O Dell Threat Defense usa políticas para:
Clique em Políticas recomendadas ou Definições de política para obter mais informações.
Recomenda-se que as políticas sejam configuradas no Modo de aprendizagem ou Modo de proteção. Modo de aprendizado é como a Dell Technologies recomenda testar o Dell Threat Defense em um ambiente. Isso é mais eficaz quando o Dell Threat Defense é implantado em endpoints com a imagem padrão da empresa.
Talvez sejam necessárias outras alterações em Application Servers devido à E/S de disco superior ao normal.
Depois que todos os alertas forem tratados pelo administrador do Dell Threat Defense Console do Dell ThreatDefense, a Dell Technologies recomenda mudar para as recomendações de política do Modo de proteção. A Dell Technologies recomenda algumas semanas ou mais de testes no modo de aprendizado antes de mudar para as políticas do modo de proteção.
Clique em Recomendações do Servidor de Aplicativos, Modo de Aprendizado ou Modo de Proteção para obter mais informações.
Nos modos de aprendizagem e de proteção, os servidores de aplicativos podem notar um comportamento diferente e uma sobrecarga adicional nos sistemas operacionais de client. A Quarentena automática (AQT) impede, em raros casos, que alguns arquivos sejam executados até que uma Pontuação seja calculada. Isso é observado quando um aplicativo detecta o bloqueio de seus arquivos como adulteração ou quando um processo pode não ser concluído com êxito em um período esperado.
Se a opção Procurar novos arquivos estiver ativada, as operações do dispositivo poderão ficar mais lentas. Quando um novo arquivo for gerado, ele será analisado. Embora esse processo seja leve, um grande volume de arquivos de uma só vez pode afetar o desempenho.
Alterações de política sugeridas para os sistemas operacionais Windows Server:
Com essas recomendações, normalmente é sugerido também conter dispositivos que executam sistemas operacionais de servidor em zonas separadas. Para obter informações sobre como gerar zonas, consulte Como gerenciar zonas no Dell Threat Defense.
| Política | Configuração recomendada |
|---|---|
| Quarentena automática com controle de execução para arquivos desprotegidos | Disabled |
| Quarentena automática com controle de execução para arquivos anormais | Disabled |
| Ativar exclusão automática de arquivos em quarentena | Disabled |
| Upload automático | Enabled |
| Lista segura de políticas | Depende do ambiente |
| Política | Configuração recomendada |
|---|---|
| Impedir o desligamento do serviço pelo dispositivo | Disabled |
| Eliminar processos desprotegidos em execução e seus subprocessos | Disabled |
| Detecção de ameaças em segundo plano | Disabled |
| Executar uma vez/executar recorrente | Não aplicável quando a proteção contra ameaças em segundo plano está definida como Disabled |
| Procurar novos arquivos | Disabled |
| Copiar amostras de arquivo | Depende do ambiente |
| Política | Configuração recomendada |
|---|---|
| Ativar upload automático de arquivos de log | Depende do ambiente |
| Ativar notificação da área de trabalho | Depende do ambiente |
| Política | Configuração recomendada |
|---|---|
| Script Control | Enabled |
| 1370 and below Active Script and PowerShell | Alerta |
| 1380 e acima de Active Script | Alerta |
| 1380 and above PowerShell | Alerta |
| Block PowerShell Console Usage | Não aplicável quando o PowerShell está definido como Alert |
| 1380 e acima das macros | Alerta |
| Desativar Script Control Active Script | Disabled |
| Disable Script Control PowerShell | Disabled |
| Desativar macros de Script Control | Disabled |
| Exclusões de pasta (inclui subpastas) | Depende do ambiente |
| Política | Configuração recomendada |
|---|---|
| Quarentena automática com controle de execução para arquivos desprotegidos | Enabled |
| Quarentena automática com controle de execução para arquivos anormais | Enabled |
| Ativar exclusão automática de arquivos em quarentena | Depende do ambiente |
| Upload automático | Depende do ambiente |
| Lista segura de políticas | Depende do ambiente |
| Política | Configuração recomendada |
|---|---|
| Impedir o desligamento do serviço pelo dispositivo | Enabled |
| Eliminar processos desprotegidos em execução e seus subprocessos | Enabled |
| Detecção de ameaças em segundo plano | Enabled |
| Executar uma vez/executar recorrente | Executar uma vez |
| Procurar novos arquivos | Enabled |
| Copiar amostras de arquivo | Depende do ambiente |
| Política | Configuração recomendada |
|---|---|
| Ativar upload automático de arquivos de log | Depende do ambiente |
| Ativar notificação da área de trabalho | Depende do ambiente |
| Política | Configuração recomendada |
|---|---|
| Script Control | Enabled |
| 1370 and below Active Script and PowerShell | Bloquear |
| 1380 e acima de Active Script | Bloquear |
| 1380 and above PowerShell | Bloquear |
| Block PowerShell Console Usage | Bloquear |
| 1380 e acima das macros | Bloquear |
| Desativar Script Control Active Script | Disabled |
| Disable Script Control PowerShell | Disabled |
| Desativar macros de Script Control | Disabled |
| Exclusões de pasta (inclui subpastas) | Depende do ambiente |
Essa política determina o que acontece com os arquivos detectados durante a execução. Por padrão, mesmo quando a execução de um arquivo não seguro é detectada, a ameaça é bloqueada. Unsafe é caracterizada por uma pontuação cumulativa para o executável portátil que excede 60 dentro do sistema de pontuação do Advanced Threat Prevention com base nos indicadores de ameaças que foram avaliados.
Essa política determina o que acontece com os arquivos detectados durante a execução. Por padrão, mesmo quando a execução de um arquivo anormal é detectada, a ameaça é bloqueada. Anormal é caracterizada por uma pontuação cumulativa para o executável portátil que excede 0, mas não excede 60 no sistema de pontuação do Advanced Threat Prevention. O sistema de pontuação é baseado em indicadores de ameaça que foram avaliados.
Quando arquivos não seguros ou anormais são colocados em quarentena no nível do dispositivo, em listas de quarentena globais ou conforme as políticas de quarentena automática, eles são mantidos dentro de um cache de quarentena isolado no sistema local. Quando a opção Habilitar exclusão automática para arquivos em quarentena está ativada, ela indica o número de dias (mínimo de 14 dias, máximo de 365 dias) para manter o arquivo no dispositivo local antes de excluí-lo permanentemente. Quando ativada, a capacidade de modificar o número de dias se torna possível.
Marca as ameaças que não foram vistas pelo ambiente Threat Defense SaaS (Software como serviço) para análise posterior. Quando um arquivo é marcado como uma possível ameaça pelo modelo local, um hash SHA256 é retirado do executável portátil e enviado para o SaaS. Se o hash SHA256 que foi enviado não puder ser correspondido a uma ameaça e o Upload automático estiver ativado, isso permitirá um upload seguro da ameaça para o SaaS para fins de avaliação. Esses dados são armazenados de forma segura e não podem ser acessados pela Dell ou seus parceiros.
A Lista segura de políticas contém arquivos que foram considerados seguros dentro do ambiente e que foram excluídos manualmente enviando seu hash SHA256 e quaisquer informações adicionais para esta lista. Se um hash SHA256 for colocado nessa lista, assim que o arquivo for executado, ele não será avaliado pelos modelos de ameaça locais ou na nuvem. Esses são caminhos de arquivo "absolutos".
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Quando a opção Kill unsafe running processes and their sub processes está ativada, isso determina se uma ameaça está gerando processos filhos ou se o aplicativo assumiu o controle de outros processos que estão em execução atualmente na memória. Se houver a crença de que um processo foi tomado por uma ameaça, a ameaça primária e quaisquer processos que ela tenha gerado ou que ela possua atualmente serão imediatamente encerrados.
A Detecção de ameaças em segundo plano, quando ativada, verifica todo o dispositivo em busca de qualquer executável portátil e, em seguida, avalia esse executável com o modelo de ameaça local e solicita confirmação para a pontuação do executável com o SaaS baseado em nuvem com base nos indicadores de ameaça do executável. Duas opções são possíveis com a Detecção de ameaças em segundo plano: Executar uma vez e executar regularmente. A opção Run Once executa uma verificação em segundo plano de todas as unidades físicas conectadas ao dispositivo no momento em que o Threat Defense é instalado e ativado. A execução recorrente executa uma verificação em segundo plano de todos os dispositivos conectados ao dispositivo no momento em que o Threat Defense é instalado e ativado. Ele repete a varredura a cada nove dias (não configurável).
Quando a opção Procurar novos arquivos está ativada, qualquer executável portátil introduzido no dispositivo é imediatamente avaliado com os indicadores de ameaça exibidos usando o modelo local, e essa pontuação é confirmada em relação ao SaaS hospedado na nuvem.
As amostras de arquivo de cópia permitem que todas as ameaças encontradas no dispositivo sejam automaticamente depositadas em um repositório definido com base no caminho UNC. Isso só é recomendado para pesquisas de ameaças internas ou para manter um repositório seguro de ameaças compactadas dentro do ambiente. Todos os arquivos armazenados pelo Copy File Samples são compactados com uma senha de infected.
Ativar o carregamento automático de arquivos de log permite que os endpoints carreguem seus arquivos de log do Dell Threat Defense à noite à meia-noite ou quando o arquivo atingir 100 MB. Os logs são carregados todas as noites, independentemente do tamanho do arquivo. Todos os logs transferidos são compactados antes de saírem da rede.
Habilitar notificação da área de trabalho permite que os usuários do dispositivo permitam prompts em seus dispositivos se um arquivo for marcado como anormal ou inseguro. Essa é uma opção no menu do botão direito do mouse do ícone da bandeja do Dell Threat Defense em endpoints com esta política ativada.
O Script Control opera por meio de uma solução baseada em filtro de memória para identificar scripts que estão sendo executados no dispositivo e impedi-los se a política estiver definida como Bloquear para esse tipo de script. As configurações de alerta nessas políticas só observam scripts que foram bloqueados nos logs e no console do Dell Threat Defense.
Essas políticas se aplicam a clients com versões anteriores à 1370, que estavam disponíveis antes de junho de 2016. Somente scripts baseados em Active Scripts e Powershell são executados com essas versões.
Essas políticas se aplicam a clientes posteriores a 1370, que estavam disponíveis depois de junho de 2016.
Active Scripts incluem qualquer script interpretado pelo host de script do Windows, incluindo JavaScript, VBScript, arquivos em lotes e muitos outros.
Os scripts Powershell incluem quaisquer scripts de várias linhas que sejam executados como um único comando. (Configuração padrão – Alert)
No Powershell v3 (introduzido no Windows 8.1) e nas versões posteriores, a maioria dos scripts Powershell são executados como um comando de linha única; embora possam conter várias linhas, eles são executados na ordem. Com isso, o interpretador de scripts Powershell poderá ser ignorado. A opção Block PowerShell console pode ser usada como alternativa, pois incapacita a abertura de qualquer aplicativo no console do Powershell. O ISE (Integrated Scripting Environment) não é afetado por essa política.
A configuração Macro interpreta as macros presentes nos documentos do Office e em PDFs e bloqueia macros mal-intencionadas que podem tentar fazer download de ameaças.
Essas políticas incapacitam totalmente qualquer alerta no tipo de script definido dentro de cada política. Quando desativado, nenhum registro é coletado e nenhuma tentativa de detectar ou bloquear possíveis ameaças é executada.
Quando marcada, impede a coleta de logs e bloqueia possíveis ameaças baseadas em Active Script. Active Scripts incluem qualquer script interpretado pelo host de script do Windows, incluindo JavaScript, VBScript, arquivos em lotes e muitos outros.
Quando marcada, impede a coleta de logs e bloqueia possíveis ameaças baseadas no PowerShell. Os scripts Powershell incluem quaisquer scripts de várias linhas que sejam executados como um único comando.
Quando marcada, impede a coleta de logs e bloqueia possíveis ameaças baseadas em macros. A configuração Macro interpreta as macros presentes nos documentos do Office e em PDFs e bloqueia macros mal-intencionadas que podem tentar fazer download de ameaças.
As exclusões de pasta permitem definir pastas em que os scripts podem ser executados e podem ser excluídos. Essa seção pede exclusões em um formato de caminho relativo.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs Corresponde \folder\test\script.vbs ou \folder\exclude\script.vbs mas não funciona para \folder\test\001\script.vbs. Isso exigiria /folder/*/001/script.vbs ou /folder/*/*/script.vbs./folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationCorreto (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correto (Windows): \Cases\ScriptsAllowed
Incorreto: C:\Application\SubFolder\application.vbs
Incorreto: \Program Files\Dell\application.vbs
Exemplos de caractere curinga:
/users/*/temp abrangeria:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs abrangeria:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsPara entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.