Recomendaciones de políticas de Dell Threat Defense

Se recomienda configurar las políticas en el Modo de aprendizaje o Modo de protección. El modo de aprendizaje es la forma en que Dell Technologies recomienda probar Dell Threat Defense en un entorno. Esto es más eficaz cuando Dell Threat Defense se implementa en terminales con la imagen de la empresa estándar.

Es posible que se requieran más cambios en los servidores de aplicaciones, debido a una mayor cantidad de I/O en el disco de lo normal.

Una vez que el administrador haya abordado todas las alertas en la consola de administración de Dell Threat Defense, Dell Technologies recomienda cambiar a las recomendaciones de políticas del modo de protección. Dell Technologies recomienda un par de semanas o más de pruebas en el modo de aprendizaje antes de cambiar a las políticas del modo de protección.

Haga clic en Recomendaciones del servidor de aplicaciones, Modo de aprendizaje o Modo de protección para obtener más información.

Recomendaciones para el servidor de aplicaciones

En los modos de aprendizaje y de protección, los servidores de aplicaciones pueden experimentar un comportamiento sobrecargado y diferente en los sistemas operativos del cliente. En pocas ocasiones, la cuarentena automática (AQT) impedía la ejecución de algunos archivos hasta que se pudiera calcular una calificación. Esto se ha observado cuando una aplicación detecta el bloqueo de sus archivos como manipulación, o cuando un proceso puede no completarse con éxito en un plazo previsto.

Si la opción Buscar nuevos archivos está activada, es posible que se ralenticen las operaciones del dispositivo. Cuando se genera un nuevo archivo, se realiza un análisis a este. Aunque este proceso es ligero, un gran volumen de archivos a la vez puede causar un impacto en el rendimiento.

Cambios de políticas sugeridos para sistemas operativos Windows Server:

• Habilite la detección de amenazas en segundo plano y haga que se ejecute una vez.
• Asegúrese de que Execution Control esté Enabled.
• Deshabilite Buscar nuevos archivos.

Por lo general, junto con estas recomendaciones, también se sugiere contener los dispositivos que ejecutan sistemas operativos de servidor en zonas separadas. Para obtener información sobre la generación de zonas, consulte Cómo administrar zonas en Dell Threat Defense.

Modo de aprendizaje

Tabla 1: Acciones de archivos del modo de aprendizaje

Política	Configuración recomendada
Cuarentena automática con control de ejecución para no seguro	Deshabilitado
Cuarentena automática con control de ejecución para anómalo	Deshabilitado
Habilitar la eliminación automática de los archivos en cuarentena	Deshabilitado
Carga automática	Habilitado
Lista segura de políticas	Dependiente del entorno

Tabla 2: Configuración de la protección del modo de aprendizaje

Política	Configuración recomendada
Impedir el apagado del servicio desde el dispositivo	Deshabilitado
Cerrar procesos en ejecución no seguros y los subprocesos	Deshabilitado
Detección de amenazas de fondo	Deshabilitado
Ejecutar una vez/ejecutar de forma periódica	No se aplica cuando la protección contra amenazas en segundo plano está establecida en Deshabilitada
Buscar nuevos archivos	Deshabilitado
Copiar muestras de archivos	Dependiente del entorno

Tabla 3: Ajustes del agente del modo de aprendizaje

Política	Configuración recomendada
Habilitar la carga automática de archivos de registro	Dependiente del entorno
Habilitar notificación en escritorio	Dependiente del entorno

Tabla 4: Control de scripts del modo de aprendizaje

Política	Configuración recomendada
Control de scripts	Habilitado
Script activo y PowerShell 1370 y versiones anteriores	Alerta
Script activo 1380 y versiones posteriores	Alerta
PowerShell 1380 y versiones posteriores	Alerta
Bloquear el uso de la consola de PowerShell	No se aplica cuando PowerShell está configurado en Alerta
Macros 1380 y versiones posteriores	Alerta
Deshabilitar el script activo de control de script	Deshabilitado
Deshabilitar PowerShell de control de script	Deshabilitado
Deshabilitar macros de control de script	Deshabilitado
Exclusiones de carpetas (incluye subcarpetas)	Dependiente del entorno

