Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dells anbefalte retningslinjer for avansert trusselbeskyttelse og forebygging av Dell Endpoint Security Suite Enterprise

Summary: Dell Endpoint Security Suite Enterprise tilbyr forebygging og beskyttelse mot dagens nyeste og mest ødeleggende trusler.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Merk:

Berørte produkter:

  • Dell Endpoint Security Suite Enterprise

Cause

Ikke aktuelt

Resolution

Advanced Threat Prevention (ATP) anbefales som standard å kjøre i læringsmodus i starten. All trusselinformasjon samles inn for å gi administratorer fleksibilitet til å administrere trusler og potensielt uønskede programmer (PUP-er) i miljøet og til å godkjenne driftskritiske apper.

Hvis du vil ha mer informasjon om hvordan du endrer policyer i Dell Endpoint Security Suite Enterprise, kan du se Slik endrer du policyer på Dell Data Protection Server.

Hvis du vil ha mer informasjon og regler for hvordan du oppretter utelatelser i Dell Endpoint Security Suite Enterprise, kan du se Slik legger du til utelatelser i Dell Endpoint Security Suite Enterprise.

Merk: Program- og filservere bør ta spesielle hensyn å ta hensyn til å oppdage bakgrunnstrusler og se etter nye filer. Disse er definert nedenfor. Disse enhetene atskilles av en endepunktsgruppe i Dell Security Management Server, slik at disse enhetene kan ha andre retningslinjer enn de gjenværende enhetene i miljøet.
Merk: Disse retningslinjene gjenspeiler en 10.2.3 Dell Security Management Server.
Policyverdi Foreslått verdi Beskrivelse av retningslinjene

Advanced Threat Prevention (primærsvitsj)

Denne policyverdien avgjør om klientene kan bruke policyer for avansert trusselforhindring.

Dette aktiverer også filhandlinger og kjøringskontroll, som ikke kan deaktiveres.

Utførelseskontroll omfatter bakgrunnstrusseldeteksjon og filovervåking. Denne modulen i ATP analyserer og abstraherer intensjonene til en bærbar kjørbar (PE) basert på dens tiltenkte handlinger og oppførsel. Alle filer som oppdages av Execution Control, og sammen med BTD og File Watcher, behandles basert på retningslinjene som korrelerer med automatisk karantene. Disse handlingene utføres basert på den absolutte baneplasseringen til den kjørbare Portable Executable-filen.

Filhandlinger:

 

 

Usikker kjørbar automatisk karantene med kjørbar kontroll aktivert

Deaktivert Dette avgjør om filer som anses som en alvorlig trussel, automatisk settes i karantene.

Usikker kjørbar automatisk opplasting aktivert

Enabled (Aktivert)

Angir om alvorlige trusler skal lastes opp til skyen for å utføre en second opinion-kontroll av disse truslene.

Unormal kjørbar automatisk karantene med kjørbar kontroll aktivert

Deaktivert

Dette avgjør om filer som anses som en potensiell trussel, automatisk settes i karantene.

Unormal kjørbar automatisk opplasting aktivert

Enabled (Aktivert)

Angir om potensielle trusler skal lastes opp til skyen for å utføre en second opinion-kontroll av disse truslene.

Tillat kjøring av filer i Utelat mapper

Enabled (Aktivert)

Dette gjelder policyen Utelat bestemte mapper i policygruppen Beskyttelsesinnstillinger. Dette gjør at kjørbare filer i de utelatte mappene kan kjøres selv om de automatisk settes i karantene.

Automatisk sletting

Deaktivert

Dette aktiverer tidtakeren på policyen Dager til sletting. Dette gjelder elementer i karantene. Når dagene til slettet utløper, fjernes eventuelle trusler i en karantenemappe automatisk hvis denne policyen er aktivert.

Dager til sletting

14

Dette bestemmer hvor mange dager, per trussel, at et element forblir i den lokale karantenemappen.

Minnehandlinger

   

Minnebeskyttelse aktivert

Enabled (Aktivert)

Dette aktiverer Memory Protection-funksjonaliteten Memory Protection-modulen analyserer og tolker intensjonene med å kjøre applikasjoner ved å overvåke samhandlingen mellom programmer og operativsystemet i minnet.

Aktiver Utelat kjørbare filer

Enabled (Aktivert)

Dette gjør det mulig å utelate bestemte kjørbare filer fra minnebeskyttelsen.

Utelat kjørbare filer

Tom

Alle utelatelser som er lagt til, må angis ved hjelp av den relative banen til den kjørbare filen (utelate stasjonsbokstaven fra banen).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Utnyttelse: Stack Pivot

Varsel

Stabelen for en tråd er erstattet med en annen stabel. Vanligvis tildeler datamaskinen en enkelt stabel for en tråd. En angriper vil bruke en annen stabel til å kontrollere kjøringen på en måte som Data Execution Prevention (DEP) ikke kan blokkere.

Gjelder for: Windows, Mac

Utnyttelse: Stack Protect

Varsel

Minnebeskyttelsen for stabelen i en tråd er endret for å aktivere tillatelse til kjøring. Stakkminne skal ikke være kjørbart, så vanligvis betyr dette at en angriper forbereder seg på å kjøre ondsinnet kode som er lagret i stakkminnet som en del av en utnyttelse, et forsøk som Data Execution Prevention (DEP) ellers ville blokkert.

Gjelder for: Windows, Mac

Utnyttelse: Overskriv kode

Varsel

Kode som ligger i prosessminnet, er endret ved hjelp av en teknikk som kan angi forsøk på å omgå Data Execution Prevention (DEP).

Gjelder for: Windows

Utnyttelse: Søk etter skannerminne

Varsel

En prosess prøver å lese gyldige spordata med magnetstripe fra en annen prosess. Vanligvis relatert til salgsstedsdatamaskiner (POS)

Gjelder for: Windows

Utnyttelse: Skadelig nyttelast

Varsel

En prosess prøver å lese gyldige spordata med magnetstripe fra en annen prosess. Vanligvis relatert til salgsstedsdatamaskiner (POS)

Gjelder for: Windows

Utnyttelse: Skadelig nyttelast

Varsel

Det er oppdaget en generisk skallkode og nyttelastdeteksjon som er knyttet til utnyttelse.

Gjelder for: Windows

Prosess injeksjon: Ekstern tildeling av minne

Varsel

En prosess har tildelt minne i en annen prosess. De fleste tildelinger skjer bare innenfor samme prosess. Dette indikerer vanligvis et forsøk på å injisere kode eller data i en annen prosess, noe som kan være et første skritt i å forsterke en ondsinnet tilstedeværelse på en datamaskin.

Gjelder for: Windows, Mac

Prosess injeksjon: Ekstern tilordning av minne

Varsel

En prosess har introdusert kode eller data i en annen prosess. Dette kan indikere et forsøk på å begynne å kjøre kode i en annen prosess og forsterke en ondsinnet tilstedeværelse.

Gjelder for: Windows, Mac

Prosess injeksjon: Ekstern skriving til minne

Varsel

En prosess har endret minnet i en annen prosess. Dette er vanligvis et forsøk på å lagre kode eller data i tidligere tildelt minne (se OutofProcessAllocation), men det er mulig at en angriper prøver å overskrive eksisterende minne for å avlede kjøring for et skadelig formål.

Gjelder for: Windows, Mac

Prosess injeksjon: Ekstern PE til minne

Varsel

En prosess har endret minnet i en annen prosess til å inneholde et kjørbart bilde. Vanligvis indikerer dette at en angriper prøver å kjøre kode uten først å skrive koden til disken.

Gjelder for: Windows, Mac

Prosess injeksjon: Ekstern overskrivingskode

Varsel

En prosess har endret kjørbart minne i en annen prosess. Under normale forhold endres ikke kjørbart minne, spesielt ikke av en annen prosess. Dette indikerer vanligvis et forsøk på å avlede utførelse i en annen prosess.

Gjelder for: Windows, Mac

Prosess injeksjon: Ekstern tilknytning til minnet

Varsel

En prosess har fjernet en kjørbar Windows-fil fra minnet til en annen prosess. Dette kan tyde på en intensjon om å erstatte det kjørbare bildet med en endret kopi for å avlede utførelsen.

Gjelder for: Windows, Mac

Prosess injeksjon: Ekstern trådoppretting

Varsel

En prosess har opprettet en tråd i en annen prosess. En angriper bruker dette til å aktivere en ondsinnet tilstedeværelse som har blitt injisert i en annen prosess.

Gjelder for: Windows, Mac

Prosess injeksjon: Ekstern APC planlagt

Varsel

En prosess har avledet utførelsen av en annen prosesstråd. En angriper bruker dette til å aktivere en ondsinnet tilstedeværelse som har blitt injisert i en annen prosess.

Gjelder for: Windows

Prosess injeksjon: DYLD-injeksjon (kun Mac OS X)

Varsel

Det er angitt en miljøvariabel som fører til at et delt bibliotek settes inn i en startet prosess. Angrep kan endre listen over applikasjoner som Safari eller erstatte applikasjoner med bash-skript som gjør at modulene deres lastes automatisk når et program starter.

Gjelder for: Mac

Opptrapping: LSASS Les

Varsel

Du har fått tilgang til minnet som tilhører prosessen Windows Local Security Authority, på en måte som angir forsøk på å hente brukernes passord.

Gjelder for: Windows

Opptrapping: Null tildeling

Varsel

En nullside er tildelt. Minneområdet er vanligvis reservert, men under visse omstendigheter kan det tildeles. Angrep kan bruke dette til å sette opp eskalering av privilegier ved å dra nytte av noen kjente null-referanseutnyttelser, vanligvis i kjernen.

Gjelder for: Windows, Mac

Iverksettingskontroll

   

Forhindre tjenesteavslutning fra enhet

Deaktivert

Når aktivert hindrer muligheten til å stoppe ATP-tjenesten. Dette forhindrer også at applikasjonen blir avinstallert.

Drep usikre prosesser og delprosesser

Deaktivert

Aktivering av denne funksjonen gjør det mulig å oppdage og avslutte eventuelle minnebaserte trusler som gyter delprosesser.

Trusseloppdagelse i bakgrunnen

Kjør én gang

Dette fastslår om en skanning av eksisterende filer kjøres på enheten. Dette kan settes til deaktivert, kjør én gang eller kjør regelmessig.

Hvis Se etter nye filer er aktivert, anbefales det å konfigurere Oppdagelse av bakgrunnstrusler til å kjøre én gang. Du må bare sjekke eksisterende filer én gang hvis du også ser etter nye og oppdaterte filer.

Se etter nye filer

Enabled (Aktivert)

Hvis du setter dette til Aktivert, kan du oppdage og analysere filer som nylig er skrevet til enheten, eller som er endret.

 
Merk: Det anbefales å ha Se etter nye filer deaktivert på enheter med høy trafikk (for eksempel filer eller applikasjonsservere), da dette kan føre til uventede økninger i diskventetid ettersom hver fil må analyseres mens den skrives til disk. Dette reduseres som standard ettersom alle bærbare kjørbare filer som prøver å kjøre, analyseres mens de prøver å kjøre. Dette kan reduseres ytterligere ved å aktivere og angi Oppdagelse av bakgrunnstrusler til Kjør regelmessig.

Angi maksimal filstørrelse for arkiv til skanning

150

Konfigurerer maksimal dekomprimert arkivstørrelse som kan analyseres Størrelsen er på megabyte.

Beskyttelsesinnstillinger    
Aktiver ekskludering av bestemte mapper (inkluderer undermapper) Enabled (Aktivert) Dette gjør det mulig å definere mapper i Filovervåking og Kjøringskontroll basert på policyen og tillate kjøring av filer i Ekskluder mapper som ikke overvåkes.
Utelat bestemte mapper (inkluderer undermapper) -Tom-

Definerer en liste over mapper i Filvisning som ikke overvåkes. Policyen Tillat kjøring av filer i Utelat mapper forhindrer karantene av filer som kjøres fra disse katalogene. Denne policyen forhindrer skanning av disse katalogene etter Se etter nye filer eller Oppdagelse av bakgrunnstrusler.

Alle utelatelser som legges til, må spesifiseres ved hjelp av den absolutte banen til den kjørbare filen (inkluder stasjonsbokstaven fra banen).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Application Control (Applikasjonskontroll)    
Application Control (Applikasjonskontroll) Deaktivert Dette gjør det mulig å begrense applikasjonsbaserte endringer på enheten, ingen nye applikasjoner kan legges til, ingen applikasjoner kan fjernes, og ingen applikasjoner kan endres eller oppdateres.
Programkontroll tillatte mapper -Tom-

Dette definerer en liste over mapper i programkontroll som ikke overvåkes.

Alle utelatelser som legges til, må spesifiseres ved hjelp av den absolutte banen til den kjørbare filen (inkluder stasjonsbokstaven fra banen).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Aktiver Endre vindu Deaktivert Når dette alternativet er aktivert, deaktiveres Programkontroll midlertidig, slik at endringer kan utføres i miljøet.
Script Control (Skriptkontroll)    
Script Control (Skriptkontroll) Enabled (Aktivert)

Aktiverer bruk av skriptkontroll

Skriptkontroll overvåker programmer og tjenester som kan kjøre handlinger i operativsystemet. Disse applikasjonene kalles ofte tolker. ATP overvåker disse programmene og tjenestene for skript som forsøker å kjøre, og basert på policyer varsler de enten om at de er utført eller blokkerer handlingene fra å oppstå. Disse avgjørelsene tas basert på skriptnavnet og den relative banen der skriptet ble kjørt.

Skriptkontrollmodus Varsel

Når dette alternativet er angitt til Blokker, kjøres ingen skriptbaserte elementer. Dette inkluderer alle aktive skript, makrobaserte skript eller PowerShell-baserte skript. I senere versjoner er disse skilt ut i egne retningslinjer.

Gjelder for: 1.2.1371 og tidligere versjoner av ESSE

Aktivt skript Varsel

Når dette er satt til Blokker, deaktiverer dette muligheten til å kjøre JavaScript, VBscript, batch, Python, Perl, PHP, Ruby og mange andre skript.

Gjelder for: 1.2.1391 og senere versjoner av ESSE.

Makroer Varsel

Hvis du setter dette til Varsel, kan du analysere makroer i dokumenter for å avgjøre om de kjører potensielt skadelige kommandoer. Hvis det oppfattes en trussel, hindrer innstillingen Blokker makroen i å kjøre. Makroer som kjører ved oppstart, kan hindre at programmet lastes inn.

Gjelder for: 1.2.1391 og senere versjoner av ESSE.

Powershell Varsel

Når dette alternativet er angitt til Blokker, forhindrer dette at PowerShell-baserte skript kjører i miljøet.

Gjelder for: 1.2.1391 og senere versjoner av ESSE.

Powershell-konsoll Allow (Tillat)

Når dette alternativet er angitt til Blokker, forhindrer dette at PowerShell V3-konsollen og ISE starter.

Gjelder for: 1.2.1391 og senere versjoner av ESSE.

Aktiver Godkjenn skript i mapper (og undermapper) Enabled (Aktivert) Dette gjør det mulig å utelate plasseringer i skriptkontrollen fra å bli analysert.
Godkjenn skript i mapper (og undermapper) -Tom-

Denne delen inneholder detaljer om mappene i skriptkontrollen som ikke overvåkes.

  • Mappebaner kan være til en lokal stasjon, en tilordnet nettverksstasjon eller en UNC-bane (Universal Naming Convention).
  • Utelukkelser for skriptmapper må angi den relative banen til mappen eller undermappen.
  • En hvilken som helst angitt mappebane inkluderer også undermapper.
  • Jokertegn støttes ikke.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Global tillatelse -Tom-

Denne policyen utnyttes ved frakoblet modus for ESSE. Dette gjør at kundene kan ha et miljø helt atskilt fra internett.

Denne policyen bestemmer bestemte trusselbaner og sertifikater som skal tillates i miljøet.

Karanteneliste -Tom-

Denne policyen utnyttes ved frakoblet modus for ESSE. Dette gjør at kundene kan ha et miljø helt atskilt fra internett.

Dette er en definert liste over kjente, ugyldige hasher som automatisk settes i karantene når agenten møter den.

Sikker liste -Tom-

Denne policyen utnyttes ved frakoblet modus for ESSE. Dette gjør at kundene kan ha et miljø helt atskilt fra internett.

Denne policyen bestemmer bestemte trusselhasher som skal tillates i miljøet.

Agentinnstillinger    
Undertrykk popup-varsler Enabled (Aktivert) Dette aktiverer eller deaktiverer muligheten for ESSE til å vise en brødristerdialogboks.
Minimum popup-varslingsnivå Høy

Dette definerer hva som varsles til sluttbrukeren hvis policyen Undertrykk popup-varsler er deaktivert.

Høy

  • Beskyttelsesstatusen er endret. (Beskyttet betyr at tjenesten Advanced Threat Prevention kjører og beskytter datamaskinen, og ikke trenger bruker- eller administratormedvirkning.)
  • Det oppdages en trussel, og policyen er ikke angitt til å håndtere trusselen automatisk.

Middels

  • Utførelseskontroll blokkerte en prosess fra å starte fordi den ble oppdaget som en trussel.
  • Det oppdages en trussel som har en tilknyttet begrensning (for eksempel ble trusselen manuelt satt i karantene), så prosessen er avsluttet.
  • En prosess ble blokkert eller avsluttet på grunn av minnebrudd.
  • Det ble oppdaget et minnebrudd, og ingen retningslinjer for automatisk begrensning er i kraft for denne bruddtypen.

Lav

  • En fil som ble identifisert som en trussel, er lagt til i den globale sikkerlisten eller slettet fra filsystemet.
  • En trussel har blitt oppdaget og automatisk satt i karantene.
  • En fil er identifisert som en trussel, men den er fraveket på datamaskinen.
  • Statusen til en aktuell trussel har endret seg. For eksempel trussel om karantene, karantene for frafall eller frafalt karantene.
Aktiver BIOS-forsikring Enabled (Aktivert) Utfører BIOS-integritetskontroller på støttede Dell-datamaskiner (2016 og nyere datamaskiner i virksomhetsklassen)
Aktiver automatisk opplasting av loggfiler Enabled (Aktivert) Dette gjør det mulig for agenter å automatisk laste opp loggfilene for ATP-plugin-modulen til skyen hver dag ved midnatt, eller ved 100 MB, avhengig av hva som skjer først.
Merk: Disse retningslinjene gjenspeiler en 10.2.3 Dell Security Management Server.
Policyverdi Foreslått verdi Beskrivelse av retningslinjene

Advanced Threat Prevention (primærsvitsj)

Denne policyverdien avgjør om klientene kan bruke policyer for avansert trusselforhindring.

Dette aktiverer også filhandlinger og kjøringskontroll, som ikke kan deaktiveres.

Utførelseskontroll omfatter Background Threat Detection og File Watcher. Denne modulen i ATP analyserer og abstraherer intensjonene til en bærbar kjørbar (PE) basert på dens tiltenkte handlinger og oppførsel. Alle filer som oppdages av Execution Control og BTD og File Watcher, behandles basert på policyene som korrelerer med automatisk karantene. Disse handlingene utføres basert på den absolutte baneplasseringen til den kjørbare Portable Executable-filen.

Filhandlinger:

 

 

Usikker kjørbar automatisk karantene med kjørbar kontroll aktivert

Enabled (Aktivert) Dette avgjør om filer som anses som en alvorlig trussel, automatisk settes i karantene.

Usikker kjørbar automatisk opplasting aktivert

Enabled (Aktivert)

Angir om alvorlige trusler skal lastes opp til skyen for å utføre en second opinion-kontroll av disse truslene.

Unormal kjørbar automatisk karantene med kjørbar kontroll aktivert

Enabled (Aktivert)

Dette avgjør om filer som anses som en potensiell trussel, automatisk settes i karantene.

Unormal kjørbar automatisk opplasting aktivert

Enabled (Aktivert)

Angir om potensielle trusler skal lastes opp til skyen for å utføre en second opinion-kontroll av disse truslene.

Tillat kjøring av filer i Utelat mapper

Enabled (Aktivert)

Dette gjelder policyen Utelat bestemte mapper i policygruppen Beskyttelsesinnstillinger. Dette gjør at kjørbare filer i de utelatte mappene kan kjøres selv om de automatisk settes i karantene.

Automatisk sletting

Enabled (Aktivert)

Dette aktiverer tidtakeren på dagene til slettet policy, dette gjelder også for karantene elementer. Når dagene til sletten er utløpt, fjernes eventuelle trusler i en karantenemappe automatisk hvis denne policyen er aktivert.

Dager til sletting

14

Bestemmer antall dager, per trussel, at et element forblir i den lokale karantenemappen.

Minnehandlinger

   

Minnebeskyttelse aktivert

Enabled (Aktivert)

Dette aktiverer Memory Protection-funksjonaliteten, minnebeskyttelsesmodulen analyserer og tolker intensjonene med å kjøre applikasjoner ved å overvåke samhandlingen mellom programmer og operativsystemet i minnet.

Aktiver Utelat kjørbare filer

Enabled (Aktivert)

Dette gjør det mulig å utelate bestemte kjørbare filer fra minnebeskyttelsen.

Utelat kjørbare filer

Varierer basert på miljøet

Alle utelatelser som er lagt til, må angis ved hjelp av den relative banen til den kjørbare filen (utelate stasjonsbokstaven fra banen).

Correct (OS X):
/Users/application.app/executable
Correct (Windows):
\Application\SubFolder\application.exe
Incorrect:
C:\Application\SubFolder\application.exe
Incorrect:
\Application\SubFolder\

Utnyttelse: Stack Pivot

Avslutte

Stabelen for en tråd er erstattet med en annen stabel. Vanligvis tildeler datamaskinen bare en enkelt stabel for en tråd. En angriper vil bruke en annen stabel til å kontrollere kjøringen på en måte som Data Execution Prevention (DEP) ikke blokkerer.

Gjelder for: Windows, Mac

Utnyttelse: Stack Protect

Avslutte

Minnebeskyttelsen for stabelen i en tråd er endret for å aktivere tillatelse til kjøring. Stakkminne skal ikke være kjørbart, så vanligvis betyr dette at en angriper forbereder seg på å kjøre ondsinnet kode som er lagret i stakkminnet som en del av en utnyttelse, et forsøk som Data Execution Prevention (DEP) ellers ikke ville blokkere.

Gjelder for: Windows, Mac

Utnyttelse: Overskriv kode

Avslutte

Kode som ligger i prosessminnet, er endret ved hjelp av en teknikk som kan angi forsøk på å omgå Data Execution Prevention (DEP).

Gjelder for: Windows

Utnyttelse: Søk etter skannerminne

Avslutte

En prosess prøver å lese gyldige spordata med magnetstripe fra en annen prosess, vanligvis relatert til salgsstedsdatamaskiner (POS).

Gjelder for: Windows

Utnyttelse: Skadelig nyttelast

Avslutte

Det er oppdaget en generisk skallkode og nyttelastdeteksjon som er knyttet til utnyttelse.

Gjelder for: Windows

Prosess injeksjon: Ekstern tildeling av minne

Avslutte

En prosess har tildelt minne i en annen prosess. De fleste tildelinger skjer bare innenfor samme prosess. Dette indikerer vanligvis et forsøk på å injisere kode eller data i en annen prosess, noe som kan være et første skritt i å forsterke en ondsinnet tilstedeværelse på en datamaskin.

Gjelder for: Windows, Mac

Prosess injeksjon: Ekstern tilordning av minne

Avslutte

En prosess har introdusert kode eller data i en annen prosess. Dette kan indikere et forsøk på å begynne å kjøre kode i en annen prosess og forsterke en ondsinnet tilstedeværelse.

Gjelder for: Windows, Mac

Prosess injeksjon: Ekstern skriving til minne

Avslutte

En prosess har endret minnet i en annen prosess. Dette er vanligvis et forsøk på å lagre kode eller data i tidligere tildelt minne (se OutOfProcessAllocation), men det er mulig at en angriper prøver å overskrive eksisterende minne for å avlede kjøring for et skadelig formål.

Gjelder for: Windows, Mac

Prosess injeksjon: Ekstern PE til minne

Avslutte

En prosess har endret minnet i en annen prosess til å inneholde et kjørbart bilde. Vanligvis betyr dette at en angriper prøver å kjøre kode uten først å skrive koden til disken.

Gjelder for: Windows, Mac

Prosess injeksjon: Ekstern overskrivingskode

Avslutte

En prosess har endret kjørbart minne i en annen prosess. Under normale forhold endres ikke kjørbart minne, spesielt ikke av en annen prosess. Dette indikerer vanligvis et forsøk på å avlede utførelse i en annen prosess.

Gjelder for: Windows, Mac

Prosess injeksjon: Ekstern tilknytning til minnet

Avslutte

En prosess har fjernet en kjørbar Windows-fil fra minnet til en annen prosess. Dette kan tyde på en intensjon om å erstatte det kjørbare bildet med en endret kopi for å avlede utførelsen.

Gjelder for: Windows, Mac

Prosess injeksjon: Ekstern trådoppretting

Avslutte

En prosess har opprettet en tråd i en annen prosess. En angriper bruker dette til å aktivere en ondsinnet tilstedeværelse som har blitt injisert i en annen prosess.

Gjelder for: Windows, Mac

Prosess injeksjon: Ekstern APC planlagt

Avslutte

En prosess har avledet utførelsen av en annen prosesstråd. En angriper bruker dette til å aktivere en ondsinnet tilstedeværelse som har blitt injisert i en annen prosess.

Gjelder for: Windows

Prosess injeksjon: DYLD-injeksjon (kun Mac OS X)

Avslutte

Det er angitt en miljøvariabel som fører til at et delt bibliotek settes inn i en startet prosess. Angrep kan endre listen over applikasjoner som Safari eller erstatte applikasjoner med bash-skript som gjør at modulene deres lastes automatisk når et program starter.

Gjelder for: Mac

Opptrapping: LSASS Les

Avslutte

Du har fått tilgang til minnet som tilhører prosessen Windows Local Security Authority, på en måte som angir forsøk på å hente brukernes passord.

Gjelder for: Windows

Opptrapping: Null tildeling

Avslutte

En nullside er tildelt. Minneområdet er vanligvis reservert, men under visse omstendigheter kan det tildeles. Angrep kan bruke dette til å konfigurere eskalering av privilegier ved å dra nytte av noen kjente null-referanseutnyttelser, vanligvis i kjernen.

Gjelder for: Windows, Mac

Iverksettingskontroll

   

Forhindre tjenesteavslutning fra enhet

Enabled (Aktivert)

Når aktivert hindrer muligheten til å stoppe ATP-tjenesten, selv som datamaskin. Dette forhindrer også at applikasjonen blir avinstallert.

Drep usikre prosesser og delprosesser

Enabled (Aktivert)

Aktivering av denne funksjonen gjør det mulig å oppdage og avslutte eventuelle minnebaserte trusler som gyter delprosesser.

Trusseloppdagelse i bakgrunnen

Kjør én gang

Dette fastslår om en skanning av eksisterende filer kjøres på enheten. Dette kan settes til deaktivert, kjør én gang eller kjør regelmessig.

Hvis Se etter nye filer er aktivert, anbefales det å konfigurere Oppdagelse av bakgrunnstrusler til å kjøre én gang. Du må bare sjekke eksisterende filer én gang hvis du også ser etter nye og oppdaterte filer.

Se etter nye filer

Enabled (Aktivert)

Hvis du setter dette til Aktivert, kan du oppdage og analysere filer som nylig er skrevet til enheten, eller som er endret.

 
Merk: Det anbefales å ha Se etter nye filer deaktivert på enheter med høy trafikk (for eksempel filer eller applikasjonsservere), da dette kan føre til uventede økninger i diskventetid ettersom hver fil må analyseres mens den skrives til disk. Dette reduseres som standard ettersom alle bærbare kjørbare filer som prøver å kjøre, analyseres mens de prøver å kjøre. Dette kan reduseres ytterligere ved å aktivere og angi Oppdagelse av bakgrunnstrusler til Kjør regelmessig.

Angi maksimal filstørrelse for arkiv til skanning

150

Konfigurerer maksimal dekomprimert arkivstørrelse som kan analyseres Størrelsen er på megabyte.

Beskyttelsesinnstillinger    
Aktiver ekskludering av bestemte mapper (inkluderer undermapper) Enabled (Aktivert) Dette gjør det mulig å definere mapper i Filovervåking og Execution Control basert på policyen Tillat kjøring av filer i Ekskluder mapper som ikke overvåkes.
Utelat bestemte mapper (inkluderer undermapper) Varierer basert på miljøet

Dette definerer en liste over mapper i File Watcher som ikke overvåkes. Denne policyen for Tillat kjøring av filer i utelat mapper forhindrer at filer som kjøres fra disse mappene, settes i karantene. Denne policyen forhindrer skanning av disse katalogene etter Se etter nye filer eller Oppdagelse av bakgrunnstrusler.

Alle utelatelser som legges til, må spesifiseres ved hjelp av den absolutte banen til den kjørbare filen (inkluder stasjonsbokstaven fra banen).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Application Control (Applikasjonskontroll)    
Application Control (Applikasjonskontroll) Deaktivert Dette gjør det mulig å begrense applikasjonsbaserte endringer på enheten. Ingen nye applikasjoner kan legges til, ingen applikasjoner kan fjernes, og ingen applikasjoner kan endres eller oppdateres.
Programkontroll tillatte mapper -Tom-

Dette definerer en liste over mapper i programkontroll som ikke overvåkes.

Alle utelatelser som legges til, må spesifiseres ved hjelp av den absolutte banen til den kjørbare filen (inkluder stasjonsbokstaven fra banen).

Correct (OS X):
/Mac\ HD/Users/Application\ Support/Dell
Correct (Windows):
C:\Program Files\Dell\
Incorrect:
\Program Files\Dell\
Incorrect:
C:\Program Files\Dell\Executable.exe
Aktiver Endre vindu Deaktivert Når dette alternativet er aktivert, deaktiveres Programkontroll midlertidig, slik at endringer kan utføres i miljøet.
Script Control (Skriptkontroll)    
Script Control (Skriptkontroll) Enabled (Aktivert)

Aktiverer bruk av skriptkontroll

Skriptkontroll overvåker programmer og tjenester som kan kjøre handlinger i operativsystemet. Disse applikasjonene kalles ofte tolker. ATP overvåker disse programmene og tjenestene for alle skript som forsøker å kjøre og basert på policyer, enten varsler om at de er utført, eller blokkerer handlingene fra å forekomme. Disse avgjørelsene tas basert på skriptnavnet og den relative banen der skriptet ble kjørt fra.

Skriptkontrollmodus Blokk

Når dette er angitt til Blokker, kjøres ingen skriptbaserte elementer. Dette inkluderer alle aktive skript, makrobaserte skript eller PowerShell-baserte skript. I senere versjoner er disse skilt ut i egne retningslinjer.

Gjelder for: 1.2.1371 og tidligere versjoner av ESSE

Aktivt skript Blokk

Når dette er satt til Blokker, deaktiveres muligheten til å kjøre JavaScript, VBscript, batch, Python, Perl, PHP, Ruby og mange andre skript.

Gjelder for: 1.2.1391 og senere versjoner av ESSE.

Makroer Blokk

Hvis du setter dette til Varsel, kan du analysere makroer i dokumenter for å avgjøre om de kjører potensielt skadelige kommandoer. Hvis det oppfattes en trussel, hindrer innstillingen "Blokker" makroen i å kjøre. Makroer som kjører ved oppstart, kan hindre at programmet lastes inn.

Gjelder for: 1.2.1391 og senere versjoner av ESSE.

Powershell Blokk

Når dette er angitt til Blokker, forhindrer dette at PowerShell-baserte skript kjører i miljøet.

Gjelder for: 1.2.1391 og senere versjoner av ESSE.

Powershell-konsoll Allow (Tillat)

Når dette er angitt til Blokker, hindres PowerShell V3-konsollen og ISE i å starte.

Gjelder for: 1.2.1391 og senere versjoner av ESSE.

Aktiver Godkjenn skript i mapper (og undermapper) Enabled (Aktivert) Dette gjør det mulig å utelate plasseringer fra skriptkontroll fra å bli analysert.
Godkjenn skript i mapper (og undermapper) Varierer basert på miljøet

Denne delen inneholder detaljer om mappene i skriptkontrollen som ikke overvåkes.

  • Mappebaner kan være til en lokal stasjon, en tilordnet nettverksstasjon eller en UNC-bane (Universal Naming Convention).
  • Utelukkelser for skriptmapper må angi den relative banen til mappen eller undermappen.
  • En hvilken som helst angitt mappebane inkluderer også undermapper.
  • Jokertegn støttes ikke.
Correct (Mac):
/Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows):
\Cases\ScriptsAllowed.
Incorrect:
C:\Application\SubFolder\application.vbs
Incorrect:
\Program Files\Dell\application.vbs
Global tillatelse Varierer basert på miljøet

Denne policyen bruker frakoblet modus for ESSE. Dette gjør det mulig for kundene å ha et miljø helt atskilt fra internett.

Denne policyen bestemmer bestemte trusselbaner og sertifikater som skal tillates i miljøet.

Karanteneliste Varierer basert på miljøet

Denne policyen bruker frakoblet modus for ESSE. Dette gjør det mulig for kundene å ha et miljø helt atskilt fra internett.

Dette er en definert liste over kjent-skadede hash-koder som automatisk settes i karantene når agenten møter dem.

Sikker liste Varierer basert på miljøet

Denne policyen bruker frakoblet modus for ESSE. Dette gjør det mulig for kundene å ha et miljø helt atskilt fra internett.

Denne policyen bestemmer bestemte trusselhasher som skal tillates i miljøet.

Agentinnstillinger    
Undertrykk popup-varsler Deaktivert Dette aktiverer eller deaktiverer muligheten for ESSE til å vise en brødristerdialogboks.
Minimum popup-varslingsnivå Høy

Dette definerer hva som varsles til sluttbrukeren hvis policyen Undertrykk popup-varsler er deaktivert.

Høy

  • Beskyttelsesstatusen er endret. (Beskyttet betyr at tjenesten Advanced Threat Prevention kjører og beskytter datamaskinen, og ikke trenger bruker- eller administratormedvirkning.)
  • Det oppdages en trussel, og policyen er ikke angitt til å håndtere trusselen automatisk.

Middels

  • Utførelseskontroll blokkerte en prosess fra å starte fordi den ble oppdaget som en trussel.
  • Det oppdages en trussel som har en tilknyttet begrensning (for eksempel ble trusselen manuelt satt i karantene), så prosessen er avsluttet.
  • En prosess ble blokkert eller avsluttet på grunn av minnebrudd.
  • Det ble oppdaget et minnebrudd, og ingen retningslinjer for automatisk begrensning er i kraft for denne bruddtypen.

Lav

  • En fil som ble identifisert som en trussel, er lagt til i Global Safe List eller slettet fra filsystemet.
  • En trussel har blitt oppdaget og automatisk satt i karantene.
  • En fil er identifisert som en trussel, men den er fraveket på datamaskinen.
  • Statusen til en gjeldende trussel er endret (for eksempel Trussel om karantene, Karantene for frafall eller Frafalt karantene).
Aktiver BIOS-forsikring Enabled (Aktivert) Utfører BIOS-integritetskontroller på støttede Dell-datamaskiner (2016 og nyere datamaskiner i virksomhetsklassen)
Aktiver automatisk opplasting av loggfiler Enabled (Aktivert) Dette gjør det mulig for agenter å automatisk laste opp loggfilene for ATP-plugin-modulen til skyen hver dag ved midnatt, eller ved 100 MB, avhengig av hva som skjer først.
Aktiver standard brukergrensesnitt Enabled (Aktivert) Dette aktiverer et ekstra alternativ ved hjelp av Dell Data Security-konsollen på et endepunkt. Dette gjør det mulig for lokale brukere å se hvilke trusler, minnehendelser eller skript som er oppdaget på det lokale endepunktet. Dette alternativet vises ved hjelp av høyreklikkmenyen på endepunktet eller ved hjelp av tannhjulet for innstillinger i Dell Data Security-konsollen i et alternativ med tittelen Avansert trusselforhindring.

Når dette alternativet er valgt, er flere brytere tilgjengelige som viser eller skjuler truslene, minnehendelsene eller skriptene som har blitt oppdaget på den datamaskinen.

Denne policyen krever at Dell Encryption Management Agent er versjon 8.18.0 eller nyere.

Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.

Additional Information

 

Videos

 

Affected Products

Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000126118
Article Type: Solution
Last Modified: 04 Mar 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.