更新 Dell Endpoint Security Suite Enterprise Advanced Threat Protection 检测方法
Resumen: 更新 Dell Endpoint Security Suite Enterprise 或 Dell Threat Defense 可能会导致威胁评估方式发生变化。
Síntomas
- 从 2022 年 5 月起,Dell Endpoint Security Suite Enterprise 停止维护。戴尔不再更新本文。有关更多信息,请参阅 戴尔数据安全产品生命周期(支持终止/停售)政策。如果您对其他文章有任何疑问,请联系您的销售团队或联系 endpointsecurity@dell.com。
- 从 2022 年 5 月起,Dell Threat Defense 停止维护。戴尔不再更新本文。有关更多信息,请参阅 戴尔数据安全产品生命周期(支持终止/停售)政策。如果您对其他文章有任何疑问,请联系您的销售团队或联系 endpointsecurity@dell.com。
- 请参阅端点安全性,了解有关当前产品的其他信息。
受影响的产品:
- Dell Endpoint Security Suite Enterprise
- Dell Threat Defense
受影响的版本:
- 1.2.137 倍
- 1.2.139 倍
- 2.0.145 倍
Causa
Dell Data Protection 的高级威胁防护产品;Dell Threat Defense 和 Dell Endpoint Security Suite Enterprise 可能会偶尔进行更新,以改变威胁的评估方式。这些更新通常称为“型号”更新,因为它们是威胁模型的更新。
Resolución
为了帮助用户了解新模型可能如何影响他们的组织,控制台中的 Protection 页面上有两列。您可以使用“Production Status”和“New Status”比较来查看模型更改为受影响的设备上的哪些文件。
在全面部署生产之前,用户应测试新型号。这应该会更大限度地减少因型号更改而导致的任何意外中断。
您应该注意的情形包括:
- 在当前模型中被视为安全的文件可能会在新型号中更改为 不安全 。如果您的组织需要该文件,您可以将其添加到 Safelist 中。
- 当前模型从未看到或评分的文件,新模型认为它不安全。如果您的组织需要该文件,您可以将其添加到 Safelist 中。
新的保护列
这两列包括:生产状态和新状态:
- 生产状态:显示文件的当前型号状态(安全、异常或不安全)
- 新状态:在新型号中显示文件的型号状态
仅显示在组织中的设备上存在威胁评分更改的文件。某些文件可能具有威胁评分更改,但仍处于其当前状态。
示例:
文件的威胁评分从 10 到 20,文件状态将保持异常,并且文件将显示在更新的模型列表中(如果此文件存在于组织中的设备上)。
要查看 Current Model 和 New Model 列:
- 登录到 Dell Data Protection Remote Management Console,选择 Populations -> Enterprise -> Advanced Threat ,然后选择 Protection 选项卡。
- 单击列标题上的向下箭头。
- 选择“Production Status”和“New Status”列。
- 单击向下箭头或单击页面上的任意位置以关闭列选项菜单。
现在,您可以查看两种威胁模型之间的差异。
您应该了解的两种情形包括:
- 当前型号 = 安全,新型号 = 异常或不安全
- 您的组织将文件视为“安全”或“分类”为“受信任本地”。
- 您的组织已将“异常”或“不安全”设置为“自动隔离”(AQT)。
- 当前型号 = 空(未看到或评分),新型号 = 异常或不安全
- 您的组织将文件视为“安全”或“分类”为“受信任本地”。
- 您的组织已将“异常”或“不安全”设置为“自动隔离”(AQT)。
在上述情况下,建议将您希望在组织中允许的文件列入安全列表。
识别分类
为了确定可能影响您的组织的分类,我们建议采用以下方法:
- 将筛选器应用到 New Model 列,以显示所有不安全、异常和隔离的文件。如果您的策略设置为 自动隔离 ,则无法看到任何不安全或异常文件,因为这些威胁已被隔离。
- 将筛选器应用到“生产状态”列以显示所有安全文件。
- 将筛选器应用于“分类”列,以仅显示受信任 - 本地威胁。受信任 - 使用戴尔的 ATP 分析本地文件,并发现这些文件是安全的(在审查后将这些项目列入安全列表)。如果筛选列表中有大量文件,则可能需要使用更多属性进行优先级排序。示例:将筛选器添加到“后台检测”列,以查看执行控制发现的威胁。当用户尝试运行应用程序时,这些内容被判定不起眼,并且需要比后台威胁检测或文件监视程序认定的休眠文件更紧急。
图 1:(仅限英文)高级威胁
建议的生产部署
本节概述了帮助用户升级到较新的预测模型的战略。强烈建议将代理分配给为不安全和异常文件启用自动隔离的策略。
使用自动隔离自动更新
如果代理设置为 自动更新 ,则应在发布新的预测模型时禁用代理的自动更新。如果无法禁用自动隔离或测试新代理,请提醒您的 Dell Data Protection 管理员。他们可能想要将分类错误的项目列入安全列表,以取消阻止用户。
使用自动隔离进行手动更新
如果您手动更新代理,则无需担心自动更新。建议您在更新代理之前使用以下说明。
- 在一组具有代表性的计算机上测试新代理(使用新型号)。理想情况下,这些测试机将置于自动隔离策略中。如果安全应用程序被阻止,请将文件添加到您的安全列表。
- 测试完成后,将新代理部署到您的所有计算机。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。