Modo de protección

Tabla 5: Acciones de archivos en modo de protección

Política	Configuración recomendada
Cuarentena automática con control de ejecución para no seguro	Habilitado
Cuarentena automática con control de ejecución para anómalo	Habilitado
Habilitar la eliminación automática de los archivos en cuarentena	Dependiente del entorno
Carga automática	Dependiente del entorno
Lista segura de políticas	Dependiente del entorno

Tabla 6: Ajustes de protección del modo de protección

Política	Configuración recomendada
Impedir el apagado del servicio desde el dispositivo	Habilitado
Cerrar procesos en ejecución no seguros y los subprocesos	Habilitado
Detección de amenazas de fondo	Habilitado
Ejecutar una vez/ejecutar de forma periódica	Ejecutar una vez
Buscar nuevos archivos	Habilitado
Copiar muestras de archivos	Dependiente del entorno

Tabla 7: Ajustes del agente del modo de protección

Política	Configuración recomendada
Habilitar la carga automática de archivos de registro	Dependiente del entorno
Habilitar notificación en escritorio	Dependiente del entorno

Tabla 8: Control de scripts en modo de protección

Política	Configuración recomendada
Control de scripts	Habilitado
Script activo y PowerShell 1370 y versiones anteriores	Bloquear
Script activo 1380 y versiones posteriores	Bloquear
PowerShell 1380 y versiones posteriores	Bloquear
Bloquear el uso de la consola de PowerShell	Bloquear
Macros 1380 y versiones posteriores	Bloquear
Deshabilitar el script activo de control de script	Deshabilitado
Deshabilitar PowerShell de control de script	Deshabilitado
Deshabilitar macros de control de script	Deshabilitado
Exclusiones de carpetas (incluye subcarpetas)	Dependiente del entorno

Definiciones de la política de Threat Defense:

Acciones de archivos

Cuarentena automática con control de ejecución para no seguro

Esta política determina lo que sucede con los archivos que se detectan mientras se ejecutan. La amenaza se bloquea de manera predeterminada, incluso cuando se detecta un archivo no seguro en estado de ejecución. No seguro se caracteriza por un puntaje acumulativo para el ejecutable portátil que supera 60 dentro del sistema de puntaje de Advanced Threat Prevention que se basa en indicadores de amenazas que se evaluaron.

Cuarentena automática con control de ejecución para anómalo

Esta política determina lo que sucede con los archivos que se detectan mientras se ejecutan. La amenaza se bloquea de manera predeterminada, incluso cuando se detecta un archivo anómalo en estado de ejecución. Lo anómalo se caracteriza por una puntuación acumulativa para el ejecutable portátil que supera 0, pero no supera 60 dentro del sistema de puntuación de Advanced Threat Prevention. El sistema de puntuación se basa en indicadores de amenazas que han sido evaluados.

Habilitar la eliminación automática de los archivos en cuarentena

Cuando los archivos no seguros o anómalos se ponen en cuarentena según las cuarentenas a nivel de dispositivo, las listas de cuarentena global o las políticas de cuarentena automática, estos se conservan en una caché de cuarentena local en un espacio aislado dentro del sistema local. Cuando la opción Habilitar eliminación automática para archivos en cuarentena está activada, indica la cantidad de días (mínimo de 14 días, máximo de 365 días) que se conservará el archivo en el dispositivo local antes de eliminarlo permanentemente. Cuando esta opción está habilitada, es posible realizar una modificación en la cantidad de días.

Carga automática

Marca las amenazas que el entorno de SaaS (software como servicio) de Threat Defense no detectó para un análisis más profundo. Cuando el modelo local marca un archivo como posible amenaza, se obtiene un hash SHA256 del archivo ejecutable portátil, el que se envía al SaaS. Si el algoritmo hash SHA256 enviado no se puede relacionar con una amenaza y la Carga automática está habilitada, se realizará una carga segura de la amenaza en el SaaS para evaluarla. Estos datos se almacenan de manera segura y Dell o sus socios no pueden acceder a ellos.

Lista segura de políticas

La Lista segura de políticas es una lista de archivos que se determinaron como seguros dentro del entorno y que se eximieron de forma manual mediante el envío del hash SHA256 y cualquier información adicional a esta lista. Cuando se coloca un hash SHA256 dentro de esta lista, cuando se ejecuta el archivo, los modelos de amenazas locales o en la nube no lo evalúan. Estas son rutas de archivo "absolutas".

Exclusiones de ejemplo:

Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Configuración de protección

Cerrar procesos en ejecución no seguros y los subprocesos

Cuando se habilita la opción Eliminar procesos en ejecución no seguros y sus subprocesos , esto determina si una amenaza está generando procesos secundarios o si la aplicación se ha apoderado de otros procesos que se están ejecutando actualmente en la memoria. Si existe la creencia de que una amenaza se ha apoderado de un proceso, la amenaza principal y cualquier proceso que haya generado o que posea actualmente se interrumpen de inmediato.

Detección de amenazas de fondo

Cuando se habilita, la detección de amenazas en segundo plano escanea todo el dispositivo en busca de cualquier archivo ejecutable portátil y, a continuación, evalúa ese archivo ejecutable con el modelo de amenaza local y solicita confirmación para la calificación del archivo ejecutable con el SaaS basado en la nube en función de los indicadores de amenazas del archivo ejecutable. Hay dos opciones posibles con la detección de amenazas en segundo plano: Ejecutar una vez y ejecutar de forma recurrente. Ejecutar una vez realiza un análisis en segundo plano de todas las unidades físicas que están conectadas al dispositivo en el momento en que se instala y activa Threat Defense. La ejecución recurrente realiza un análisis en segundo plano de todos los dispositivos conectados al dispositivo en el momento en que se instala y activa Threat Defense. Repite el escaneo cada nueve días (no se puede configurar).

Buscar nuevos archivos

Cuando la opción Buscar nuevos archivos está habilitada, cualquier archivo ejecutable portátil que se introduzca en el dispositivo se evalúa inmediatamente con los indicadores de amenazas que muestra mediante el modelo local, y este puntaje se confirma con respecto al SaaS alojado en la nube.

Copiar muestras de archivos

Copiar muestras de archivos permite que cualquier amenaza que se encuentre en el dispositivo se guarde automáticamente en un repositorio definido basado en la ruta UNC. Esto solo se recomienda para la investigación de amenazas interna o para mantener un repositorio seguro de las amenazas contenidas dentro del entorno. Todos los archivos almacenados por Copy File Samples se comprimen con la contraseña de infected.

Configuración del agente

Habilitar la carga automática de archivos de registro

Habilitar la carga automática de archivos de registro permite que los terminales carguen sus archivos de registro para Dell Threat Defense todas las noches a medianoche o cuando el archivo alcance los 100 MB. Los registros se cargan por la noche, sin importar el tamaño del archivo. Todos los registros que se transfieren se comprimen antes de que salgan de la red.

Habilitar notificación en escritorio

Habilitar notificación de escritorio permite que los usuarios del dispositivo permitan avisos en su dispositivo si un archivo está marcado como anormal o no seguro. Esta es una opción dentro del menú accesible haciendo clic con el botón secundario en el icono de la bandeja de Dell Threat Defense de los terminales con esta política habilitada.

Control de scripts

Control de scripts

El control de scripts funciona a través de una solución basada en filtros de memoria para identificar los scripts que se ejecutan en el dispositivo y evitarlos si la política está establecida en Bloquear para ese tipo de script. La configuración de alertas de estas políticas solo nota scripts que se habrían bloqueado dentro de los registros y en la consola de Dell Threat Defense.

1370 y versiones anteriores

Estas políticas se aplican a los clientes anteriores a la versión 1370, que estaba disponible antes de junio del 2016. En estas versiones, solo se realizan acciones en los scripts activos y los scripts basados en PowerShell.

1380 y versiones posteriores

Estas políticas se aplican a los clientes posteriores a la versión 1370, que estaba disponible después de junio del 2016.

