Рекомендации по политикам Dell Threat Defense

Рекомендуется настраивать политики в режиме обучения или в режиме защиты. Режим обучения — это способ, в котором Dell Technologies рекомендует тестировать Dell Threat Defense в среде. Это наиболее эффективно, если Dell Threat Defense развертывается на конечных устройствах со стандартным корпоративным образом.

Для серверов приложений могут потребоваться дополнительные изменения из-за более высокого объема ввода-вывода по сравнению с обычным диском.

После того как администратор рассмотрит все оповещения в консоли администрирования Dell Threat Defense, Dell Technologies рекомендует переключиться на рекомендации политики Режим защиты. Dell Technologies рекомендует провести тестирование в режиме обучения не менее двух недель, прежде чем переходить в режим защиты.

Для получения дополнительной информации нажмите Рекомендации сервера приложений, Режим обучения или Режим защиты.

Рекомендации по серверу приложений

В режимах обучения и защиты серверы приложений могут видеть дополнительные издержки и разнородное поведение для клиентских операционных систем. В редких случаях функция автоматического карантина (AQT) не позволяет запускать некоторые файлы до тех пор, пока не будет рассчитана оценка. Это происходит, когда приложение обнаруживает блокировку файлов из-за несанкционированного доступа, или процесс может не завершиться успешно в ожидаемый период времени.

Если функция «Просмотр новых файлов» включена, это может замедлить работу устройства. При создании нового файла выполняется его анализ. Хотя этот процесс не требует много ресурсов, одновременный анализ большого объема файлов может привести к снижению производительности.

Рекомендуемые изменения политик для операционных систем Windows Server:

• Включите Background Threat Detection и запустите его один раз.
• Убедитесь, что параметр Execution Control включен.
• Отключить просмотр новых файлов.

В соответствии с этими рекомендациями обычно также рекомендуется размещать устройства под управлением серверных операционных систем в отдельных зонах. Подробнее о создании зон см. в статье Управление зонами в Dell Threat Defense.

Режим обучения

Таблица 1. Действия с файлами в режиме обучения

Политика	Рекомендуемая настройка
Автоматический карантин с контролем выполнения для небезопасных	Disabled
Автоматический карантин с контролем выполнения для аномальных	Disabled
Включить автоудаление для файлов в карантине	Disabled
Автоматическая выгрузка	Enabled
Список безопасных политик	Зависит от среды

Таблица 2. Параметры защиты в режиме обучения

Политика	Рекомендуемая настройка
Prevent Service Shutdown from Device	Disabled
Kill unsafe running processes and their sub processes	Disabled
Background Threat Detection	Disabled
Запустить однократно/Запускать регулярно	Не применяется, если для параметра «Защита от угроз в фоновом режиме» установлено значение «Отключено»
Просмотр новых файлов	Disabled
Copy File Samples	Зависит от среды

Таблица 3. Параметры агента в режиме обучения

Политика	Рекомендуемая настройка
Включить автоматическую отправку файлов журналов	Зависит от среды
Включить уведомление на рабочем столе	Зависит от среды

Таблица 4. Управление сценариями в режиме обучения

Политика	Рекомендуемая настройка
Script Control	Enabled
1370 и ниже: Active Script и PowerShell	Alert
1380 и выше: Active Script	Alert
1380 и выше: PowerShell	Alert
Блокировать использование консоли PowerShell	Не применяется, если для PowerShell задано значение «Alert».
1380 и выше: макросы	Alert
Отключить Active Script управления сценариями	Disabled
Отключить PowerShell управления сценариями	Disabled
Отключить макросы управления сценариями	Disabled
Folder Exclusions (includes subfolders)	Зависит от среды

Режим защиты

Таблица 5. Действия с файлами в режиме защиты

Политика	Рекомендуемая настройка
Автоматический карантин с контролем выполнения для небезопасных	Enabled
Автоматический карантин с контролем выполнения для аномальных	Enabled
Включить автоудаление для файлов в карантине	Зависит от среды
Автоматическая выгрузка	Зависит от среды
Список безопасных политик	Зависит от среды

Таблица 6. Параметры защиты в режиме защиты

Политика	Рекомендуемая настройка
Prevent Service Shutdown from Device	Enabled
Kill unsafe running processes and their sub processes	Enabled
Background Threat Detection	Enabled
Запустить однократно/Запускать регулярно	Run Once
Просмотр новых файлов	Enabled
Copy File Samples	Зависит от среды

Таблица 7. Параметры агента режима защиты

Политика	Рекомендуемая настройка
Включить автоматическую отправку файлов журналов	Зависит от среды
Включить уведомление на рабочем столе	Зависит от среды

Таблица 8. Управление сценариями в режиме защиты

Политика	Рекомендуемая настройка
Script Control	Enabled
1370 и ниже: Active Script и PowerShell	Заблокировать
1380 и выше: Active Script	Заблокировать
1380 и выше: PowerShell	Заблокировать
Блокировать использование консоли PowerShell	Заблокировать
1380 и выше: макросы	Заблокировать
Отключить Active Script управления сценариями	Disabled
Отключить PowerShell управления сценариями	Disabled
Отключить макросы управления сценариями	Disabled
Folder Exclusions (includes subfolders)	Зависит от среды

Определения политик Threat Defense

Действия с файлами

Автоматический карантин с контролем выполнения для небезопасных

Эта политика определяет, что происходит с файлами, которые обнаруживаются во время их запуска. По умолчанию: даже если небезопасный файл определяется как выполняющийся, угроза будет заблокирована. Небезопасный характеризуется совокупной оценкой переносимого исполняемого файла, превышающей 60 баллов в системе оценки Advanced Threat Prevention, основанной на оцененных индикаторах угроз.

Автоматический карантин с контролем выполнения для аномальных

Эта политика определяет, что происходит с файлами, которые обнаруживаются во время их запуска. По умолчанию: даже если аномальный файл определяется как выполняющийся, угроза будет заблокирована. «Аномальный» характеризуется совокупной оценкой для переносимого исполняемого файла, которая превышает 0, но не превышает 60 в системе оценки Advanced Threat Prevention. Система скоринга основана на показателях угроз, которые были оценены.

Включить автоудаление для файлов в карантине

Если небезопасные или аномальные файлы помещаются в карантин на основе карантина на уровне устройства, глобальных списков карантина или политик автоматического карантина, они будут храниться в локальном изолированном кэше карантина на локальном устройстве. Если параметр Включить автоматическое удаление для файлов, помещенных в карантин, указано количество дней (минимум 14 дней, максимум 365 дней), в течение которых файл должен храниться на локальном устройстве, прежде чем файл будет окончательно удален. Когда эта функция включена, можно менять количество дней.

Автоматическая выгрузка

Помечает угрозы, которые не были обнаружены SaaS-средой Threat Defense, для дальнейшего анализа. Когда файл помечен локальной моделью как потенциальная угроза, хэш SHA256 берется из переносимого исполняемого файла и отправляется в SaaS. Если отправленный хэш SHA256 не может быть сопоставлен с угрозой, и включена автоматическая отправка, это позволяет безопасно отправить угрозу в SaaS для оценки. Эти данные хранятся в безопасном месте и недоступны для компании Dell и ее партнеров.

Список безопасных политик

Список безопасных файлов в политике — это список файлов, которые были признаны безопасными в среде и были отклонены вручную путем отправки хэша SHA256 и любой дополнительной информации в этот список. Когда хэш SHA256 помещается в этот список, файл при запуске не будет оцениваться локальной или облачной моделью угроз. Это «абсолютные» пути к файлам.

Примеры исключений:

Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Protection Settings

Kill unsafe running processes and their sub processes

Если включен параметр Завершать небезопасные запущенные процессы и их подпроцессы , это определяет, порождает ли угроза дочерние процессы или приложение взяло на себя другие процессы, которые в данный момент выполняются в памяти. Если есть предположение, что процесс был захвачен угрозой, первичная угроза и все процессы, которые она породила или которыми она владеет в настоящее время, немедленно завершаются.

Background Threat Detection

При включении функции фонового обнаружения угроз все устройство сканируется на наличие любых портативных исполняемых файлов, а затем оценивается этот исполняемый файл с помощью локальной модели угроз и запрашивается подтверждение для оценки исполняемого файла с помощью облачного SaaS на основе индикаторов угроз исполняемого файла. При использовании функции фонового обнаружения угроз возможны два варианта: Запуск один раз и запуск повторения. Запустить один раз выполняет фоновое сканирование всех физических накопителей, подключенных к устройству, в момент установки и активации Threat Defense. Повторяющийся запуск выполняет фоновое сканирование всех устройств, подключенных к устройству, в момент установки и активации Threat Defense. Сканирование повторяется каждые девять дней (не настраивается).

Просмотр новых файлов

Если включена функция «Отслеживание новых файлов », любой портативный исполняемый файл, который появляется на устройстве, немедленно оценивается с помощью индикаторов угроз, которые отображаются с использованием локальной модели, и эта оценка подтверждается с помощью облачного SaaS.

Copy File Samples

Copy File Samples позволяет автоматически депонировать любые угрозы, обнаруженные на устройстве, в определенный репозиторий на основе UNC-пути. Это рекомендуется только для исследования внутренних угроз или для содержания безопасного репозитория запакованных угроз в среде. Все файлы, хранящиеся в Copy File Samples , заархивируются с паролем infected.

Agent Settings

Включить автоматическую отправку файлов журналов

Включение автоматической загрузки файлов журналов позволяет конечным точкам загружать свои файлы журналов для Dell Threat Defense каждую ночь в полночь или когда размер файла достигает 100 Мбайт. Журналы отправляются каждую ночь независимо от размера файла. Все переданные журналы сжимаются перед выходом из сети.

Включить уведомление на рабочем столе

Включение уведомлений на рабочем столе позволяет пользователям устройств разрешать отправку запросов, если файл помечен как ненормальный или небезопасный. Этот пункт содержится в контекстном меню значка Dell Threat Defense на панели задач конечных устройств с включенной политикой.

Script Control

Script Control

Управление сценариями работает с помощью решения на основе фильтра памяти для выявления сценариев, выполняемых на устройстве, и предотвращения их, если для этого типа сценариев задано значение «Block». Настройки оповещений в этих политиках содержат только те сценарии, которые были заблокированы в журналах и на консоли Dell Threat Defense.

1370 и ниже

Эти политики применяются к клиентам до версии 1370, которые были выпущены до июня 2016 года. С этими версиями работают только сценарии на основе Active Script и PowerShell.

1380 и выше

Эти политики применяются к клиентам версии 1370 и выше, которые были выпущены после июня 2016 года.

Active Script

Сценарии Active Script включают любой сценарий, интерпретируемый хостом сценариев Windows, включая JavaScript, VBScript, пакетные файлы и многое другое.

PowerShell

Сценарии PowerShell включают любой многострочный сценарий, который выполняется как одна команда. (Настройка по умолчанию — «Оповещение»)

Блокировать использование консоли PowerShell (отсутствует, если для PowerShell установлено значение «Оповещение»)

В PowerShell v3 (начиная с Windows 8.1) и более поздних версиях большинство сценариев PowerShell выполняются как одна команда; хотя они могут содержать несколько строк, они выполняются в порядке очереди. Это может обойти интерпретатор сценария PowerShell. Блокировка консоли PowerShell позволяет обойти такое поведение, отключая для любого приложения возможность запуска консоли PowerShell. Эта политика не влияет на интегрированную среду сценариев (ISE).

Macros

Параметр «Макрос» интерпретирует макросы, содержащиеся в документах Office и PDF, и блокирует вредоносные макросы, которые могут попытаться скачать угрозы.

Отключить управление сценариями

Эти политики полностью запрещают даже оповещение о типе сценария, определенном в каждой политике. Если эта функция отключена, сбор журналов не выполняется и попытки обнаружения или блокировки потенциальных угроз не предпринимаются.

Active Script

Если этот флажок установлен, предотвращает сбор журналов и блокирует любые потенциальные угрозы на основе активных сценариев. Сценарии Active Script включают любой сценарий, интерпретируемый хостом сценариев Windows, включая JavaScript, VBScript, пакетные файлы и многое другое.

PowerShell

Если этот флажок установлен, предотвращает сбор журналов и блокирует любые потенциальные угрозы на основе PowerShell. Сценарии PowerShell включают любой многострочный сценарий, который выполняется как одна команда.

Macros

Если этот флажок установлен, предотвращает сбор журналов и блокирует любые потенциальные угрозы на основе макросов. Параметр «Макрос» интерпретирует макросы, содержащиеся в документах Office и PDF, и блокирует вредоносные макросы, которые могут попытаться скачать угрозы.

Folder Exclusions (includes subfolders)

Исключения папок позволяют определять папки, в которых могут выполняться сценарии, доступные для исключения. В этом разделе исключения запрашиваются в формате относительного пути.

• Пути к папкам могут быть на локальных дисках, подключенных сетевых дисках или являться универсальным путем именования (UNC).
• Исключения папок сценариев должны указывать относительный путь к папке или подпапке.
• Любой указанный путь к папке также включает любые подпапки.
• В исключениях с подстановочными знаками для компьютеров Windows должны использоваться косые черты в стиле UNIX. Пример. /windows/system*/.
• Из подстановочных знаков поддерживается только символ *.
• Исключения папок с подстановочным знаком должны иметь косую черту в конце пути, чтобы различать папки и файлы.
  • Исключение папки: /windows/system32/*/
  • Исключение файла: /windows/system32/*
• Для каждого уровня глубины папки необходимо добавлять подстановочный знак. Например: /folder/*/script.vbs спички \folder\test\script.vbs или \folder\exclude\script.vbs но не работает для \folder\test\001\script.vbs. Для этого потребуется либо /folder/*/001/script.vbs или /folder/*/*/script.vbs.
• Подстановочные знаки поддерживают полное и частичное исключение.
  • Пример полного подстановочного знака: /folder/*/script.vbs
  • Пример частичного подстановочного знака: /folder/test*/script.vbs
• Сетевые пути также поддерживаются подстановочными знаками.
  • //*/login/application
  • //abc*/logon/application

Правильный (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Правильный (Windows): \Cases\ScriptsAllowed
Неправильно: C:\Application\SubFolder\application.vbs
Неправильно: \Program Files\Dell\application.vbs

Примеры подстановочных знаков:

/users/*/temp охватывает:

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs охватывает:

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs