Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Anbefalede Dell-politikker for Dell Endpoint Security Suite Enterprise Advanced Threat Protection og forebyggelse

Summary: Dell Endpoint Security Suite Enterprise tilbyder forebyggelse og beskyttelse mod nutidens nyeste og mest ødelæggende trusler.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Bemærk:

Berørte produkter:

  • Dell Endpoint Security Suite Enterprise

Cause

Ikke relevant

Resolution

Som standard anbefales det, at Advanced Threat Prevention (ATP) først kører i indlæringstilstand. Alle trusselsoplysninger indsamles for at give administratorer fleksibilitet til at administrere trusler og potentielt uønskede programmer (PUP'er) i deres miljø og til at tillade missionskritiske apps.

Du kan finde flere oplysninger om ændring af politikker i Dell Endpoint Security Suite Enterprise i Sådan ændrer du politikker på Dell Data Protection-serveren.

Du kan finde flere oplysninger og regler for oprettelse af undtagelser i Dell Endpoint Security Suite Enterprise i Sådan tilføjer du undtagelser i Dell Endpoint Security Suite Enterprise.

Bemærk: Program- og filservere skal have særlige overvejelser i forbindelse med registrering af trusler i baggrunden og overvågning af nye filer. Disse er defineret nedenfor. Disse enheder adskilles af en slutpunktsgruppe i Dell Security Management Server for at gøre det muligt for disse enheder at have politikker, der adskiller sig fra de resterende enheder i miljøet.
Bemærk: Disse politikker afspejler en 10.2.3 Dell Security Management Server.
Politikkens værdi Foreslået værdi Beskrivelse af politikken

Avanceret trusselsforebyggelse (primær switch)

Tændt

Denne politikværdi bestemmer, om klienterne kan bruge politikker til avanceret trusselsforebyggelse.

Dette muliggør også filhandlinger og udførelseskontrol, som ikke kan deaktiveres.

Udførelseskontrol omfatter trusselsregistrering i baggrunden og File Watcher. Dette modul inden for ATP analyserer og abstraherer intentionerne om en bærbar eksekverbar (PE) baseret på dens tilsigtede handlinger og adfærd. Alle filer, der registreres af Execution Control og sammen med BTD og File Watcher, behandles baseret på de politikker, der svarer til automatisk karantæne. Disse handlinger udføres baseret på den bærbare eksekverbare fils absolutte stiplacering.

Filhandlinger:

 

 

Usikker automatisk karantæne for eksekverbar fil med eksekverbar kontrol aktiveret

Disabled Dette bestemmer, om filer, der betragtes som en alvorlig trussel, automatisk sættes i karantæne.

Usikker eksekverbar automatisk upload aktiveret

Aktiveret

Indstiller, om alvorlige trusler uploades til cloudmiljøet for at udføre en second opinion-kontrol af disse trusler.

Unormal automatisk karantæne for eksekverbar fil med eksekverbar kontrol aktiveret

Disabled

Dette bestemmer, om filer, der betragtes som en potentiel trussel, automatisk sættes i karantæne.

Unormal eksekverbar automatisk overførsel aktiveret

Aktiveret

Indstiller, om potentielle trusler uploades til cloudmiljøet for at udføre en second opinion-kontrol af disse trusler.

Tillad udførelse af filer i ekskluderede mapper

Aktiveret

Dette gælder for politikekskludering af bestemte mapper i politikgruppen Beskyttelsesindstillinger. Dette gør det muligt for eksekverbare filer i de udeladte mapper at køre, selvom de automatisk sættes i karantæne.

Automatisk sletning

Disabled

Dette aktiverer timeren på politikken Dage indtil slettet. Dette gælder for elementer i karantæne. Når dagene indtil slettet er gået, fjernes eventuelle trusler i en karantænemappe automatisk, hvis denne politik er aktiveret.

Dage indtil slettet

14

Dette bestemmer antallet af dage pr. trussel, som et element forbliver i den lokale karantænemappe.

Hukommelseshandlinger

   

Hukommelsesbeskyttelse aktiveret

Aktiveret

Dette gør det muligt for hukommelsesbeskyttelsesfunktionaliteten Hukommelsesbeskyttelsesmodulet analyserer og fortolker intentionerne med at køre applikationer ved at overvåge interaktionerne mellem applikationer og operativsystemet i hukommelsen.

Aktivér Udeluk eksekverbare filer

Aktiveret

Dette gør det muligt at udelukke specifikke eksekverbare filer fra hukommelsesbeskyttelse.

Udelad eksekverbare filer

Tom

Alle tilføjede udelukkelser skal angives ved brug af stien til den eksekverbare fil (udelad drevbogstavet fra stien).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Udnyttelse: Stakkens rotation

Alert

Stakken til en tråd er blevet erstattet med en anden stak. Generelt tildeler computeren en enkelt stak til en tråd. En hacker ville bruge en anden stak til at styre udførelsen på en måde, som Forhindring af datakørsel (DEP) ikke kan blokere.

Gælder for: Windows, valmue

Udnyttelse: Stakbeskyttelse

Alert

Hukommelsesbeskyttelsen af en tråds stak er blevet ændret for at aktivere udførelsestilladelse. Stack-hukommelse bør ikke være eksekverbar, så det betyder normalt, at en hacker forbereder sig på at køre ondsindet kode, der er gemt i stack-hukommelsen som en del af en udnyttelse, et forsøg, som Data Execution Prevention (DEP) ellers ville blokere.

Gælder for: Windows, valmue

Udnyttelse: Overskriv kode

Alert

Kode i en proces' hukommelse er blevet ændret ved hjælp af en teknik, der kan indikere et forsøg på at omgå forhindring af datakørsel (DEP).

Gælder for: Windows

Udnyttelse: Søg efter scannerhukommelse

Alert

En proces forsøger at læse gyldige magnetstribespordata fra en anden proces. Typisk relateret til POS-computere (POS)

Gælder for: Windows

Udnyttelse: Ondsindet nyttelast

Alert

En proces forsøger at læse gyldige magnetstribespordata fra en anden proces. Typisk relateret til POS-computere (POS)

Gælder for: Windows

Udnyttelse: Ondsindet nyttelast

Alert

Der er registreret en generisk shellcode og dataregistrering, der er knyttet til udnyttelsen.

Gælder for: Windows

Proces injektion: Fjernallokering af hukommelse

Alert

En proces har tildelt hukommelse i en anden proces. De fleste tildelinger sker kun inden for samme proces. Dette indikerer generelt et forsøg på at injicere kode eller data i en anden proces, hvilket kan være et første skridt i at forstærke en ondsindet tilstedeværelse på en computer.

Gælder for: Windows, valmue

Proces injektion: Fjerntilknytning af hukommelse

Alert

En proces har introduceret kode eller data i en anden proces. Dette kan indikere et forsøg på at begynde at køre kode i en anden proces og forstærke en ondsindet tilstedeværelse.

Gælder for: Windows, valmue

Proces injektion: Fjernskrivning til hukommelse

Alert

En proces har ændret hukommelsen i en anden proces. Dette er normalt et forsøg på at gemme kode eller data i tidligere allokeret hukommelse (se OutofProcessAllocation), men det er muligt, at en hacker forsøger at overskrive eksisterende hukommelse for at omdirigere udførelsen til et skadeligt formål.

Gælder for: Windows, valmue

Proces injektion: Fjernskrivning af PE til hukommelse

Alert

En proces har ændret hukommelsen i en anden proces til at indeholde et eksekverbart billede. Generelt indikerer dette, at en hacker forsøger at køre kode uden først at skrive koden til disken.

Gælder for: Windows, valmue

Proces injektion: Fjernoverskrivningskode

Alert

En proces har ændret eksekverbar hukommelse i en anden proces. Under normale forhold ændres eksekverbar hukommelse ikke, især ikke ved en anden proces. Dette indikerer normalt et forsøg på at omdirigere udførelsen i en anden proces.

Gælder for: Windows, valmue

Proces injektion: Fjernafbildning af hukommelse

Alert

En proces har fjernet en eksekverbar Windows-fil fra hukommelsen i en anden proces. Dette kan indikere en hensigt om at erstatte det eksekverbare billede med en ændret kopi for at omdirigere udførelsen.

Gælder for: Windows, valmue

Proces injektion: Oprettelse af fjerntråd

Alert

En proces har skabt en tråd i en anden proces. En hacker bruger dette til at aktivere en ondsindet tilstedeværelse, der er blevet injiceret i en anden proces.

Gælder for: Windows, valmue

Proces injektion: Planlagt ekstern APC

Alert

En proces har omdirigeret udførelsen af en anden proces' tråd. En hacker bruger dette til at aktivere en ondsindet tilstedeværelse, der er blevet injiceret i en anden proces.

Gælder for: Windows

Proces injektion: DYLD-injektion (kun Mac OS X)

Alert

Der er angivet en miljøvariabel, der får et delt bibliotek til at blive injiceret i en startet proces. Angreb kan ændre listen over applikationer som Safari eller erstatte applikationer med bash-scripts, der får deres moduler til at blive indlæst automatisk, når en applikation starter.

Gælder for: Mac

Eskalering: LSASS Læs

Alert

Hukommelse, der hører til Windows Local Security Authority-processen, er blevet åbnet på en måde, der indikerer et forsøg på at få fat i brugernes adgangskoder.

Gælder for: Windows

Eskalering: Nul allokering

Alert

Der er tildelt en null-side. Hukommelsesområdet er typisk reserveret, men under visse omstændigheder kan det tildeles. Angreb kan bruge dette til at opsætte eskalering af rettigheder ved at udnytte nogle kendte null-dereference-udnyttelser, typisk i kernen.

Gælder for: Windows, valmue

Udførelseskontrol

   

Undgå lukning af service fra enhed

Disabled

Når aktiveret forhindrer muligheden for at stoppe ATP-tjenesten. Dette forhindrer også, at programmet afinstalleres.

Dræb usikker kørende proces og underprocesser

Disabled

Aktivering af denne funktion gør det muligt at registrere og afslutte enhver hukommelsesbaseret trussel, der afføder underprocesser.

Background Threat Detection

Kør en gang

Dette bestemmer, om der køres en scanning af eksisterende filer på enheden. Dette kan indstilles til Deaktiveret, Kør én gang eller Kør tilbagevendende.

Hvis Se efter nye filer er aktiveret, anbefales det at konfigurere registrering af trusler i baggrunden til at køre én gang. Du skal kun kontrollere eksisterende filer én gang, hvis du også holder øje med nye og opdaterede filer.

Se efter nye filer

Aktiveret

Hvis du indstiller dette til Aktiveret, kan du registrere og analysere alle filer, der er nyskrevet til enheden, eller som ændres.

 
Bemærk: Det foreslås at have Se efter nye filer deaktiveret på enheder med høj trafik (såsom filer eller applikationsservere), da dette kan medføre uventede stigninger i disklatenstid, da hver fil skal analyseres, mens den skrives til disken. Dette afhjælpes som standard, da alle bærbare eksekverbare filer, der forsøger at køre, analyseres, mens de forsøger at køre. Dette kan afhjælpes yderligere ved at aktivere og indstille registrering af trusler i baggrunden til at køre tilbagevendende.

Indstil maksimal arkivfilstørrelse til scanning

150

Konfigurerer den maksimale dekomprimerede arkivstørrelse, der kan analyseres Størrelsen er i megabyte.

Indstillinger for beskyttelse    
Aktivér Udeluk specifikke mapper (omfatter undermapper) Aktiveret Dette gør det muligt at definere mapper i File Watcher og Execution Control baseret på politikken og tillade udførelse af filer i udeladelsesmapper , der ikke overvåges.
Udelad specifikke mapper (omfatter undermapper) -Tom-

Definerer en liste over mapper i File Watcher, der ikke overvåges, politikken Tillad udførelse af filer i ekskluderede mapper forhindrer karantæne af filer, der køres fra disse mapper. Denne politik forhindrer scanning af disse mapper af Watch for New Files eller Background Threat Detection.

Alle tilføjede undtagelser skal angives ved hjælp af den absolutte sti til den eksekverbare fil (inkluder drevbogstavet fra stien).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Programstyring    
Programstyring Disabled Dette gør det muligt at begrænse programbaserede ændringer på enheden, ingen nye applikationer kan tilføjes, ingen applikationer kan fjernes, og ingen applikationer kan ændres eller opdateres.
Programkontrol Tilladte mapper -Tom-

Dette definerer en liste over mapper i programstyringen, der ikke overvåges.

Alle tilføjede undtagelser skal angives ved hjælp af den absolutte sti til den eksekverbare fil (inkluder drevbogstavet fra stien).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Aktivér ændringsvindue Disabled Når denne indstilling er aktiveret, deaktiveres programstyring midlertidigt, så der kan foretages ændringer i miljøet.
Script-styring    
Script-styring Aktiveret

Aktiverer brugen af scriptstyring

Scriptstyring overvåger programmer og tjenester, der kan køre handlinger i operativsystemet. Disse applikationer kaldes almindeligvis tolke. ATP overvåger disse programmer og tjenester for eventuelle scripts, der forsøger at køre, og baseret på politikker giver de enten besked om, at deres handling er blevet udført, eller blokerer handlingerne fra at forekomme. Disse beslutninger træffes baseret på scriptnavnet og den relative sti, hvor scriptet blev kørt.

Scriptstyringstilstand Alert

Når indstillingen er indstillet til Bloker, køres der ingen scriptbaserede elementer. Dette omfatter ethvert aktivt script, makrobaseret script eller PowerShell-baseret script. I senere versioner er disse opdelt i deres egne politikker.

Gælder for: 1.2.1371 og tidligere builds af ESSE

Aktivt script Alert

Når indstillingen er indstillet til Bloker, deaktiverer dette muligheden for at køre JavaScript, VBscript, batch, Python, Perl, PHP, Ruby og mange andre scripts.

Gælder for: 1.2.1391 og senere builds af ESSE.

Makroer Alert

Hvis du indstiller dette til Advarsel, kan du analysere makroer i dokumenter for at afgøre, om de kører potentielt skadelige kommandoer. Hvis der opfattes en trussel, forhindrer indstillingen Bloker makroen i at køre. Makroer, der kører ved start, kan forhindre programmet i at blive indlæst.

Gælder for: 1.2.1391 og senere builds af ESSE.

PowerShell Alert

Når indstillingen er angivet til Bloker, forhindrer dette PowerShell-baserede scripts i at køre i miljøet.

Gælder for: 1.2.1391 og senere builds af ESSE.

Powershell-konsol Allow (Tillad)

Når indstillingen er indstillet til Bloker, forhindrer dette PowerShell V3-konsollen og ISE i at starte.

Gælder for: 1.2.1391 og senere builds af ESSE.

Aktivér Godkend scripts i mapper (og undermapper) Aktiveret Dette gør det muligt at udelukke placeringer i Scriptstyring fra at blive analyseret.
Godkend scripts i mapper (og undermapper) -Tom-

I dette afsnit beskrives de mapper i Scriptstyring, der ikke overvåges.

  • Mappestier kan være til et lokalt drev, et tilknyttet netværksdrev eller en UNC-sti (Universal Naming Convention).
  • Undtagelser i script-mapper skal angive den relative sti til mappen eller undermappen.
  • Alle angivne mappestier inkluderer eventuelle undermapper.
  • Wildcards understøttes ikke.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Global tilladelse -Tom-

Denne politik udnyttes af afbrudt tilstand for ESSE. Dette giver kunderne mulighed for at have et miljø, der er helt adskilt fra internettet.

Denne politik bestemmer specifikke trusselsveje og certifikater, der skal tillades i miljøet.

Karantæneliste -Tom-

Denne politik udnyttes af afbrudt tilstand for ESSE. Dette giver kunderne mulighed for at have et miljø, der er helt adskilt fra internettet.

Dette er en defineret liste over kendte beskadigede hashværdier, der automatisk sættes i karantæne, når agenten støder på dem.

Liste over sikre -Tom-

Denne politik udnyttes af afbrudt tilstand for ESSE. Dette giver kunderne mulighed for at have et miljø, der er helt adskilt fra internettet.

Denne politik bestemmer specifikke trusselhashes, der skal tillades i miljøet.

Agentindstillinger    
Undertryk pop op-meddelelser Aktiveret Dette aktiverer eller deaktiverer ESSE's mulighed for at vise en brødristerdialog.
Minimum popup-meddelelsesniveau Høj

Heri defineres, hvad slutbrugeren får besked om, hvis politikken Undertryk pop op-meddelelser er deaktiveret.

Høj

  • Beskyttelsesstatus er ændret. (Beskyttet betyder, at Advanced Threat Prevention-tjenesten kører og beskytter computeren og ikke kræver nogen bruger- eller administratorinteraktion).
  • Der registreres en trussel, og politikken er ikke indstillet til automatisk at håndtere truslen.

Mellem

  • Udførelseskontrol blokerede en proces fra at starte, fordi den blev registreret som en trussel.
  • Der registreres en trussel, der har en tilknyttet afhjælpning (f.eks. hvis truslen blev sat manuelt i karantæne), så processen er afsluttet.
  • En proces blev blokeret eller afsluttet på grund af en hukommelsesfejl.
  • Der blev registreret en hukommelsesfejl, og der findes ingen politik for automatisk afhjælpning for den pågældende overtrædelsestype.

Lav

  • En fil, der blev identificeret som en trussel, er blevet føjet til Global Safe List eller slettet fra filsystemet.
  • En trussel er blevet registreret og automatisk sat i karantæne.
  • En fil er blevet identificeret som en trussel, men frafaldet på computeren.
  • Status for en aktuel trussel er ændret. F.eks. Trussel om karantæne, Sat i karantæne til Frafaldet eller Frafaldet til Sat i karantæne.
Aktivér BIOS-sikkerhed Aktiveret Udfører BIOS-integritetskontrol på understøttede Dell-computere (2016-computere og nyere computere i virksomhedsklassen)
Aktivér automatisk upload af logfiler Aktiveret Dette gør det muligt for helpdesk-medarbejdere at uploade deres logfiler til ATP-plug-in'en automatisk til skyen hver dag ved midnat eller ved 100 MB, alt efter hvad der sker først.
Bemærk: Disse politikker afspejler en 10.2.3 Dell Security Management Server.
Politikkens værdi Foreslået værdi Beskrivelse af politikken

Avanceret trusselsforebyggelse (primær switch)

Tændt

Denne politikværdi bestemmer, om klienterne kan bruge politikker til avanceret trusselsforebyggelse.

Dette aktiverer også filhandlinger og udførelseskontrol, som ikke kan deaktiveres.

Udførelseskontrol omfatter registrering af trusler i baggrunden og File Watcher. Dette modul inden for ATP analyserer og abstraherer intentionerne om en bærbar eksekverbar (PE) baseret på dens tilsigtede handlinger og adfærd. Alle filer, der registreres af Execution Control og BTD og File Watcher, behandles baseret på de politikker, der svarer til automatisk karantæne. Disse handlinger udføres baseret på den bærbare eksekverbare fils absolutte stiplacering.

Filhandlinger:

 

 

Usikker automatisk karantæne for eksekverbar fil med eksekverbar kontrol aktiveret

Aktiveret Dette bestemmer, om filer, der betragtes som en alvorlig trussel, automatisk sættes i karantæne.

Usikker eksekverbar automatisk upload aktiveret

Aktiveret

Indstiller, om alvorlige trusler uploades til cloudmiljøet for at udføre en second opinion-kontrol af disse trusler.

Unormal automatisk karantæne for eksekverbar fil med eksekverbar kontrol aktiveret

Aktiveret

Dette bestemmer, om filer, der betragtes som en potentiel trussel, automatisk sættes i karantæne.

Unormal eksekverbar automatisk overførsel aktiveret

Aktiveret

Indstiller, om potentielle trusler uploades til cloudmiljøet for at udføre en second opinion-kontrol af disse trusler.

Tillad udførelse af filer i ekskluderede mapper

Aktiveret

Dette gælder for politikken Udelad bestemte mapper i politikgruppen Beskyttelsesindstillinger. Dette gør det muligt for eksekverbare filer i de udeladte mapper at køre, selvom de automatisk sættes i karantæne.

Automatisk sletning

Aktiveret

Dette aktiverer timeren på politikken dage indtil slettet. Dette gælder også for elementer, der er sat i karantæne. Når dagene, indtil slettet er gået, fjernes eventuelle trusler i en karantænemappe automatisk, hvis denne politik er aktiveret.

Dage indtil slettet

14

Bestemmer antallet af dage pr. trussel, som et element forbliver i den lokale karantænemappe.

Hukommelseshandlinger

   

Hukommelsesbeskyttelse aktiveret

Aktiveret

Dette aktiverer hukommelsesbeskyttelsesfunktionaliteten, hukommelsesbeskyttelsens modulanalyser og fortolker intentionerne med at køre applikationer ved at overvåge interaktionerne mellem applikationer og operativsystemet i hukommelsen.

Aktivér Udeluk eksekverbare filer

Aktiveret

Dette gør det muligt at udelukke specifikke eksekverbare filer fra hukommelsesbeskyttelse.

Udelad eksekverbare filer

Varierer afhængigt af miljøet

Alle tilføjede udelukkelser skal angives ved brug af stien til den eksekverbare fil (udelad drevbogstavet fra stien).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Udnyttelse: Stakkens rotation

Opsige

Stakken til en tråd er blevet erstattet med en anden stak. Generelt tildeler computeren kun en enkelt stak til en tråd. En hacker ville bruge en anden stak til at styre udførelsen på en måde, som Forhindring af datakørsel (DEP) ikke blokerer.

Gælder for: Windows, valmue

Udnyttelse: Stakbeskyttelse

Opsige

Hukommelsesbeskyttelsen af en tråds stak er blevet ændret for at aktivere udførelsestilladelse. Stack-hukommelse bør ikke være eksekverbar, så det betyder normalt, at en hacker forbereder sig på at køre ondsindet kode, der er gemt i stack-hukommelsen som en del af en udnyttelse, et forsøg, som Data Execution Prevention (DEP) ellers ikke ville blokere.

Gælder for: Windows, valmue

Udnyttelse: Overskriv kode

Opsige

Kode i en proces' hukommelse er blevet ændret ved hjælp af en teknik, der kan indikere et forsøg på at omgå forhindring af datakørsel (DEP).

Gælder for: Windows

Udnyttelse: Søg efter scannerhukommelse

Opsige

En proces forsøger at læse gyldige magnetstribespordata fra en anden proces, typisk relateret til POS-computere (POS).

Gælder for: Windows

Udnyttelse: Ondsindet nyttelast

Opsige

Der er registreret en generisk shellcode og dataregistrering, der er knyttet til udnyttelsen.

Gælder for: Windows

Proces injektion: Fjernallokering af hukommelse

Opsige

En proces har tildelt hukommelse i en anden proces. De fleste tildelinger sker kun inden for samme proces. Dette indikerer generelt et forsøg på at injicere kode eller data i en anden proces, hvilket kan være et første skridt i at forstærke en ondsindet tilstedeværelse på en computer.

Gælder for: Windows, valmue

Proces injektion: Fjerntilknytning af hukommelse

Opsige

En proces har introduceret kode eller data i en anden proces. Dette kan indikere et forsøg på at begynde at køre kode i en anden proces og forstærke en ondsindet tilstedeværelse.

Gælder for: Windows, valmue

Proces injektion: Fjernskrivning til hukommelse

Opsige

En proces har ændret hukommelsen i en anden proces. Dette er normalt et forsøg på at gemme kode eller data i tidligere allokeret hukommelse (se OutOfProcessAllocation), men det er muligt, at en hacker forsøger at overskrive eksisterende hukommelse for at omdirigere udførelsen til et skadeligt formål.

Gælder for: Windows, valmue

Proces injektion: Fjernskrivning af PE til hukommelse

Opsige

En proces har ændret hukommelsen i en anden proces til at indeholde et eksekverbart billede. Generelt indikerer dette, at en hacker forsøger at køre kode uden først at skrive koden til disken.

Gælder for: Windows, valmue

Proces injektion: Fjernoverskrivningskode

Opsige

En proces har ændret eksekverbar hukommelse i en anden proces. Under normale forhold ændres eksekverbar hukommelse ikke, især ikke ved en anden proces. Dette indikerer normalt et forsøg på at omdirigere udførelsen i en anden proces.

Gælder for: Windows, valmue

Proces injektion: Fjernafbildning af hukommelse

Opsige

En proces har fjernet en eksekverbar Windows-fil fra hukommelsen i en anden proces. Dette kan indikere en hensigt om at erstatte det eksekverbare billede med en ændret kopi for at omdirigere udførelsen.

Gælder for: Windows, valmue

Proces injektion: Oprettelse af fjerntråd

Opsige

En proces har skabt en tråd i en anden proces. En hacker bruger dette til at aktivere en ondsindet tilstedeværelse, der er blevet injiceret i en anden proces.

Gælder for: Windows, valmue

Proces injektion: Planlagt ekstern APC

Opsige

En proces har omdirigeret udførelsen af en anden proces' tråd. En hacker bruger dette til at aktivere en ondsindet tilstedeværelse, der er blevet injiceret i en anden proces.

Gælder for: Windows

Proces injektion: DYLD-injektion (kun Mac OS X)

Opsige

Der er angivet en miljøvariabel, der får et delt bibliotek til at blive injiceret i en startet proces. Angreb kan ændre listen over applikationer som Safari eller erstatte applikationer med bash-scripts, der får deres moduler til at blive indlæst automatisk, når en applikation starter.

Gælder for: Mac

Eskalering: LSASS Læs

Opsige

Hukommelse, der hører til Windows Local Security Authority-processen, er blevet åbnet på en måde, der indikerer et forsøg på at få fat i brugernes adgangskoder.

Gælder for: Windows

Eskalering: Nul allokering

Opsige

Der er tildelt en null-side. Hukommelsesområdet er typisk reserveret, men under visse omstændigheder kan det tildeles. Angreb kan bruge dette til at oprette eskalering af privilegier ved at drage fordel af nogle kendte null-dereference-udnyttelser, typisk i kernen.

Gælder for: Windows, valmue

Udførelseskontrol

   

Undgå lukning af service fra enhed

Aktiveret

Når aktiveret forhindres muligheden for at stoppe ATP-tjenesten, selv som computer. Dette forhindrer også, at programmet afinstalleres.

Dræb usikker kørende proces og underprocesser

Aktiveret

Aktivering af denne funktion gør det muligt at registrere og afslutte enhver hukommelsesbaseret trussel, der afføder underprocesser.

Background Threat Detection

Kør en gang

Dette bestemmer, om der køres en scanning af eksisterende filer på enheden. Dette kan indstilles til Deaktiveret, Kør én gang eller Kør tilbagevendende.

Hvis Se efter nye filer er aktiveret, anbefales det at konfigurere registrering af trusler i baggrunden til at køre én gang. Du skal kun kontrollere eksisterende filer én gang, hvis du også holder øje med nye og opdaterede filer.

Se efter nye filer

Aktiveret

Hvis du indstiller dette til Aktiveret, kan du registrere og analysere alle filer, der er nyskrevet til enheden, eller som ændres.

 
Bemærk: Det foreslås at have Se efter nye filer deaktiveret på enheder med høj trafik (såsom filer eller applikationsservere), da dette kan medføre uventede stigninger i disklatenstid, da hver fil skal analyseres, mens den skrives til disken. Dette afhjælpes som standard, da alle bærbare eksekverbare filer, der forsøger at køre, analyseres, mens de forsøger at køre. Dette kan afhjælpes yderligere ved at aktivere og indstille registrering af trusler i baggrunden til at køre tilbagevendende.

Indstil maksimal arkivfilstørrelse til scanning

150

Konfigurerer den maksimale dekomprimerede arkivstørrelse, der kan analyseres Størrelsen er i megabyte.

Indstillinger for beskyttelse    
Aktivér Udeluk specifikke mapper (omfatter undermapper) Aktiveret Dette gør det muligt at definere mapper i File Watcher og Execution Control baseret på politikken Tillad kørsel af filer i udeladte mapper, der ikke overvåges.
Udelad specifikke mapper (omfatter undermapper) Varierer afhængigt af miljøet

Dette definerer en liste over mapper i File Watcher, der ikke overvåges. Denne politik Tillad kørsel af filer i udeladelsesmapper forhindrer karantæne af filer, der køres fra disse mapper. Denne politik forhindrer scanning af disse mapper af Watch for New Files eller Background Threat Detection.

Alle tilføjede undtagelser skal angives ved hjælp af den eksekverbare fils absolutte sti (inkluder drevbogstavet fra stien).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Programstyring    
Programstyring Disabled Dette aktiverer muligheden for at begrænse applikationsbaserede ændringer på enheden. Ingen nye programmer kan tilføjes, ingen programmer kan fjernes, og ingen programmer kan ændres eller opdateres.
Programkontrol Tilladte mapper -Tom-

Dette definerer en liste over mapper i programstyringen, der ikke overvåges.

Alle tilføjede undtagelser skal angives ved hjælp af den eksekverbare fils absolutte sti (inkluder drevbogstavet fra stien).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Aktivér ændringsvindue Disabled Når denne indstilling er aktiveret, deaktiveres programstyring midlertidigt, så der kan foretages ændringer i miljøet.
Script-styring    
Script-styring Aktiveret

Aktiverer brugen af scriptstyring

Scriptstyring overvåger programmer og tjenester, der kan køre handlinger i operativsystemet. Disse applikationer kaldes almindeligvis tolke. ATP overvåger disse programmer og tjenester for eventuelle scripts, der forsøger at køre, og baseret på politikker giver det enten besked om, at de er udført, eller blokerer handlingerne fra at finde sted. Disse beslutninger træffes baseret på scriptnavnet og den relative sti, hvorfra scriptet blev kørt.

Scriptstyringstilstand Bloker

Når indstillingen er indstillet til Bloker, køres ingen scriptbaserede elementer. Dette omfatter ethvert aktivt script, makrobaseret script eller PowerShell-baseret script. I senere versioner er disse opdelt i deres egne politikker.

Gælder for: 1.2.1371 og tidligere builds af ESSE

Aktivt script Bloker

Når indstillingen er indstillet til Bloker, deaktiverer dette muligheden for at køre JavaScript, VBscript, batch, Python, Perl, PHP, Ruby og mange andre scripts.

Gælder for: 1.2.1391 og senere builds af ESSE.

Makroer Bloker

Hvis du indstiller dette til Advarsel, kan du analysere makroer i dokumenter for at afgøre, om de kører potentielt skadelige kommandoer. Hvis der opfattes en trussel, forhindrer indstillingen "Bloker" makroen i at køre. Makroer, der kører ved start, kan forhindre programmet i at blive indlæst.

Gælder for: 1.2.1391 og senere builds af ESSE.

PowerShell Bloker

Når indstillingen er angivet til Bloker, forhindrer dette PowerShell-baserede scripts i at køre i miljøet.

Gælder for: 1.2.1391 og senere builds af ESSE.

Powershell-konsol Allow (Tillad)

Når indstillingen er indstillet til Blokering, starter PowerShell V3-konsollen og ISE igen.

Gælder for: 1.2.1391 og senere builds af ESSE.

Aktivér Godkend scripts i mapper (og undermapper) Aktiveret Dette gør det muligt at udelukke placeringer fra scriptstyring fra at blive analyseret.
Godkend scripts i mapper (og undermapper) Varierer afhængigt af miljøet

I dette afsnit beskrives de mapper i Scriptstyring, der ikke overvåges.

  • Mappestier kan være til et lokalt drev, et tilknyttet netværksdrev eller en UNC-sti (Universal Naming Convention).
  • Undtagelser i script-mapper skal angive den relative sti til mappen eller undermappen.
  • Alle angivne mappestier inkluderer eventuelle undermapper.
  • Wildcards understøttes ikke.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Global tilladelse Varierer afhængigt af miljøet

Denne politik udnyttes af afbrudt tilstand til ESSE. Dette giver kunderne mulighed for at have et miljø, der er helt adskilt fra internettet.

Denne politik bestemmer specifikke trusselsveje og certifikater, der skal tillades i miljøet.

Karantæneliste Varierer afhængigt af miljøet

Denne politik udnyttes af afbrudt tilstand til ESSE. Dette giver kunderne mulighed for at have et miljø, der er helt adskilt fra internettet.

Dette er en defineret liste over kendte hashes, der automatisk sættes i karantæne, når agenten støder på dem.

Liste over sikre Varierer afhængigt af miljøet

Denne politik udnyttes af afbrudt tilstand til ESSE. Dette giver kunderne mulighed for at have et miljø, der er helt adskilt fra internettet.

Denne politik bestemmer specifikke trusselhashes, der skal tillades i miljøet.

Agentindstillinger    
Undertryk pop op-meddelelser Disabled Dette aktiverer eller deaktiverer ESSE's mulighed for at vise en brødristerdialog.
Minimum popup-meddelelsesniveau Høj

Heri defineres, hvad slutbrugeren får besked om, hvis politikken Undertryk pop op-meddelelser er deaktiveret.

Høj

  • Beskyttelsesstatus er ændret. (Beskyttet betyder, at Advanced Threat Prevention-tjenesten kører og beskytter computeren og ikke kræver nogen bruger- eller administratorinteraktion).
  • Der registreres en trussel, og politikken er ikke indstillet til automatisk at håndtere truslen.

Mellem

  • Udførelseskontrol blokerede en proces fra at starte, fordi den blev registreret som en trussel.
  • Der registreres en trussel, der har en tilknyttet afhjælpning (f.eks. hvis truslen blev sat manuelt i karantæne), så processen er afsluttet.
  • En proces blev blokeret eller afsluttet på grund af en hukommelsesfejl.
  • Der blev registreret en hukommelsesfejl, og der findes ingen politik for automatisk afhjælpning for den pågældende overtrædelsestype.

Lav

  • En fil, der blev identificeret som en trussel, er blevet føjet til Global Safe List eller slettet fra filsystemet.
  • En trussel er blevet registreret og automatisk sat i karantæne.
  • En fil er blevet identificeret som en trussel, men frafaldet på computeren.
  • Status for en aktuel trussel er ændret (f.eks. Trussel om karantæne, Sat i karantæne til Frafaldet eller Frafaldet til Sat i karantæne).
Aktivér BIOS-sikkerhed Aktiveret Udfører BIOS-integritetskontrol på understøttede Dell-computere (2016-computere og nyere computere i virksomhedsklassen)
Aktivér automatisk upload af logfiler Aktiveret Dette gør det muligt for helpdesk-medarbejdere at uploade deres logfiler til ATP-plug-in'en automatisk til skyen hver dag ved midnat eller ved 100 MB, alt efter hvad der sker først.
Aktivér standardbrugergrænsefladen Aktiveret Dette giver mulighed for en ekstra mulighed ved hjælp af Dell Data Security Console på et slutpunkt. Dette gør det muligt for lokale brugere at se, hvilke trusler, hukommelseshændelser eller scripts, der er blevet registreret på det lokale slutpunkt. Denne indstilling findes ved hjælp af højreklikmenuen på slutpunktet eller ved hjælp af indstillingstandhjulet i Dell Data Security Console i en indstilling med titlen Advanced Threat Prevention.

Når denne indstilling er valgt, er der flere tilgængelige kontakter, som viser eller skjuler trusler, hukommelseshændelser eller scripts, der er blevet opdaget på den pågældende computer.

Denne politik kræver, at Dell Encryption Management Agent er version 8.18.0 eller nyere.

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126118
Article Type: Solution
Last Modified: 04 Mar 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.