Como as ameaças são gerenciadas no Dell Endpoint Security Suite Enterprise
Resumen: Como as ameaças são gerenciadas pelo Dell Endpoint Security Suite Enterprise.
Síntomas
- Em maio de 2022, o Dell Endpoint Security Suite Enterprise deixou de receber manutenção. Este artigo não é mais atualizado pela Dell. Para obter mais informações, consulte a Política de ciclo de vida útil do produto (fim do suporte/fim da vida útil) do Dell Data Security. Se você tiver alguma dúvida sobre artigos alternativos, entre em contato com sua equipe de vendas ou envie um e-mail para endpointsecurity@dell.com.
- Consulte Segurança de endpoints para obter mais informações sobre os produtos atuais.
Produtos afetados:
- Dell Endpoint Security Suite Enterprise
O componente Advanced Threat Protection Client do Dell Endpoint Security Suite Enterprise usa três fases na redução de ameaças:
- Detecção: Como uma ameaça é localizada.
- Análise: Como um arquivo é identificado como uma ameaça.
- Correção: Como as ameaças são tratadas
- Este artigo destina-se a uma visão geral alta sobre o processo de redução de ameaças.
- Se o modelo local for atualizado com uma atualização de cliente ATP, uma detecção de ameaças em segundo plano será iniciada para o Dell Endpoint Security Suite Enterprise e poderá ocorrer uma nova pontuação de todas as ameaças. Para obter mais informações, consulte Atualizações para o método de detecção do Dell Endpoint Security Suite Enterprise Advanced Threat Protection.
Causa
Não aplicável
Resolución
Figura 1: (Somente em inglês) Fase de detecção
Hash de arquivo: Inicialmente, o client do Advanced Threat Protection verifica se a soma de verificação do arquivo (conhecida como hash) foi identificada anteriormente como uma ameaça. O hash pode ser definido como:
- Lista segura o arquivo
- Colocar o arquivo em quarentena
Se um hash não estiver disponível, o Advanced Threat Protection detectará ameaças por meio de:
- Controle de execução: Arquivos iniciados (executar)
- Varredura de processos: Processos em execução e configurados para inicialização automática
- Proteção de memória: Dados na memória
- Detecção de ameaças em segundo plano: O Advanced Threat Protection é executado em segundo plano e verifica tudo.
Se uma ameaça for detectada, o Advanced Threat Protection será movido para a fase de análise.
Figura 2: (Somente em inglês) Fase de análise
Depois que uma ameaça é detectada, o Advanced Threat Protection classifica:
Se uma ameaça foi encontrada durante a fase de detecção, uma pontuação de ameaça local é atribuída.
Se o endpoint estiver conectado eon-line, o valor de hash da ameaça será enviado para a nuvem. Se a pontuação de ameaça na nuvem for diferente da pontuação de ameaça local, a pontuação de ameaça na nuvem será retransportada para o endpoint e a pontuação de ameaças na nuvem substituirá a pontuação de ameaça local.
Se a política de upload automático estiver ativada, a ameaça será carregada para o tenant da Cylance.
Depois que uma pontuação de ameaça é atribuída, os dados recebem um atributo inseguro ou anormal e, em seguida, o Advanced Threat Protection passa para a fase de remediação.
Figura 3: (Somente em inglês) Fase de remediação
Depois que uma pontuação e uma classificação de ameaça forem atribuídas, o Advanced Threat Protection determinará:
A ameaça deve ser listada com segurança? Em caso afirmativa, o hash de arquivo é adicionado ao endpoint e nenhuma outra ação é tomada no arquivo.
Se a ameaça não estiver listada com segurança, o Advanced Threat Protection verificará se a política quarentena automática está ativada. Se a quarentena automática estiver ativada, a ameaça será colocada em quarentena.
Se a quarentena automática não estiver habilitada, uma verificação será feita para determinar se o arquivo foi configurado manualmente para quarentena pelo administrador do DDP. Se a ameaça for definida para quarentena, o hash do arquivo será adicionado ao banco de dados local do endpoint e, em seguida, o arquivo será colocado em quarentena.
Se a ameaça não for listada com segurança ou colocada em quarentena, um alerta será enviado ao console para visibilidade e possível ação da administração do DDP.
Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.