Zalecenia dotyczące zasad programu Dell Threat Defense

Zaleca się skonfigurowanie zasad w Trybie uczenia lub w Trybie chronionym. Tryb uczenia się to sposób, w jaki firma Dell Technologies zaleca testowanie programu Dell Threat Defense w środowisku. Najbardziej efektywnym rozwiązaniem jest wdrożenie oprogramowania Dell Threat Defense na punktach końcowych przy użyciu standardowego obrazu dla danej firmy.

W przypadku serwerów aplikacji mogą być wymagane dodatkowe zmiany ze względu na większą niż normalnie liczbę operacji we/wy na dyskach.

Po rozwiązaniu wszystkich alertów przez administratora konsoli administracyjnej Dell Threat Defense firma Dell Technologies zaleca przełączenie się na zalecenia dotyczące zasad trybu ochrony. Firma Dell Technologies zaleca kilka tygodni lub więcej testów w trybie uczenia się przed przejściem na zasady trybu ochrony.

Aby uzyskać więcej informacji, kliknij opcję Zalecenia dotyczące serwera aplikacji, Tryb uczenia się lub Tryb ochrony.

Zalecenia dotyczące serwera aplikacji

W obu trybach: uczenia oraz chronionym serwery aplikacji mogą być dodatkowo obciążone w sposób różniący się od systemów operacyjnych klienta. W rzadkich przypadkach funkcja automatycznej kwarantanny (AQT) uniemożliwia uruchamianie niektórych plików do czasu obliczenia wyniku. Występuje to w przypadku, gdy aplikacja wykryje blokowanie plików jako manipulację lub gdy proces nie może zakończyć się w oczekiwanym czasie.

Jeśli funkcja Obserwuj nowe pliki jest włączona, może spowolnić działanie urządzenia. Po wygenerowaniu nowego pliku jest on analizowany. Chociaż ten proces powoduje niewielkie obciążenie, duża liczba plików naraz może spowodować pogorszenie wydajności.

Sugerowane zmiany zasad dla systemów operacyjnych Windows Server:

• Włącz wykrywanie zagrożeń w tle i uruchom je raz.
• Upewnij się, że Kontrola wykonywania jest włączona.
• Wyłącz opcję Obserwuj nowe pliki.

W przypadku tych zaleceń zazwyczaj sugeruje się także, aby wydzielić urządzenia z serwerowymi systemami operacyjnymi w oddzielnych strefach. Aby uzyskać informacje na temat generowania stref, należy zapoznać się z tematem Zarządzanie strefami w programie Dell Threat Defense.

Tryb uczenia

Tabela 1: Operacje na plikach w trybie uczenia

Zasada	Zalecane ustawienie
Automatyczna kwarantanna z kontrolą wykonania dla niebezpiecznych	Disabled
Automatyczna kwarantanna z kontrolą wykonania dla nietypowych	Disabled
Włącz automatyczne usuwanie plików poddanych kwarantannie	Disabled
Automatyczne przesyłanie	Enabled
Lista bezpiecznych dla zasady	Zależne od środowiska

Tabela 2: Ustawienia ochrony w trybie uczenia się

Zasada	Zalecane ustawienie
Zapobiegaj zamknięciu usługi z urządzenia	Disabled
Zamykaj niebezpieczne uruchomione procesy i ich procesy podrzędne	Disabled
Wykrywanie zagrożeń w tle	Disabled
Uruchom jednorazowo / Uruchom cyklicznie	Nie dotyczy, gdy Ochrona przed zagrożeniami w tle jest wyłączona
Obserwuj nowe pliki	Disabled
Kopiuj przykładowe pliki	Zależne od środowiska

Tabela 3: Ustawienia agenta w trybie uczenia się

Zasada	Zalecane ustawienie
Włącz automatyczne przesyłanie plików dziennika	Zależne od środowiska
Włącz powiadomienia na pulpicie	Zależne od środowiska

Tabela 4: Sterowanie skryptami w trybie uczenia

Zasada	Zalecane ustawienie
Kontrola skryptu	Enabled
1370 i poniżej Aktywny skrypt i PowerShell	Alert
1380 i powyżej Aktywny skrypt	Alert
1380 i powyżej PowerShell	Alert
Zablokuj korzystanie z konsoli PowerShell	Nie dotyczy, gdy program PowerShell jest ustawiony na wartość Alert
1380 i powyżej Makra	Alert
Wyłącz opcję sterowania skryptami funkcji Aktywny skrypt	Disabled
Wyłącz opcję sterowania skryptami programu PowerShell	Disabled
Wyłącz opcję sterowania skryptami funkcji Makra	Disabled
Wykluczenia folderów (wraz z podfolderami)	Zależne od środowiska

Tryb chroniony

Tabela 5: Akcje plików w trybie chronionym

Zasada	Zalecane ustawienie
Automatyczna kwarantanna z kontrolą wykonania dla niebezpiecznych	Enabled
Automatyczna kwarantanna z kontrolą wykonania dla nietypowych	Enabled
Włącz automatyczne usuwanie plików poddanych kwarantannie	Zależne od środowiska
Automatyczne przesyłanie	Zależne od środowiska
Lista bezpiecznych dla zasady	Zależne od środowiska

Tabela 6: Ustawienia ochrony w trybie chronionym

Zasada	Zalecane ustawienie
Zapobiegaj zamknięciu usługi z urządzenia	Enabled
Zamykaj niebezpieczne uruchomione procesy i ich procesy podrzędne	Enabled
Wykrywanie zagrożeń w tle	Enabled
Uruchom jednorazowo / Uruchom cyklicznie	Uruchom jednorazowo
Obserwuj nowe pliki	Enabled
Kopiuj przykładowe pliki	Zależne od środowiska

Tabela 7. Ustawienia agenta w trybie chronionym

Zasada	Zalecane ustawienie
Włącz automatyczne przesyłanie plików dziennika	Zależne od środowiska
Włącz powiadomienia na pulpicie	Zależne od środowiska

Tabela 8: Kontrola skryptów w trybie chronionym

Zasada	Zalecane ustawienie
Kontrola skryptu	Enabled
1370 i poniżej Aktywny skrypt i PowerShell	Blokuj
1380 i powyżej Aktywny skrypt	Blokuj
1380 i powyżej PowerShell	Blokuj
Zablokuj korzystanie z konsoli PowerShell	Blokuj
1380 i powyżej Makra	Blokuj
Wyłącz opcję sterowania skryptami funkcji Aktywny skrypt	Disabled
Wyłącz opcję sterowania skryptami programu PowerShell	Disabled
Wyłącz opcję sterowania skryptami funkcji Makra	Disabled
Wykluczenia folderów (wraz z podfolderami)	Zależne od środowiska

Definicje zasad programu Threat Defense:

Operacje na plikach

Automatyczna kwarantanna z kontrolą wykonania dla niebezpiecznych

Te zasady określają, co dzieje się z plikami wykrytymi podczas ich uruchamiania. Domyślnie, nawet jeśli niebezpieczny plik zostanie wykryty w trakcie działania, zagrożenie zostaje zablokowane. Wartość Niebezpieczny charakteryzuje się skumulowanym wynikiem dla przenośnego pliku wykonywalnego, który przekracza 60 w systemie punktacji Advanced Threat Prevention, który jest oparty na ocenionych wskaźnikach zagrożeń.

Automatyczna kwarantanna z kontrolą wykonania dla nietypowych

Te zasady określają, co dzieje się z plikami wykrytymi podczas ich uruchamiania. Domyślnie, nawet jeśli nietypowy plik zostanie wykryty w trakcie działania, zagrożenie zostaje zablokowane. Nietypowy charakteryzuje się skumulowanym wynikiem dla przenośnego pliku wykonywalnego, który przekracza 0, ale nie przekracza 60 w systemie punktacji Advanced Threat Prevention. System punktacji opiera się na ocenionych wskaźnikach zagrożeń.

Włącz automatyczne usuwanie plików poddanych kwarantannie

Gdy pliki niebezpieczne lub nietypowe zostają poddane kwarantannie na podstawie ustawień kwarantanny na poziomie urządzenia, globalnych list kwarantanny lub przez zasady automatycznej kwarantanny, są one przechowywane w lokalnej pamięci podręcznej kwarantanny w urządzeniu lokalnym. Kiedy opcja Włącz automatyczne usuwanie plików objętych kwarantanną jest włączona, oznacza liczbę dni (minimum 14 dni, maksimum 365 dni), przez które plik jest przechowywany na urządzeniu lokalnym przed jego trwałym usunięciem. Gdy ta opcja jest włączona, można zmodyfikować liczbę dni.

Automatyczne przesyłanie

Oznacza zagrożenia, które nie były dostępne dla środowiska Threat Defense SaaS (oprogramowanie jako usługa) do dalszej analizy. Po oznaczeniu pliku jako potencjalnego zagrożenia przez model lokalny wykonywany jest skrót SHA256 dla przenośnego pliku wykonywalnego, który jest wysyłany do SaaS. Jeśli wysłany skrót SHA256 nie pasuje do zagrożenia i funkcja automatycznego przesyłania jest włączona, umożliwia to bezpieczne przesłanie zagrożenia do SaaS w celu dokonania oceny. Dane te są przechowywane bezpiecznie i nie są dostępne dla firmy Dell ani jej partnerów.

