklonit její spuštění se škodlivým záměrem.

Platí pro: Windows, Mac

Process Injection: Remote Write PE to Memory

Alert

Proces upravil paměť v jiném procesu, aby obsahoval spustitelnou bitovou kopii. Obecně to znamená, že se útočník pokouší spustit kód bez jeho dřívějšího zápisu na disk.

Platí pro: Windows, Mac

Process Injection: Remote Overwrite Code

Alert

Proces upravil spustitelnou paměť v jiném procesu. Za normálních podmínek k úpravě spustitelné paměti nedojde, zejména ze strany jiného procesu. To obvykle značí pokus o odklonění spuštění v jiném procesu.

Platí pro: Windows, Mac

Process Injection: Remote Unmap of Memory

Alert

Proces odstranil spustitelný soubor systému Windows z paměti jiného procesu. To může značit snahu o náhradu spustitelné bitové kopie pomocí upravené bitové kopie za účelem odklonění spuštění.

Platí pro: Windows, Mac

Process Injection: Remote Thread Creation

Alert

Proces vytvořil vlákno v jiném procesu. Útočník tuto skutečnost používá k aktivaci škodlivého činitele, který vpravil do jiného procesu.

Platí pro: Windows, Mac

Process Injection: Remote APC Scheduled

Alert

Proces odklonil spuštění vlákna jiného procesu. Útočník tuto skutečnost používá k aktivaci škodlivého činitele, který vpravil do jiného procesu.

Platí pro: Windows

Process Injection: DYLD Injection (pouze Mac OS X)

Alert

Byla nastavena proměnná prostředí, která způsobí vložení sdílené knihovny do spuštěného procesu. Útoky mohou upravit seznam vlastností aplikací, jako je Safari, nebo nahradit aplikace pomocí skriptů bash, které způsobí automatické načtení jejich modulů při spuštění aplikace.

Platí pro: Mac

Escalation: LSASS Read

Alert

Paměť náležející k procesu místního zabezpečení systému Windows byla zpřístupněna způsobem, který signalizuje pokus o získání hesel uživatelů.

Platí pro: Windows

Escalation: Zero Allocate

Alert

Byla přidělena nulová stránka. Oblast paměti je obvykle vyhrazena, ale za určitých okolností ji lze přidělit. Útočníci mohou tuto skutečnost využít k eskalaci oprávnění a využít některé známé chyby při vyhledávání nulových hodnot, obvykle v jádru.

Platí pro: Windows, Mac

Execution Control

   

Prevent Service Shutdown from Device

Disabled

Je-li tato zásada nastavena na hodnotu Enabled, není možné zastavit službu ATP. Nelze také odinstalovat aplikace.

Kill Unsafe Running Process and Sub-Processes

Disabled

Povolení této funkce umožňuje zjistit a ukončit jakékoli hrozby na bázi paměti, které vytváří dílčí procesy.

Background Threat Detection

Run Once

Tato hodnota určuje, zda má být v zařízení spuštěna kontrola stávajících souborů. To lze nastavit na Zakázáno, Spustit jednou nebo Spustit opakovaně.

Pokud je povolena funkce Watch for New Files, doporučuje se nakonfigurovat funkci Background Threat Detection na hodnotu Run Once. Pokud sledujete nové a aktualizované soubory, stávající soubory je nutné zkontrolovat pouze jednou.

Watch for New Files

Enabled

Nastavení zásady na hodnotu Enabled umožňuje zjistit a analyzovat všechny soubory, které byly nově zapsány do zařízení nebo změněny.

 
Poznámka: Doporučuje se zakázat funkci Watch for New Files na zařízeních s vysokým provozem (jako jsou soubory nebo aplikační servery), protože by to mohlo způsobit neočekávané zvýšení latence disku, protože by bylo nutné analyzovat každý soubor při zápisu na disk. Tento problém je zmírněn ve výchozím nastavení, protože veškeré přenosné spustitelné soubory, u kterých proběhne pokus o spuštění, jsou analyzovány. Problém lze dále zmírnit povolením funkce Background Threat Detection a jejím nastavením na hodnotu Run Recurring.

Set Maximum Archive File Size to Scan

150

Konfiguruje maximální velikost dekomprimovaného archivu, kterou lze analyzovat. Velikost je v megabajtech.

Protection Settings    
Enable Exclude Specific Folders (includes subfolders) Enabled To umožňuje definovat složky ve sledování souborů a řízení spouštění na základě zásad a povolit spouštění souborů ve vyloučených složkách , které nejsou monitorovány.
Exclude Specific Folders (includes subfolders) Prázdné

Definuje seznam složek v Application Watcher, které se nemonitorují, zásada Povolit spouštění souborů ve vyloučených složkách zabraňuje karanténě všech souborů spuštěných z těchto adresářů. Tato zásada zabraňuje skenování těchto adresářů pomocí funkce Watch for New Files nebo Background Threat Detection.

Všechny přidané výjimky musí být zadány pomocí absolutní cesty k danému spustitelnému souboru (zahrňte do cesty písmeno jednotky).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Application Control    
Application Control Disabled To umožňuje omezit změny na základě aplikací v zařízení, nelze přidávat žádné nové aplikace, odebírat žádné aplikace a upravovat ani aktualizovat žádné aplikace.
Složky povolené funkcí Application Control Prázdné

Tím se definuje seznam složek v řízení aplikací, které nejsou monitorovány.

Všechny přidané výjimky musí být zadány pomocí absolutní cesty k danému spustitelnému souboru (zahrňte do cesty písmeno jednotky).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Enable Change Window Disabled Je-li tato zásada povolena, dočasně se zakáže funkce Application Control, což umožňuje provádět úpravy v prostředí.
Script Control    
Script Control Enabled

Povolí použití správy skriptů.

Funkce Script Control sleduje aplikace a služby, které mohou spouštět akce v rámci operačního systému. Tyto aplikace se běžně nazývají překladači. Služba ATP sleduje tyto aplikace a služby u všech skriptů, u kterých proběhne pokus o spuštění, a na základě zásad buď upozorní, že byly provedeny jejich akce, nebo zablokuje probíhající akce. Tato rozhodnutí se provádějí na základě názvu skriptu a relativní cesty k umístění, ze kterého byl skript spuštěn.

Script Control Mode Alert

Je-li zásada nastavena na hodnotu Block, nespustí se žádné položky založené na skriptech. To zahrnuje jakýkoli aktivní skript, skript založený na makrech nebo skript založený na prostředí PowerShell. V novějších verzích jsou tyto skripty rozděleny do svých vlastních zásad.

Platí pro: verzi 1.2.1371 a starší sestavení sady ESSE

Active Script Alert

Je-li tato zásada nastavena na hodnotu Block, nebude možné spouštět skripty JavaScript, VBscript, dávkové skripty, skripty Python, Perl, PHP, Ruby a mnoho dalších.

Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE.

Macros Alert

Nastavení této zásady na hodnotu Alert umožňuje analyzovat makra v dokumentech za účelem zjištění, zda spouští potenciálně škodlivé příkazy. Pokud je zachycena hrozba, nastavení Block zabrání spuštění makra. Makra spuštěná při spuštění systému mohou zabránit načtení aplikace.

Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE.

Powershell Alert

Je-li tato zásada nastavena na hodnotu Block, zabrání spuštění všech skriptů založených na prostředí PowerShell v prostředí.

Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE.

Powershell Console Allow

Je-li tato zásada nastavena na hodnotu Block, zabrání spuštění konzole PowerShell V3 a softwaru ISE.

Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE.

Enable Approve Scripts in Folders (and Subfolders) Enabled To umožňuje vyloučit umístění ve správě skriptů z analýzy.
Approve Scripts in Folders (and Subfolders) Prázdné

Tato část podrobně popisuje složky ve funkci Script Control, které nejsou sledovány.

  • Cesty ke složce mohou vést na místní disk, mapovanou síťovou jednotku nebo cestu UNC (Universal Naming Convention).
  • Při vyloučení skriptové složky je nutné určit relativní cestu ke složce nebo podsložce.
  • Jakákoli zadaná cesta ke složce obsahuje také podsložky.
  • Zástupné znaky nejsou podporovány.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Global Allow Prázdné

Tato zásada používá pro sadu ESSE režim odpojení. To umožňuje zákazníkům prostředí zcela izolovat od internetu.

Tato zásada určuje konkrétní cesty k hrozbám a které certifikáty by měly být v prostředí povoleny.

Quarantine List Prázdné

Tato zásada používá pro sadu ESSE režim odpojení. To umožňuje zákazníkům prostředí zcela izolovat od internetu.

Jedná se o definovaný seznam známých chybných hashů, které se v agentovi automaticky umístí do karantény.

Safe List Prázdné

Tato zásada používá pro sadu ESSE režim odpojení. To umožňuje zákazníkům prostředí zcela izolovat od internetu.

Tato zásada určuje konkrétní podezřelé hashe, které by měly být v prostředí povoleny.

Agent Settings    
Suppress Popup Notifications Enabled Tím povolíte nebo zakážete možnost ESSE zobrazit dialogové okno toustovače.
Minimum Popup Notification Level Vysoká

Definuje, co bude upozorněno koncovému uživateli, pokud je zakázána zásada Potlačit vyskakovací oznámení.

Vysoká

  • Došlo ke změně stavu ochrany. (Chráněný počítač je takový, na kterém je spuštěna služba Advanced Threat Prevention a chrání počítač bez nutnosti zásadu uživatele ani správce.)
  • V případě zjištění hrozby není zásada nastavena na její automatické řešení.

Střední

  • Funkce Execution Control zablokovala spuštění procesu, který byl označen za hrozbu.
  • Je rozpoznána hrozba se souvisejícím opatřením pro její zmírnění (hrozba byla například ručně umístěna do karantény), takže došlo k ukončení procesu.
  • Proces byl zablokován nebo ukončen z důvodu narušení paměti.
  • Bylo zjištěno narušení paměti a pro tento typ porušení nejsou platné žádné zásady pro automatické zmírnění dopadů.

Nízké

  • Soubor, který byl označen za hrozbu, byl přidán na globální seznam bezpečných souborů nebo byl odstraněn ze systému souborů.
  • Byla zjištěna hrozba a automaticky se umístila do karantény.
  • Soubor byl označen za hrozbu, avšak došlo k jeho vypuštění z počítače.
  • Stav aktuální hrozby se změnil. Například Threat na Quarantined, Quarantined na Waived nebo Waived na Quarantined.
Enable BIOS Assurance Enabled Provádění kontroly integrity systému BIOS na podporovaných počítačích Dell (počítače 2016 a novější podnikové třídy)
Enable Auto-upload of Log Files Enabled To umožňuje agentům automaticky odesílat soubory protokolu pro doplněk ATP do cloudu každý den o půlnoci nebo rychlostí 100 MB, podle toho, co nastane dříve.
Poznámka: Tyto zásady berou v potaz nástroj Dell Security Management Server 10.2.3.
Hodnota zásady Doporučená hodnota Policy Description

Advanced Threat Prevention (Primary Switch)

Svítí

Tato hodnota zásady určuje, zda mohou klienti využívat zásady služby Advanced Threat Prevention.

Zároveň umožňuje akce souboru a funkci Execution Control, které nelze zakázat.

Funkce Execution Control zahrnuje funkci Background Threat Detection a File Watcher. Tento modul v rámci služby ATP analyzuje a shrnuje záměry přenosného spustitelného souboru (PE) na základě zamýšlených akcí a chování. Všechny soubory zjištěné řízením spuštění a BTD a File Watcher se zpracovávají na základě zásad, které korelují s automatickou karanténou. Tyto akce se provádějí na základě absolutní cesty k přenosnému spustitelnému souboru.

Akce souboru:

 

 

Unsafe Executable Auto Quarantine With Executable Control Enabled

Enabled To určuje, zda jsou soubory, které jsou považovány za závažnou hrozbu, automaticky umístěny do karantény.

Unsafe Executable Auto Upload Enabled

Enabled

Nastaví, zda se mají do cloudu odesílat závažné hrozby za účelem jejich další kontroly.

Abnormal Executable Auto Quarantine With Executable Control Enabled

Enabled

To určuje, zda jsou soubory, které jsou považovány za potenciální hrozbu, automaticky umístěny do karantény.

Abnormal Executable Auto Upload Enabled

Enabled

Nastaví, zda se mají do cloudu odesílat potenciální hrozby za účelem jejich další kontroly.

Allow Execution of Files in Exclude Folders

Enabled

To platí pro zásady Exclude Specific Folders v rámci skupiny zásad Protection Settings. To umožňuje spuštění spustitelných souborů ve vyloučených složkách, i když jsou automaticky umístěny do karantény.

Auto Delete

Enabled

Tím se povolí časovač ve dnech do odstranění zásady, to platí i pro položky v karanténě. Po uplynutí dnů, než uplyne odstranění, budou všechny hrozby ve složce karantény automaticky odebrány, pokud je tato zásada povolena.

Days Until Deleted

14

U každé hrozby určuje počet dní, po které položka zůstane ve složce místní karantény.

Akce paměti

   

Memory Protection Enabled

Enabled

To umožňuje funkci Ochrana paměti. Modul ochrany paměti analyzuje a interpretuje záměry spuštěných aplikací sledováním interakcí mezi aplikacemi a operačním systémem v paměti.

Enable Exclude executable files

Enabled

To umožňuje vyloučit určité spustitelné soubory z ochrany paměti.

Exclude executable files

Liší se v závislosti na prostředí

Všechny přidané výjimky musí být zadány pomocí relativní cesty k danému spustitelnému souboru (vynechte z cesty písmeno jednotky).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Exploitation: Stack Pivot

Terminate

Stoh byl u vlákna nahrazen jiným stohem. Obecně počítač přiděluje na jedno vlákno pouze jeden stoh. Útočník může použít ke kontrole spuštění jiný stoh takovým způsobem, že jej funkce zabránění spuštění dat (DEP) nedokáže zablokovat.

Platí pro: Windows, Mac

Exploitation: Stack Protect

Terminate

Ochrana paměti stohu vlákna byla upravena tak, aby povolila oprávnění ke spuštění. Paměť stohu by neměla být spustitelná, takže to obvykle znamená, že útočník se v rámci útoku připravuje na spuštění škodlivého kódu uloženého v paměti stohu, který by funkce zabránění spuštění dat (DEP) nedokázala zablokovat.

Platí pro: Windows, Mac

Exploitation: Overwrite Code

Terminate

Kód uložený v paměti procesu byl upraven pomocí techniky, což může signalizovat pokus o obejití funkce zabránění spuštění dat (DEP).

Platí pro: Windows

Exploitation: Scanner Memory Search

Terminate

Proces se snaží číst platná data stopy magnetického proužku z jiného procesu, to obvykle souvisí s počítači na prodejním místě (POS).

Platí pro: Windows

Exploitation: Malicious Payload

Terminate

Byl zjištěn obecný kód prostředí a datová část spojené s útokem.

Platí pro: Windows

Process Injection: Remote Allocation of Memory

Terminate

Proces přidělil paměť v jiném procesu. Většina přidělování probíhá pouze v rámci stejného procesu. To zpravidla značí pokus o vložení kódu nebo dat do jiného procesu, což může představovat první krok k odstranění přítomnosti škodlivého činitele v počítači.

Platí pro: Windows, Mac

Process Injection: Remote Mapping of Memory

Terminate

Proces zavedl kód nebo data do jiného procesu. To může značit pokus o zahájení spuštění kódu v jiném procesu a posílení škodlivého činitele.

Platí pro: Windows, Mac

Process Injection: Remote Write to Memory

Terminate

Proces upravil paměť v jiném procesu. Obvykle se jedná o pokus o uložení kódu nebo dat do dříve přidělené paměti (viz OutOfProcessAllocation), je však možné, že se útočník pokouší přepsat stávající paměť, aby mohl odklonit její spuštění se škodlivým záměrem.

Platí pro: Windows, Mac

Process Injection: Remote Write PE to Memory

Terminate

Proces upravil paměť v jiném procesu, aby obsahoval spustitelnou bitovou kopii. Obecně to znamená že se útočník pokouší spustit kód bez jeho dřívějšího zápisu na disk.

Platí pro: Windows, Mac

Process Injection: Remote Overwrite Code

Terminate

Proces upravil spustitelnou paměť v jiném procesu. Za normálních podmínek k úpravě spustitelné paměti nedojde, zejména ze strany jiného procesu. To obvykle značí pokus o odklonění spuštění v jiném procesu.

Platí pro: Windows, Mac

Process Injection: Remote Unmap of Memory

Terminate

Proces odstranil spustitelný soubor systému Windows z paměti jiného procesu. To může značit snahu o náhradu spustitelné bitové kopie pomocí upravené bitové kopie za účelem odklonění spuštění.

Platí pro: Windows, Mac

Process Injection: Remote Thread Creation

Terminate

Proces vytvořil vlákno v jiném procesu. Útočník tuto skutečnost používá k aktivaci škodlivého činitele, který vpravil do jiného procesu.

Platí pro: Windows, Mac

Process Injection: Remote APC Scheduled

Terminate

Proces odklonil spuštění vlákna jiného procesu. Útočník tuto skutečnost používá k aktivaci škodlivého činitele, který vpravil do jiného procesu.

Platí pro: Windows

Process Injection: DYLD Injection (pouze Mac OS X)

Terminate

Byla nastavena proměnná prostředí, která způsobí vložení sdílené knihovny do spuštěného procesu. Útoky mohou upravit seznam vlastností aplikací, jako je Safari, nebo nahradit aplikace pomocí skriptů bash, které způsobí automatické načtení jejich modulů při spuštění aplikace.

Platí pro: Mac

Escalation: LSASS Read

Terminate

Paměť náležející k procesu místního zabezpečení systému Windows byla zpřístupněna způsobem, který signalizuje pokus o získání hesel uživatelů.

Platí pro: Windows

Escalation: Zero Allocate

Terminate

Byla přidělena nulová stránka. Oblast paměti je obvykle vyhrazena, ale za určitých okolností ji lze přidělit. Útočníci mohou tuto skutečnost využít k eskalaci oprávnění a využít některé známé chyby při vyhledávání nulových hodnot, obvykle v jádru.

Platí pro: Windows, Mac

Execution Control

   

Prevent Service Shutdown from Device

Enabled

Je-li tato zásada nastavena na hodnotu Enabled, není možné zastavit službu ATP, a to ani z počítače. Nelze také odinstalovat aplikace.

Kill Unsafe Running Process and Sub-Processes

Enabled

Povolení této funkce umožňuje zjistit a ukončit jakékoli hrozby na bázi paměti, které vytváří dílčí procesy.

Background Threat Detection

Run Once

Tato hodnota určuje, zda má být v zařízení spuštěna kontrola stávajících souborů. To lze nastavit na Zakázáno, Spustit jednou nebo Spustit opakovaně.

Pokud je povolena funkce Watch for New Files, doporučuje se nakonfigurovat funkci Background Threat Detection na hodnotu Run Once. Pokud sledujete nové a aktualizované soubory, stávající soubory je nutné zkontrolovat pouze jednou.

Watch for New Files

Enabled

Nastavení zásady na hodnotu Enabled umožňuje zjistit a analyzovat všechny soubory, které byly nově zapsány do zařízení nebo změněny.

 
Poznámka: Doporučuje se zakázat funkci Watch for New Files na zařízeních s vysokým provozem (jako jsou soubory nebo aplikační servery), protože by to mohlo způsobit neočekávané zvýšení latence disku, protože by bylo nutné analyzovat každý soubor při zápisu na disk. Tento problém je zmírněn ve výchozím nastavení, protože veškeré přenosné spustitelné soubory, u kterých proběhne pokus o spuštění, jsou analyzovány. Problém lze dále zmírnit povolením funkce Background Threat Detection a jejím nastavením na hodnotu Run Recurring.

Set Maximum Archive File Size to Scan

150

Konfiguruje maximální velikost dekomprimovaného archivu, kterou lze analyzovat. Velikost je v megabajtech.

Protection Settings    
Enable Exclude Specific Folders (includes subfolders) Enabled To umožňuje definovat složky v Application Watcher a řízení spouštění na základě zásad Povolit spouštění souborů ve složkách vyloučení, které nejsou monitorovány.
Exclude Specific Folders (includes subfolders) Liší se v závislosti na prostředí

Tím se definuje seznam složek v Application Watcher, které nejsou monitorované. Tato zásada možnosti Povolit spouštění souborů ve vyloučených složkách zabraňuje karanténě všech souborů spouštěných z těchto adresářů. Tato zásada zabraňuje skenování těchto adresářů pomocí funkce Watch for New Files nebo Background Threat Detection.

Všechny přidané výjimky musí být zadány pomocí absolutní cesty k danému spustitelnému souboru (zahrňte do cesty písmeno jednotky).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Application Control    
Application Control Disabled To umožňuje omezit změny na základě aplikací v zařízení. Nelze přidávat nové aplikace, odebírat aplikace a upravovat ani aktualizovat.
Složky povolené funkcí Application Control Prázdné

Tím se definuje seznam složek v řízení aplikací, které nejsou monitorovány.

Všechny přidané výjimky musí být zadány pomocí absolutní cesty k danému spustitelnému souboru (zahrňte do cesty písmeno jednotky).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Enable Change Window Disabled Je-li tato zásada povolena, dočasně se zakáže funkce Application Control, což umožňuje provádět úpravy v prostředí.
Script Control    
Script Control Enabled

Povolí použití správy skriptů.

Funkce Script Control sleduje aplikace a služby, které mohou spouštět akce v rámci operačního systému. Tyto aplikace se běžně nazývají překladači. Služba ATP sleduje tyto aplikace a služby u všech skriptů, u kterých proběhne pokus o spuštění, a na základě zásad buď upozorní, že byly provedeny jejich akce, nebo zablokuje probíhající akce. Tato rozhodnutí se provádějí na základě názvu skriptu a relativní cesty k umístění, ze kterého byl skript spuštěn.

Script Control Mode Block

Je-li zásada nastavena na hodnotu Block nespustí se žádné položky založené na skriptech. To zahrnuje jakýkoli aktivní skript, skript založený na makrech nebo skript založený na prostředí PowerShell. V novějších verzích jsou tyto skripty rozděleny do svých vlastních zásad.

Platí pro: verzi 1.2.1371 a starší sestavení sady ESSE

Active Script Block

Je-li tato zásada nastavena na hodnotu Block, nebude možné spouštět skripty JavaScript, VBscript, dávkové skripty, sktipry Python, Perl, PHP, Ruby a mnoho dalších.

Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE.

Macros Block

Nastavení této zásady na hodnotu Alert umožňuje analyzovat makra v dokumentech za účelem zjištění, zda spouští potenciálně škodlivé příkazy. Pokud je zachycena hrozba, nastavení Block zabrání spuštění makra. Makra spuštěná při spuštění systému mohou zabránit načtení aplikace.

Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE.

Powershell Block

Je-li tato zásada nastavena na hodnotu Block zabrání spuštění všech skriptů založených na prostředí PowerShell v prostředí.

Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE.

Powershell Console Allow

Je-li tato zásada nastavena na hodnotu Block spuštění konzole PowerShell V3 a softwaru ISE.

Platí pro: verzi 1.2.1391 a novější sestavení sady ESSE.

Enable Approve Scripts in Folders (and Subfolders) Enabled To umožňuje vyloučit umístění ze správy skriptů z analýzy.
Approve Scripts in Folders (and Subfolders) Liší se v závislosti na prostředí

Tato část podrobně popisuje složky ve funkci Script Control, které nejsou sledovány.

  • Cesty ke složce mohou vést na místní disk, mapovanou síťovou jednotku nebo cestu UNC (Universal Naming Convention).
  • Při vyloučení skriptové složky je nutné určit relativní cestu ke složce nebo podsložce.
  • Jakákoli zadaná cesta ke složce obsahuje také podsložky.
  • Zástupné znaky nejsou podporovány.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Global Allow Liší se v závislosti na prostředí

Tato zásada používá pro sadu ESSE režim odpojení. To umožňuje zákazníkům prostředí zcela izolovat od internetu.

Tato zásada určuje konkrétní cesty k hrozbám a které certifikáty by měly být v prostředí povoleny.

Quarantine List Liší se v závislosti na prostředí

Tato zásada používá pro sadu ESSE režim odpojení. To umožňuje zákazníkům prostředí zcela izolovat od internetu.

Jedná se o definovaný seznam známých chybných hashů, které se v agentovi automaticky umístí do karantény.

Safe List Liší se v závislosti na prostředí

Tato zásada používá pro sadu ESSE režim odpojení. To umožňuje zákazníkům prostředí zcela izolovat od internetu.

Tato zásada určuje konkrétní podezřelé hashe, které by měly být v prostředí povoleny.

Agent Settings    
Suppress Popup Notifications Disabled Tím povolíte nebo zakážete možnost ESSE zobrazit dialogové okno toustovače.
Minimum Popup Notification Level Vysoká

To definuje, co bude upozorněno koncovému uživateli, pokud je zakázána zásada Potlačit vyskakovací oznámení.

Vysoká

  • Došlo ke změně stavu ochrany. (Chráněný počítač je takový, na kterém je spuštěna služba Advanced Threat Prevention a chrání počítač bez nutnosti zásadu uživatele ani správce.)
  • V případě zjištění hrozby není zásada nastavena na její automatické řešení.

Střední

  • Funkce Execution Control zablokovala spuštění procesu, který byl označen za hrozbu.
  • Je rozpoznána hrozba se souvisejícím opatřením pro její zmírnění (hrozba byla například ručně umístěna do karantény), takže došlo k ukončení procesu.
  • Proces byl zablokován nebo ukončen z důvodu narušení paměti.
  • Bylo zjištěno narušení paměti a pro tento typ porušení nejsou platné žádné zásady pro automatické zmírnění dopadů.

Nízké

  • Soubor, který byl označen za hrozbu, byl přidán na globální seznam bezpečných souborů nebo byl odstraněn ze systému souborů.
  • Byla zjištěna hrozba a automaticky se umístila do karantény.
  • Soubor byl označen za hrozbu, avšak došlo k jeho vypuštění z počítače.
  • Stav aktuální hrozby se změnil (například Threat na Quarantined, Quarantined na Waived nebo Waived na Quarantined).
Enable BIOS Assurance Enabled Provádění kontroly integrity systému BIOS na podporovaných počítačích Dell (počítače 2016 a novější podnikové třídy)
Enable Auto-upload of Log Files Enabled To umožňuje agentům automaticky odesílat soubory protokolu pro doplněk ATP do cloudu každý den o půlnoci nebo rychlostí 100 MB, podle toho, co nastane dříve.
Enable Standard UI Enabled To umožňuje další možnost pomocí konzole Dell Data Security na koncovém bodě. To místním uživatelům umožňuje zjistit, jaké hrozby, události paměti nebo skripty byly na místním koncovém bodě zjištěny. Tato možnost se nachází v nabídce po kliknutí pravým tlačítkem myši na koncovém bodě nebo pomocí ozubeného kolečka nastavení v konzoli Dell Data Security v možnosti s názvem Advanced Threat Prevention.

Po výběru této možnosti jsou k dispozici další přepínače, které zobrazují nebo skrývají hrozby, události v paměti nebo skripty zjištěné v daném počítači.

Tato zásada vyžaduje, aby byl nástroj Dell Encryption Management Agent ve verzi 8.18.0 nebo novější.

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126118
Article Type: Solution
Last Modified: 04 Mar 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.