Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos

Cómo se administran las amenazas en Dell Endpoint Security Suite Enterprise

Resumen: Cómo administran las amenazas Dell Endpoint Security Suite Enterprise.

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Síntomas

Nota:

Productos afectados:

  • Dell Endpoint Security Suite Enterprise

El componente Advanced Threat Protection Client de Dell Endpoint Security Suite Enterprise utiliza tres fases en la mitigación de amenazas:

  • Detección: La forma en que se localiza una amenaza.
  • Análisis: La forma en que se identifica un archivo como una amenaza.
  • Corrección: Cómo se manejan las amenazas
Nota:

Causa

No corresponde

Resolución

Fase de detección
Figura 1: (Solo en inglés) Fase de detección

Hash de archivo: El cliente Advanced Threat Protection comprueba inicialmente si la suma de comprobación de archivos (conocida como hash) se identificó anteriormente como una amenaza. El hash se puede configurar en:

  • Incluya el archivo en la lista de seguridad
  • Poner el archivo en cuarentena

Si un hash no está disponible, Advanced Threat Protection detecta las amenazas mediante:

  • Control de ejecución: Archivos iniciados (ejecutar)
  • Análisis del proceso: Procesos en ejecución y configurados para el inicio automático
  • Protección de memoria: Datos en la memoria
  • Detección de amenazas en segundo plano: Advanced Threat Protection se ejecuta en segundo plano y escanea todo.

Si se detecta una amenaza, Advanced Threat Protection pasa a la fase de análisis.

Fase de análisis
Figura 2: (Solo en inglés) Fase de análisis

Una vez que se detecta una amenaza, Advanced Threat Protection clasifica lo siguiente:

Si se encontró una amenaza durante la fase de detección, se asigna un puntaje de amenaza local.

Si el extremo está conectado y en línea, el valor hash de la amenaza se envía a la nube. Si el puntaje de amenaza de la nube difiere del puntaje de amenaza local, el puntaje de amenaza de la nube se transmite al terminal y el puntaje de amenaza de la nube sobrescribe el puntaje de amenaza local.

Nota: Los puntajes de amenazas globales se eligen sobre local, ya que reflejan la información más actualizada sobre el archivo. Si la política de carga automática está habilitada y el hash de la amenaza es desconocido para la nube, la amenaza se carga en el grupo de usuarios de Cylance.

Si la política de carga automática está habilitada, la amenaza se carga en el grupo de usuarios de Cylance.

Una vez que se asigna un puntaje de amenaza, los datos reciben un atributo no seguro o anómalo y, a continuación, Advanced Threat Protection pasa a la fase de corrección.

Fase de corrección
Figura 3: (Solo en inglés) Fase de corrección

Una vez que se ha asignado un puntaje y una clasificación de amenaza, Advanced Threat Protection determina lo siguiente:

¿Debe aparecer la amenaza en la lista de seguridad? Si es así, el hash de archivo se agrega al terminal y no se realiza ninguna otra acción en el archivo.

Si la amenaza no aparece en la lista de seguridad, Advanced Threat Protection comprueba si la política En cuarentena automática está activada. Si la cuarentena automática está activada, la amenaza estará en cuarentena.

Si la cuarentena automática no está habilitada, se realiza una comprobación para determinar si el administrador de DDP configuró manualmente el archivo en cuarentena . Si la amenaza está configurada para cuarentena, el hash de archivo se agrega a la base de datos local del extremo y, a continuación, el archivo se pone en cuarentena.

Si la amenaza no aparece en la lista de seguridad ni está en cuarentena, se envía una alerta a la consola para la visibilidad de la administración de DDP y la posible acción.


Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

 

Productos afectados

Dell Endpoint Security Suite Enterprise
Propiedades del artículo
Número del artículo: 000126777
Tipo de artículo: Solution
Última modificación: 14 nov 2023
Versión:  9
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.