Script activo

Los scripts activos incluyen cualquier script que se interprete mediante el host de script de Windows, incluidos JavaScript, VBScript, archivos por lotes y muchos otros.

PowerShell

Los scripts de PowerShell incluyen cualquier script de varias líneas que se ejecuta como un solo comando. (Configuración predeterminada: alerta)

Block PowerShell Console Usage: (no está presente cuando PowerShell está configurado en Alert)

En PowerShell v3 (presentado en Windows 8.1) y versiones posteriores, la mayoría de los scripts de PowerShell se ejecutan como un comando de una sola línea. Aunque pueden contener varias líneas, se ejecutan en orden. Esto puede omitir el intérprete de scripts de PowerShell. La opción Block PowerShell console funciona en torno a esto, ya que deshabilita la capacidad para que cualquier aplicación inicie la consola de PowerShell. Esta política no afecta al entorno de scripting integrado (ISE).

Macros

La configuración de Macro interpreta las macros que están presentes dentro de los documentos de Office y archivos PDF, y bloquea las macros maliciosas que puedan intentar descargar amenazas.

Deshabilitar el control de scripts

Estas políticas deshabilitan por completo la capacidad de incluso alertar sobre el tipo de script definido dentro de cada política. Cuando está deshabilitado, no se recolecta ningún registro y no se realiza ningún intento de detección o de bloqueo de posibles amenazas.

Script activo

Cuando se selecciona esta opción, evita la recopilación de registros y bloquea cualquier posible amenaza basada en Active Script. Los scripts activos incluyen cualquier script que se interprete mediante el host de script de Windows, incluidos JavaScript, VBScript, archivos por lotes y muchos otros.

PowerShell

Cuando se selecciona esta opción, evita la recopilación de registros y bloquea cualquier posible amenaza basada en PowerShell. Los scripts de PowerShell incluyen cualquier script de varias líneas que se ejecuta como un solo comando.

Macros

Cuando se selecciona esta opción, evita la recopilación de registros y bloquea cualquier posible amenaza basada en macros. La configuración de Macro interpreta las macros que están presentes dentro de los documentos de Office y archivos PDF, y bloquea las macros maliciosas que puedan intentar descargar amenazas.

Exclusiones de carpetas (incluye subcarpetas)

Las exclusiones de carpetas permiten definir las carpetas en las que se pueden ejecutar los scripts y en los que se pueden excluir. En esta sección, se solicitan exclusiones en un formato de ruta de acceso relativa.

• Las rutas de carpetas pueden ser un disco local, una unidad de red asignada o una ruta de convención de nomenclatura universal (UNC).
• Las exclusiones de la carpeta de script deben especificar la ruta de acceso relativa de la carpeta o subcarpeta.
• Todas las rutas de carpetas especificadas también incluyen las subcarpetas.
• Las exclusiones de comodines deben utilizar barras diagonales en el estilo UNIX para las computadoras Windows. Ejemplo: /windows/system*/.
• El único carácter compatible con los comodines es *.
• Las exclusiones de carpetas con un comodín deben contar con una barra diagonal al final de la ruta para diferenciar una carpeta de un archivo.
  • Exclusión de carpetas: /windows/system32/*/
  • Exclusión de archivos: /windows/system32/*
• Se debe agregar un comodín por cada nivel de profundidad de carpeta. Por ejemplo: /folder/*/script.vbs Partidos \folder\test\script.vbs o \folder\exclude\script.vbs pero no funciona para \folder\test\001\script.vbs. Para ello se requerirían: /folder/*/001/script.vbs o /folder/*/*/script.vbs.
• Los comodines admiten exclusiones completas y parciales.
  • Ejemplo de comodín completo: /folder/*/script.vbs
  • Ejemplo de comodín parcial: /folder/test*/script.vbs
• Las rutas de red también admiten comodines.
  • //*/login/application
  • //abc*/logon/application

Correcto (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correcto (Windows): \Cases\ScriptsAllowed
Incorrect: C:\Application\SubFolder\application.vbs
Incorrect: \Program Files\Dell\application.vbs

Ejemplos de comodín:

/users/*/temp cubriría:

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs cubriría:

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs