Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Dell Threat Defense 策略建议

Summary: 了解 Dell Threat Defense 的建议策略和策略定义。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

提醒:

Dell Threat Defense 使用策略来执行以下操作:

  • 定义威胁的解决方式
  • 确定隔离文件的处理方式
  • 配置脚本控制

受影响的产品:

  • Dell Threat Defense

有关更多信息,请单击 建议的策略策略定义

Threat Defense 策略定义:

文件操作

对不安全的文件进行自动隔离并启用执行控制

此策略确定在文件运行时对检测到的文件执行的操作。默认情况下,即使检测到不安全文件正在运行,也会阻止该威胁。不安全的特点是,根据已评估的威胁指标,在高级威胁预防评分系统中,可移植的可执行文件的累积分数超过 60。

对异常的文件进行自动隔离并启用执行控制

此策略确定在文件运行时对检测到的文件执行的操作。默认情况下,即使检测到异常文件正在运行,也会阻止该威胁。异常的特征是在 Advanced Threat Prevention 的评分系统中,可移植的可执行文件的累积分数超过 0 但不超过 60。评分系统基于已评估的威胁指标。

为隔离的文件启用自动删除

当根据设备级隔离、全局隔离列表或自动隔离策略对不安全或异常文件进行隔离时,会将它们保存在本地设备上的本地沙盒隔离高速缓存中。启用隔离文件的自动删除后,它表示永久删除文件之前将文件保留在本地设备上的天数(最少 14 天,最多 365 天)。启用此项后,可以修改天数。

自动上传

标记 Threat Defense SaaS(软件即服务)环境尚未发现的威胁,以便进一步分析。本地模型将文件标记为潜在威胁时,会对可移植的可执行文件运行 SHA256 哈希,并将其发送到 SaaS。如果发送的 SHA256 哈希无法与威胁相匹配,并且自动上传已启用,则可将威胁安全上传到 SaaS 进行评估。此数据已安全存储,而且戴尔或其合作伙伴无法对其进行访问。

策略安全列表

策略安全列表是环境中已确定安全的文件的列表,通过将文件的 SHA256 哈希和任何其他信息提交到此列表,您可手动放弃这些文件。如果您将 SHA256 哈希放在此列表中,当运行文件时,本地或云威胁模型将不会对其进行评估。这些是“绝对”文件路径。

排除条件示例:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

保护设置

终止正在运行的不安全进程及其子进程

启用 “终止正在运行的不安全进程及其子进程 ”时,这将确定威胁是否正在生成子进程,或者应用程序是否已接管当前在内存中运行的其他进程。如果认为进程已被威胁接管,则主要威胁及其生成或当前拥有的任何进程都将立即终止。

后台威胁检测

后台威胁检测启用后,会扫描整个设备以查找任何可移植的可执行文件,然后使用本地威胁模型评估该可执行文件,并请求确认根据可执行文件的威胁指标使用基于云的 SaaS 对可执行文件进行评分。后台 威胁检测有两个选项:运行一次重复运行。一旦安装并激活 Threat Defense,“运行一次”将对连接到设备的所有物理驱动器执行后台扫描。安装并激活 Threat Defense 时,“重复运行”将对连接到设备的所有设备执行后台扫描。它每九天重复一次扫描(不可配置)。

监视新文件

启用 “监视新文件 ”后,将立即使用其使用本地模型显示的威胁指示器评估引入设备的任何可移植的可执行文件,并根据云托管的 SaaS 确认此分数。

复制文件样本

“复制文件样本 ”允许根据 UNC 路径自动将设备上发现的任何威胁托管到已定义的存储库。这只建议用于内部威胁研究或在环境中保存已封装的威胁的安全存储库。“拷贝文件样本”存储的所有文件都使用密码压缩 infected

代理程序设置

允许日志文件自动上传

“启用日志文件自动上传” 允许端点在午夜时分或文件达到 100 MB 时为 Dell Threat Defense 上传其日志文件。无论文件大小如何,日志都将在夜间上传。所有传输的日志在离开网络之前都将被压缩。

启用桌面通知

“启用桌面通知 ”使设备用户能够在文件标记为异常或不安全时允许其设备上出现提示。这是启用此策略的端点上 Dell Threat Defense 托盘图标的右键单击菜单中的选项。

脚本控制

脚本控制

Script Control 通过基于内存筛选器的解决方案进行操作,以识别正在设备上运行的脚本,并在该脚本类型的策略设置为 Block 时阻止它们。这些策略的警报设置只会注意到日志和 Dell Threat Defense 控制台中将阻止的脚本。

1370 及以下

这些策略适用于 1370 之前的客户端(在 2016 年 6 月之前提供)。仅在这些版本上才会对活动脚本和基于 PowerShell 的脚本执行操作。

1380 及以上

这些策略适用于 1370 之后的客户端(在 2016 年 6 月之后提供)。

活动脚本

活动脚本包括由 Windows 脚本主机解释的任何脚本,其中包括 JavaScript、VBScript、批处理文件和许多其他脚本。

PowerShell

PowerShell 脚本包括作为单个命令运行的任何多行脚本。(默认设置 - 警报)

阻止 PowerShell 控制台使用 –(当 PowerShell 设置为警报时不存在)

在 PowerShell v3(在 Windows 8.1 中引入)和更高版本中,大多数 PowerShell 脚本将作为单行命令运行;尽管它们可能包含多行,但它们将按顺序运行。这可以绕过 PowerShell 脚本解释器。通过禁用让任何应用程序启动 PowerShell 控制台的功能,阻止 PowerShell 控制台,可解决此问题。集成式脚本环境 (ISE) 不受此策略影响。

宏设置将解释 Office 文档和 PDF 中存在的宏,并阻止可能试图下载威胁的恶意宏。

禁用脚本控制

这些策略完全禁止对每个策略中定义的脚本类型发出警报。在禁用之后,不会收集日志,也不会试图检测或阻止潜在威胁。

活动脚本

如果选中,将阻止日志收集,并阻止任何潜在的基于活动脚本的威胁。活动脚本包括由 Windows 脚本主机解释的任何脚本,其中包括 JavaScript、VBScript、批处理文件和许多其他脚本。

PowerShell

如果选中,将阻止日志收集,并阻止任何潜在的基于 PowerShell 的威胁。PowerShell 脚本包括作为单个命令运行的任何多行脚本。

如果选中,将阻止日志收集,并阻止任何潜在的基于宏的威胁。宏设置将解释 Office 文档和 PDF 中存在的宏,并阻止可能试图下载威胁的恶意宏。

文件夹排除项(包括子文件夹)

“排除文件夹”允许定义可排除的可在其中运行脚本的文件夹。此部分要求排除项采用相对路径格式。

  • 文件夹路径可以是本地驱动器、映射的网络驱动器,也可以是通用命名规范(UNC)路径。
  • 脚本文件夹排除项必须指定文件夹或子文件夹的相对路径。
  • 指定的任何文件夹路径都可以包含任意子文件夹。
  • 在 UNIX 风格的 Windows 计算机中,通配符排除条件必须使用前斜杠。示例: /windows/system*/
  • 支持通配符的唯一字符为 *。
  • 使用通配符指定的文件夹排除条件必须在路径末尾带有斜杠,以区分文件夹和文件。
    • 文件夹排除: /windows/system32/*/
    • 文件排除: /windows/system32/*
  • 必须为每个文件夹级别添加通配符。例如, /folder/*/script.vbs 比赛 \folder\test\script.vbs\folder\exclude\script.vbs 但不适用于 \folder\test\001\script.vbs。这需要 /folder/*/001/script.vbs/folder/*/*/script.vbs
  • 通配符支持完整和部分排除条件。
    • 完整通配符示例: /folder/*/script.vbs
    • 部分通配符示例: /folder/test*/script.vbs
  • 通配符还支持网络路径。
    • //*/login/application
    • //abc*/logon/application

正确 (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
正确 (Windows): \Cases\ScriptsAllowed
错误: C:\Application\SubFolder\application.vbs
错误: \Program Files\Dell\application.vbs

通配符示例:

/users/*/temp 将涵盖:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs 将涵盖:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

Additional Information

 

Videos

 

Affected Products

Dell Threat Defense
Article Properties
Article Number: 000124588
Article Type: How To
Last Modified: 04 Nov 2024
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.