Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Aanbevelingen voor Dell Threat Defense-policy

Summary: Meer informatie over aanbevolen beleidsregels en beleidsdefinities voor Dell Threat Defense.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Opmerking:

Dell Threat Defense gebruikt policy's voor:

  • Definiëren hoe bedreigingen worden aangepakt
  • Bepalen wat wordt gedaan met bestanden in quarantaine
  • Scriptcontrole configureren

Betreffende producten:

  • Dell Threat Defense

Klik op Aanbevolen beleid of Beleidsdefinities voor meer informatie.

Policydefinities voor bescherming tegen dreigingen:

Bestandsacties

Automatische quarantaine met uitvoeringscontrole voor onveilige bestanden

Dit beleid bepaalt wat er gebeurt met bestanden die worden gedetecteerd terwijl ze worden uitgevoerd. Standaard wordt de dreiging geblokkeerd, zelfs wanneer wordt gedetecteerd dat een onveilig bestand wordt uitgevoerd. Onveilig wordt gekenmerkt door een cumulatieve score voor het draagbare uitvoerbare bestand van meer dan 60 binnen het scoresysteem van Advanced Threat Prevention dat is gebaseerd op dreigingsindicatoren die zijn geëvalueerd.

Automatische quarantaine met uitvoeringscontrole voor abnormale bestanden

Dit beleid bepaalt wat er gebeurt met bestanden die worden gedetecteerd terwijl ze worden uitgevoerd. Standaard wordt de dreiging geblokkeerd, zelfs wanneer een abnormaal bestand wordt gedetecteerd als actief. Abnormaal wordt gekenmerkt door een cumulatieve score voor het draagbare uitvoerbare bestand die hoger is dan 0 maar niet hoger is dan 60 binnen het scoresysteem van Advanced Threat Prevention. Het scoresysteem is gebaseerd op dreigingsindicatoren die zijn geëvalueerd.

Automatisch verwijderen inschakelen voor bestanden in quarantaine

Wanneer onveilige of abnormale bestanden in quarantaine worden geplaatst op basis van quarantaines op apparaatniveau, algemene quarantainelijsten of door beleid voor automatische quarantaine, worden ze bewaard in een lokale quarantainecache in een sandbox op het lokale apparaat. Wanneer Automatische verwijdering inschakelen is ingeschakeld voor bestanden die in quarantaine zijn geplaatst, geeft dit het aantal dagen aan (minimaal 14 dagen, maximaal 365 dagen) om het bestand op het lokale apparaat te bewaren voordat het bestand permanent wordt verwijderd. Wanneer dit is ingeschakeld, wordt de mogelijkheid om het aantal dagen te wijzigen mogelijk.

Automatisch uploaden

Geeft bedreigingen aan die niet door de Threat Defense SaaS-omgeving (Software as a Service) zijn waargenomen voor verdere analyse. Wanneer een bestand door het lokale model wordt gemarkeerd als een potentiële bedreiging, wordt een SHA256-hash van het draagbare uitvoerbare bestand genomen en deze wordt naar de SaaS verzonden. Als de SHA256-hash die is verzonden niet kan worden gekoppeld aan een bedreiging en Automatisch uploaden is ingeschakeld, kan de bedreiging veilig worden geüpload naar de SaaS voor evaluatie. Deze data worden veilig opgeslagen en zijn niet toegankelijk voor Dell of haar partners.

Veilige lijst

De Veilige lijst is een lijst met bestanden die zijn aangemerkt als veilig binnen de omgeving en die handmatig zijn goedgekeurd door hun SHA256-hash en eventuele aanvullende informatie in deze lijst te plaatsen. Wanneer een SHA256-hash in deze lijst wordt geplaatst en het bestand wordt uitgevoerd, wordt het niet geëvalueerd door de lokale of cloudbedreigingsmodellen. Dit zijn "absolute" bestandspaden.

Voorbeelden van uitsluitingen:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Beveiligingsinstellingen

Onveilige actieve processen en hun subprocessen beëindigen

Wanneer Kill unsafe actieve processen en hun subprocessen is ingeschakeld, bepaalt dit of een bedreiging onderliggende processen genereert of dat de applicatie andere processen heeft overgenomen die momenteel in het geheugen worden uitgevoerd. Als er een overtuiging bestaat dat een proces is overgenomen door een bedreiging, worden de primaire bedreiging en alle processen die het heeft gegenereerd of momenteel bezit, onmiddellijk beëindigd.

Detectie van bedreigingen op de achtergrond

Indien ingeschakeld scant detectie van achtergrondbedreigingen het hele apparaat op een draagbaar uitvoerbaar bestand, evalueert dat uitvoerbare bestand vervolgens met het lokale bedreigingsmodel en vraagt om bevestiging voor de score van het uitvoerbare bestand met de cloudgebaseerde SaaS op basis van de bedreigingsindicatoren van het uitvoerbare bestand. Er zijn twee opties mogelijk met Detectie van achtergrondbedreigingen: Voer één keer uit en voer terugkerend uit. Run Once voert een achtergrondscan uit van alle fysieke schijven die op het apparaat zijn aangesloten op het moment dat Threat Defense wordt geïnstalleerd en geactiveerd. Run Recurring voert een achtergrondscan uit van alle apparaten die op het apparaat zijn aangesloten op het moment dat Threat Defense wordt geïnstalleerd en geactiveerd. De scan wordt elke negen dagen herhaald (niet configureerbaar).

Controleren op nieuwe bestanden

Wanneer Controleren op nieuwe bestanden is ingeschakeld, wordt elk draagbaar uitvoerbaar bestand dat op het apparaat wordt geïntroduceerd onmiddellijk geëvalueerd met de bedreigingsindicatoren die het weergeeft met behulp van het lokale model, en wordt deze score bevestigd tegen de in de cloud gehoste SaaS.

Bestandsvoorbeelden kopiëren

Met voorbeelden van kopieerbestanden kunnen bedreigingen die op het apparaat worden aangetroffen, automatisch worden geblokkeerd naar een gedefinieerde repository op basis van het UNC-pad. Dit wordt alleen aanbevolen voor intern onderzoek naar bedreigingen of voor een veilige opslagplaats van verpakte bedreigingen binnen de omgeving. Alle bestanden die zijn opgeslagen door Copy File Samples worden gezipt met een wachtwoord van infectedte installeren.

Agentinstellingen

Automatisch uploaden van logbestanden inschakelen

Met Automatische upload van logbestanden kunnen eindpunten hun logbestanden uploaden voor Dell Threat Defense elke nacht om middernacht, of wanneer het bestand 100 MB bereikt. Logboeken worden elke nacht geüpload, ongeacht de bestandsgrootte. Alle logboeken die worden overgedragen, worden gecomprimeerd voordat ze het netwerk verlaten.

Bureaubladmelding inschakelen

Met Melding op het bureaublad inschakelen kunnen apparaatgebruikers prompts op hun apparaat toestaan als een bestand als abnormaal of onveilig is gemarkeerd. Dit is een optie in het snelmenu van het Dell Threat Defense-systeemvakpictogram op eindpunten waarop deze policy is ingeschakeld.

Scriptcontrole

Scriptcontrole

Script Control werkt via een op geheugenfilters gebaseerde oplossing om scripts te identificeren die op het apparaat worden uitgevoerd en deze te voorkomen als het beleid is ingesteld op Blokkeren voor dat scripttype. Waarschuwingsinstellingen op deze beleidsregels markeren alleen scripts die zouden zijn geblokkeerd in logboeken en op de Dell Threat Defense-console.

1370 en lager

Dit beleid is van toepassing op klanten vóór 1370, die vóór juni 2016 beschikbaar waren. Met deze versies wordt alleen actie ondernomen op actieve scripts en op PowerShell gebaseerde scripts.

1380 en hoger

Deze policy's zijn van toepassing op clients van ná 1370, die beschikbaar waren ná juni 2016.

Active Script

Actieve scripts omvatten elk script dat wordt geïnterpreteerd door de Windows-scripthost, inclusief JavaScript, VBScript, batchbestanden en vele andere.

Powershell

PowerShell-scripts omvatten elk script met meerdere regels dat als één opdracht wordt uitgevoerd. (Standaardinstelling - Waarschuwing)

Block PowerShell Console Usage - (not present when PowerShell is ingesteld to Alert)

In PowerShell v3 (geïntroduceerd in Windows 8.1) en later worden de meeste PowerShell-scripts uitgevoerd als een eenregelige opdracht; Hoewel ze meerdere regels kunnen bevatten, worden ze in volgorde uitgevoerd. Hiermee kan de PowerShell-scriptinterpreter worden omzeild. Block PowerShell console werkt hier omheen door de mogelijkheid uit te schakelen om elke applicatie de PowerShell console te laten starten. De Integrated Scripting Environment (ISE) wordt niet beïnvloed door deze policy.

Macro's

De instelling Macro interpreteert macro's die aanwezig zijn in Office-documenten en PDF's en blokkeert schadelijke macro's die mogelijk proberen bedreigingen te downloaden.

Scriptcontrole uitschakelen

Met deze policy's wordt de mogelijkheid om waarschuwingen te ontvangen over het scripttype dat in elke policy is gedefinieerd, volledig uitgeschakeld. Als deze optie is uitgeschakeld, worden geen logboekdata verzameld en wordt geen poging gedaan om potentiële bedreigingen te detecteren of te blokkeren.

Active Script

Als deze optie is aangevinkt, voorkomt dit dat logboeken worden verzameld en worden mogelijke op Active Script gebaseerde bedreigingen geblokkeerd. Actieve scripts omvatten elk script dat wordt geïnterpreteerd door de Windows-scripthost, inclusief JavaScript, VBScript, batchbestanden en vele andere.

Powershell

Als deze optie is aangevinkt, voorkomt dit dat logboeken worden verzameld en worden mogelijke op PowerShell gebaseerde bedreigingen geblokkeerd. PowerShell-scripts omvatten elk script met meerdere regels dat als één opdracht wordt uitgevoerd.

Macro's

Als deze optie is aangevinkt, wordt voorkomen dat logboeken worden verzameld en worden mogelijke macro-gebaseerde bedreigingen geblokkeerd. De instelling Macro interpreteert macro's die aanwezig zijn in Office-documenten en PDF's en blokkeert schadelijke macro's die mogelijk proberen bedreigingen te downloaden.

Mapuitsluitingen (inclusief submappen)

Met Mapuitsluitingen kunt u mappen definiëren waarin scripts kunnen worden uitgevoerd die kunnen worden uitgesloten. In deze sectie wordt gevraagd om uitsluitingen in een relatieve padindeling.

  • Mappaden kunnen wijzen naar een lokaal station, een gekoppeld netwerkstation of een pad van een Universal Naming Convention (UNC).
  • Uitsluiting van scriptmappen moet het relatieve pad van de map of submap opgeven.
  • Elk opgegeven mappad bevat ook eventuele submappen.
  • Uitsluitingen met jokertekens moeten voorwaartse schuine strepen gebruiken in de UNIX-stijl voor Windows-computers. Voorbeeld: /windows/system*/te installeren.
  • Het enige teken dat wordt ondersteund voor jokertekens is *.
  • Mapuitsluitingen met een jokerteken moeten een schuine streep hebben aan het einde van het pad om onderscheid te kunnen maken tussen een map en een bestand.
    • Uitsluiting van mappen: /windows/system32/*/
    • Bestandsuitsluiting: /windows/system32/*
  • Er moet een jokerteken worden toegevoegd voor elk niveau van de mapdiepte. Bijvoorbeeld, /folder/*/script.vbs lucifers \folder\test\script.vbs of \folder\exclude\script.vbs maar werkt niet voor \folder\test\001\script.vbste installeren. Dit vereist het volgende /folder/*/001/script.vbs of /folder/*/*/script.vbste installeren.
  • Jokertekens ondersteunen volledige en gedeeltelijke uitsluitingen.
    • Voorbeeld van een volledig jokerteken: /folder/*/script.vbs
    • Voorbeeld van een gedeeltelijk jokerteken: /folder/test*/script.vbs
  • Netwerkpaden worden ook ondersteund met jokertekens.
    • //*/login/application
    • //abc*/logon/application

Juist (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows): \Cases\ScriptsAllowed
Onjuist: C:\Application\SubFolder\application.vbs
Onjuist: \Program Files\Dell\application.vbs

Voorbeelden van jokertekens:

/users/*/temp zou betrekking hebben op:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs zou betrekking hebben op:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.

Additional Information

 

Videos

 

Affected Products

Dell Threat Defense
Article Properties
Article Number: 000124588
Article Type: How To
Last Modified: 04 Nov 2024
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.