Lista bezpiecznych dla zasady

Lista bezpiecznych dla zasady zawiera pliki, które zostały uznane za bezpieczne w środowisku i zostały ręcznie uchylone poprzez przesłanie ich skrótów SHA256 i dodatkowych informacji do tej listy. Gdy na liście zostanie umieszczony skrót SHA256, po uruchomieniu pliku nie jest on oceniany przez lokalny model zagrożeń ani model zagrożeń w chmurze. Są to "bezwzględne" ścieżki plików.

Przykładowe wykluczenia:

Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Ustawienia ochrony

Zamykaj niebezpieczne uruchomione procesy i ich procesy podrzędne

Gdy włączona jest opcja Kill unsafe uruchomione procesy i ich procesy podrzędne , określa, czy zagrożenie generuje procesy podrzędne, czy też aplikacja przejęła inne procesy, które są aktualnie uruchomione w pamięci. Jeśli istnieje przekonanie, że proces został przejęty przez zagrożenie, zagrożenie główne i wszystkie procesy, które wygenerowało lub które obecnie posiada, są natychmiast przerywane.

Wykrywanie zagrożeń w tle

Funkcja wykrywania zagrożeń w tle, jeśli jest włączona, skanuje całe urządzenie w poszukiwaniu przenośnego pliku wykonywalnego, a następnie ocenia ten plik wykonywalny przy użyciu lokalnego modelu zagrożeń i żąda potwierdzenia oceny pliku wykonywalnego w chmurowym SaaS na podstawie wskaźników zagrożeń pliku wykonywalnego. W przypadku wykrywania zagrożeń w tle dostępne są dwie opcje: Uruchom raz i uruchom cyklicznie. Opcja Uruchom jednorazowo przeprowadza skanowanie w tle wszystkich dysków fizycznych podłączonych do urządzenia w momencie instalacji i aktywacji funkcji Threat Defense. Uruchom cyklicznie wykonuje skanowanie w tle wszystkich urządzeń podłączonych do urządzenia w momencie zainstalowania i aktywacji funkcji Threat Defense. Skanowanie jest powtarzane co dziewięć dni (brak możliwości skonfigurowania).

Obserwuj nowe pliki

Po włączeniu funkcji Obserwuj nowe pliki każdy przenośny plik wykonywalny wprowadzony do urządzenia jest natychmiast oceniany przy użyciu wskaźników zagrożeń wyświetlanych przy użyciu modelu lokalnego, a ten wynik jest potwierdzany względem hostowanego w chmurze SaaS.

Kopiuj przykładowe pliki

Kopiowanie próbek plików umożliwia automatyczne deponowanie wszelkich zagrożeń znalezionych na urządzeniu w zdefiniowanym repozytorium na podstawie ścieżki UNC. Jest to zalecane tylko w przypadku wewnętrznego badania zagrożeń lub utrzymywania zabezpieczonego repozytorium zagrożeń w danym środowisku. Wszystkie pliki przechowywane przez funkcję kopiowania próbek plików są skompresowane przy użyciu hasła infected.

Ustawienia agenta

Włącz automatyczne przesyłanie plików dziennika

Opcja Włącz automatyczne przesyłanie plików dziennika umożliwia punktom końcowym przesyłanie plików dziennika do programu Dell Threat Defense co noc o północy lub gdy rozmiar pliku osiągnie 100 MB. Dzienniki są przesyłane w porze nocnej niezależnie od rozmiaru pliku. Wszystkie przesyłane dzienniki zostają skompresowane przed przesłaniem do sieci.

Włącz powiadomienia na pulpicie

Opcja Włącz powiadomienia na pulpicie umożliwia użytkownikom urządzeń zezwalanie na monity na swoich urządzeniach, jeśli plik jest oznaczony jako nieprawidłowy lub niebezpieczny. Ta opcja jest dostępna w menu rozwijanym po kliknięciu prawym przyciskiem myszy ikony zasobnika Dell Threat Defense w punktach końcowych z włączoną tą zasadą.

Kontrola skryptu

Kontrola skryptu

Funkcja kontroli skryptów działa za pośrednictwem rozwiązania opartego na filtrze pamięci w celu identyfikowania skryptów uruchomionych na urządzeniu i zapobiegania im, jeśli zasady są ustawione na Blokuj dla tego typu skryptu. Ustawienia alertów dla tych zasad zawierają tylko skrypty, które zostałyby zablokowane w dziennikach i konsoli Dell Threat Defense.

1370 i poniżej

Zasady te mają zastosowanie do klientów starszych niż 1370, które były dostępne przed czerwcem 2016 roku. W przypadku tych wersji obsługiwane są tylko skrypty aktywne i skrypty PowerShell.

1380 i powyżej

Zasady te mają zastosowanie do klientów nowszych niż 1370, które były dostępne po czerwcu 2016 roku.

Aktywny skrypt

Aktywne skrypty obejmują wszelkie skrypty rozpoznawane przez hosta skryptów Windows, w tym JavaScript, VBScript, pliki wsadowe i wiele innych.

PowerShell

Skrypty programu PowerShell obejmują skrypty wielowierszowe uruchamiane jako pojedyncze polecenie. (Ustawienie domyślne — Alert)

Zablokuj korzystanie z konsoli PowerShell — (niedostępne, jeśli dla programu PowerShell wybrano ustawienie Alert)

W programie PowerShell w wersji 3 (wprowadzonej w systemie Windows 8.1) i nowszych większość skryptów programu PowerShell jest uruchamiana jako polecenia jednowierszowe, chociaż mogą one zawierać wiele wierszy, które są uruchamiane kolejno. Może to spowodować pominięcie interpretera skryptu programu PowerShell. Zablokowanie konsoli PowerShell to obejście tego problemu poprzez uniemożliwienie uruchamiania dowolnej aplikacji przy użyciu konsoli programu PowerShell. Zasada ta nie wpływa na środowisko Integrated Scripting Environment (ISE).

Makra

Ustawienie Makro umożliwia interpretowanie makr znajdujących się w dokumentach pakietu Office i plikach PDF oraz blokowanie złośliwych makr, które mogą próbować pobierać zagrożenia.

Wyłącz opcję sterowania skryptami

Te zasady umożliwiają całkowite wyłączenie alertu dla typu skryptu zdefiniowanego w ramach każdej zasady. Kiedy ta opcja jest wyłączona, nie są gromadzone żadne dane i nie będą podejmowane żadne próby wykrycia ani blokowania potencjalnych zagrożeń.

Aktywny skrypt

Kiedy ta opcja jest zaznaczona, zapobiega gromadzeniu dzienników i blokuje wszelkie potencjalne zagrożenia oparte na aktywnych skryptach. Aktywne skrypty obejmują wszelkie skrypty rozpoznawane przez hosta skryptów Windows, w tym JavaScript, VBScript, pliki wsadowe i wiele innych.

PowerShell

Gdy ta opcja jest zaznaczona, zapobiega zbieraniu dzienników i blokuje wszelkie potencjalne zagrożenia oparte na programie PowerShell. Skrypty programu PowerShell obejmują skrypty wielowierszowe uruchamiane jako pojedyncze polecenie.

Makra

Zaznaczenie tej opcji uniemożliwia gromadzenie dzienników i blokuje wszelkie potencjalne zagrożenia oparte na makrach. Ustawienie Makro umożliwia interpretowanie makr znajdujących się w dokumentach pakietu Office i plikach PDF oraz blokowanie złośliwych makr, które mogą próbować pobierać zagrożenia.

Wykluczenia folderów (wraz z podfolderami)

Wykluczenia folderów umożliwiają określenie folderów, w których można uruchamiać skrypty. W tej sekcji należy określić wykluczenia w formacie ścieżki względnej.

• Ścieżki folderów mogą odnosić się do dysku lokalnego, zmapowanego dysku sieciowego lub ścieżki UNC.
• Wykluczenia folderów skryptów muszą określać względną ścieżkę do folderu lub podfolderu.
• Wszystkie określone ścieżki folderów obejmują również wszystkie podfoldery.
• W wykluczeniach symboli wieloznacznych w komputerach z systemem Windows należy używać prawych ukośników w stylu systemu UNIX. Przykład: /windows/system*/.
• Jedyny znak obsługiwany w przypadku symboli wieloznacznych to *.
• Aby odróżnić folder i plik, w wykluczeniach folderów z symbolem wieloznacznym na końcu ścieżki musi być ukośnik.
  • Wykluczenie folderu: /windows/system32/*/
  • Wykluczenie pliku: /windows/system32/*
• Do każdego poziomu folderu należy dodać symbol wieloznaczny. Na przykład: /folder/*/script.vbs Pasuje \folder\test\script.vbs lub \folder\exclude\script.vbs ale nie dziala dla \folder\test\001\script.vbs. Wymagałoby to /folder/*/001/script.vbs lub /folder/*/*/script.vbs.
• Symbole wieloznaczne obsługują pełne i częściowe wykluczenia.
  • Przykład pełnego symbolu wieloznacznego: /folder/*/script.vbs
  • Przykład częściowego symbolu wieloznacznego: /folder/test*/script.vbs
• Obsługa symboli wieloznacznych obejmuje również ścieżki sieciowe.
  • //*/login/application
  • //abc*/logon/application

Prawidłowa (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Prawidłowa (system Windows): \Cases\ScriptsAllowed
Niepoprawnie: C:\Application\SubFolder\application.vbs
Niepoprawnie: \Program Files\Dell\application.vbs

Przykłady symboli wieloznacznych:

/users/*/temp obejmować:

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs obejmować:

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs