Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos

Recommandations relatives aux stratégies de Dell Threat Defense

Resumen: Cet article contient des recommandations de stratégie pour Dell Threat Defense.

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Síntomas

Remarque :

Dell Threat Defense utilise des stratégies pour :

  • définir la manière dont les menaces sont traitées ;
  • déterminer les opérations effectuées sur les fichiers mis en quarantaine ;
  • configurer le contrôle des scripts.

Produits concernés :

Dell Threat Defense


Causa

Sans objet.

Resolución

Cliquez sur Stratégies recommandées ou Définitions des stratégies pour plus d’informations.

Nous recommandons de configurer les stratégies Mode apprentissage ou en Mode protection. Dell préconise d’utiliser le Mode apprentissage pour tester Dell Threat Defense dans un environnement. Cela est plus efficace lorsque Dell Threat Defense est déployé sur des points de terminaison disposant de l’image de l’entreprise standard.

Des modifications supplémentaires peuvent être nécessaires pour les serveurs d’applications, car elles sont plus élevées que les E/S de disque normales.

Une fois que toutes les alertes ont été corrigées dans la console d’administration Dell Threat Defense par l’administrateur, Dell vous recommande de passer aux recommandations de la stratégie en Mode protection. Dell vous recommande d’effectuer un certain nombre de tests en Mode apprentissage avant de passer les stratégies en Mode protection.

Cliquez sur Recommandations relatives aux serveurs d’applications, Mode apprentissage ou Mode protection pour plus d’informations.

Remarque : Toutes les recommandations relatives aux stratégies ne sont pas adaptées à tous les environnements.

Que ce soit en Mode apprentissage et en Mode protection, les serveurs d’applications peuvent voir des comportements supplémentaires et différents vis-à-vis des systèmes d’exploitation des clients. La mise en quarantaine automatique (AQT) a bloqué, dans de rares cas, l’exécution de certains fichiers nécessaire au calcul du score. Cela se produit lorsqu’une application détecte le verrouillage des fichiers en cas de falsification, ou qu’un processus peut échouer dans le cadre d’une période attendue.

La fonction « Watch For New Files », lorsqu’elle est activée, peut ralentir les opérations système. Lors de la génération d’un nouveau fichier, celui-ci est analysé. Bien que ce processus soit léger, un volume élevé de fichiers simultanés peut avoir un impact sur les performances.

Modifications de stratégies suggérées pour les systèmes d’exploitation de Windows Server :

  • Cochez la case Enable en regard de Background Threat Detection et cliquez sur Run Once.
  • Assurez-vous que le contrôle d’exécution est défini sur Enabled.
  • Cochez Disable en regard de l’option Watch For New Files.

Avec ces recommandations, il est généralement préconisé de faire en sorte que les appareils exécutant les systèmes d’exploitation de serveur soient séparés en « zones ». Pour plus d’informations sur la génération de zones, consultez Gestion des zones dans Dell Threat Defense

Politique Paramètre recommandé
Actions de fichier  
Mise en quarantaine automatique avec contrôle d’exécution des fichiers dangereux Désactivé
Mise en quarantaine automatique avec contrôle d’exécution des fichiers anormaux Désactivé
Activer la suppression automatique pour les fichiers mis en quarantaine Désactivé
Téléchargement automatique Activé
Liste de sécurité de la stratégie Dépendant de l’environnement
Paramètres de protection  
Empêcher l’arrêt du service à partir de l’appareil Désactivé
Arrêter les processus dangereux en cours d’exécution et leurs sous-processus Désactivé
Détection des menaces en arrière-plan Désactivé
Exécuter une fois/exécuter une opération récurrente N/A lorsque la protection contre les menaces en arrière-plan est définie sur Désactivée
Rechercher les nouveaux fichiers Désactivé
Copier les exemples de fichiers Dépendant de l’environnement
Paramètres de l’agent  
Activer le téléchargement automatique des journaux Dépendant de l’environnement
Activer les notifications de bureau Dépendant de l’environnement
Contrôle des scripts  
Contrôle des scripts Activé
Active Script 1370 ou versions antérieures et PowerShell Alerte
Active Script 1380 et versions ultérieures Alerte
Powershell 1380 et versions ultérieures Alerte
Bloquer l’utilisation de la console PowerShell N/A lorsque PowerShell est défini sur Alerte
Macros 1380 et supérieures Alerte
Désactiver le contrôle de script d’Active Script Désactivé
Désactiver le contrôle de script de Powershell Désactivé
Désactiver le contrôle des scripts de macros Désactivé
Exclusions de dossiers (y compris les sous-dossiers) Dépendant de l’environnement
Politique Paramètre recommandé
Actions de fichier  
Mise en quarantaine automatique avec contrôle d’exécution des fichiers dangereux Activé
Mise en quarantaine automatique avec contrôle d’exécution des fichiers anormaux Activé
Activer la suppression automatique pour les fichiers mis en quarantaine Dépendant de l’environnement
Téléchargement automatique Dépendant de l’environnement
Liste de sécurité de la stratégie Dépendant de l’environnement
Paramètres de protection  
Empêcher l’arrêt du service à partir de l’appareil Activé
Arrêter les processus dangereux en cours d’exécution et leurs sous-processus Activé
Détection des menaces en arrière-plan Activé
Exécuter une fois/exécuter une opération récurrente Exécuter une fois
Rechercher les nouveaux fichiers Activé
Copier les exemples de fichiers Dépendant de l’environnement
Paramètres de l’agent  
Activer le téléchargement automatique des journaux Dépendant de l’environnement
Activer les notifications de bureau Dépendant de l’environnement
Contrôle des scripts  
Contrôle des scripts Activé
Active Script 1370 ou versions antérieures et PowerShell Bloqué
Active Script 1380 et versions ultérieures Bloqué
Powershell 1380 et versions ultérieures Bloqué
Bloquer l’utilisation de la console PowerShell Bloqué
Macros 1380 et supérieures Bloqué
Désactiver le contrôle de script d’Active Script Désactivé
Désactiver le contrôle de script de Powershell Désactivé
Désactiver le contrôle des scripts de macros Désactivé
Exclusions de dossiers (y compris les sous-dossiers) Dépendant de l’environnement

Définitions de stratégies Threat Defense :

Actions de fichier

Mise en quarantaine automatique avec contrôle d’exécution des fichiers dangereux

Cette stratégie détermine ce qui se passe pour les fichiers qui sont détectés au fur et à mesure qu’ils sont exécutés. Par défaut, même lorsqu’un fichier dangereux est détecté comme étant en cours d’exécution, la menace est bloquée. Un fichier dangereux est caractérisé par un score cumulatif pour l’exécutable portable qui dépasse 60 dans le système de notation d’Advanced Threat Prevention en fonction des indicateurs de menace évalués.

Mise en quarantaine automatique avec contrôle d’exécution des fichiers anormaux

Cette stratégie détermine ce qui se passe pour les fichiers qui sont détectés au fur et à mesure qu’ils sont exécutés. Par défaut, même lorsqu’un fichier anormal est détecté comme étant en cours d’exécution, la menace est bloquée. Un fichier anormal est caractérisé par un score cumulatif pour l’exécutable portable entre 0 et 60 dans le système de notation d’Advanced Threat Prevention en fonction des indicateurs de menace évalués.

Activer la suppression automatique pour les fichiers mis en quarantaine

Lorsque les fichiers dangereux ou anormaux sont mis en quarantaine au niveau de l’appareil, des listes de quarantaine globales ou des stratégies de mise en quarantaine automatique, ils sont conservés dans un cache de quarantaine en sandbox local sur l’appareil local. Lorsque l’option Enable auto-delete for quarantined files pour les fichiers mis en quarantaine est activée, elle indique la durée de conservation (minimum de 14 jours, maximum de 365 jours) du fichier sur l’appareil local avant suppression définitive. Lorsque cette option est activée, il est possible de modifier le nombre de jours.

Téléchargement automatique

Marque les menaces qui n’ont pas été détectées par l’environnement de logiciel en tant que service de Threat Defense pour une analyse plus approfondie. Lorsqu’un fichier est marqué comme menace potentielle par le modèle local, un hachage SHA256 est capturé du fichier exécutable portable, et est envoyé au logiciel en tant que service. Si le hachage SHA256 qui a été envoyé ne peut pas être mis en correspondance avec une menace, et si le téléchargement automatique est activé, cela permet un téléchargement sécurisé de la menace pour l’évaluation. Ces données sont stockées de manière sécurisée et ne sont pas accessibles par Dell ou ses partenaires.

Liste de sécurité de la stratégie

La liste de sécurité des stratégies est une liste de fichiers qui ont été jugés sûrs dans l’environnement et qui ont été exonérés manuellement en soumettant leur hachage SHA256 et toutes les informations supplémentaires. Lorsqu’un hachage SHA256 est placé dans cette liste, lorsque le fichier est exécuté, il n’est pas évalué par les modèles de menace locale ou Cloud. Il s’agit des chemins d’accès aux fichiers « absolus ».

Exemples d’exclusions :
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\

Paramètres de protection

Arrêter les processus dangereux en cours d’exécution et leurs sous-processus

Lorsque l’option Kill unsafe running processes and their sub processes est activée, cela permet de déterminer si une menace génère des processus enfants ou si l’application a retiré d’autres processus qui sont en cours d’exécution dans la mémoire. S’il y a de bonnes raisons de croire qu’un processus a été retiré par une menace, la menace principale et tous les processus qu’il a générés ou actuellement détenus sont immédiatement résiliés.

Détection des menaces en arrière-plan

Lorsque l’option Background Threat Detection est activée, l’ensemble de l’appareil est analysé à la recherche d’exécutables portables, puis les fichiers exécutables sont évalués avec le modèle de menace local. Une confirmation est ensuite demandée pour le score du fichier exécutable avec le logiciel en tant que service basé sur le Cloud en fonction des indicateurs de menace du fichier exécutable. Deux options sont possibles avec la détection des menaces en arrière-plan : Exécuter une fois et exécuter une opération récurrente. L’option Run Once effectue une analyse en arrière-plan de tous les disques physiques qui sont connectés au système au moment où Threat Defense est installé et activé. L’option Run Recurring permet d’effectuer une analyse en arrière-plan de tous les appareils connectés à l’appareil, à la suite de l’installation et de l’activation de Threat Defense, et de répéter l’analyse tous les neuf jours (non configurable).

Rechercher les nouveaux fichiers

Lorsque l’option Watch for New Files est activée, tout fichier exécutable portable introduit dans le système est immédiatement évalué avec les indicateurs de menace qui s’affichent à l’aide du modèle local, et ce score est confirmé par rapport au logiciel SaaS hébergé dans le Cloud.

Copier les exemples de fichiers

L’option Copy File Samples permet à toutes les menaces qui sont détectées sur l’appareil d’être automatiquement mises en dépôt dans un référentiel défini en fonction du chemin d’accès UNC. Cela est recommandé uniquement pour la recherche de menaces internes ou pour conserver un référentiel sécurisé des menaces réunies au sein de l’environnement. Tous les fichiers qui sont stockés par l’option Copy File Samples sont compressés avec le mot de passe infected.

Paramètres de l’agent

Activer le téléchargement automatique des journaux

L’option Activer le téléchargement automatique des journaux permet aux points de terminaison de télécharger leurs journaux pour Dell Threat Defense tous les soirs à minuit, ou lorsque le fichier atteint 100 Mo. Les journaux sont téléchargés la nuit, quelle que soit la taille du fichier. Tous les journaux transférés sont compressés avant de sortir du réseau.

Activer les notifications de bureau

L’option Activer les notifications de bureau permet aux utilisateurs d’autoriser des invites sur leur appareil si un fichier est marqué comme anormal ou dangereux. Cette option est disponible dans le menu contextuel de l’icône de la barre d’état système Dell Threat Defense sur les points de terminaison pour lesquels cette stratégie est activée.

Contrôle des scripts

Contrôle des scripts

Le contrôle des scripts fonctionne à l’aide d’une solution basée sur des filtres de mémoire pour identifier les scripts qui s’exécutent sur l’appareil et pour les bloquer si la stratégie est définie sur Block pour ce script de fichier. Les paramètres d’alerte de ces stratégies ne notent que les scripts qui auraient été bloqués dans les journaux et sur la console Dell Threat Defense.

Version 1370 et versions antérieures

Ces stratégies s’appliquent aux clients antérieurs à la version 1370, qui étaient disponibles avant juin 2016. Seuls les scripts basés sur Active Script et sur PowerShell sont traités avec ces versions.

Version 1380 et versions supérieures

Ces stratégies’appliquent aux clients de versions ultérieures à la version 1370, disponibles après juin 2016.

Active Script

Les scripts Active Script comprennent tous ceux qui sont interprétés par l’hôte de script Windows, notamment JavaScript, VBScript, les fichiers batch et bien d’autres.

PowerShell

Les scripts PowerShell comprennent n’importe quel script multiligne exécuté en tant que commande unique. (Paramètre par défaut - Alert)

Block PowerShell Console Usage – (non présent lorsque PowerShell est défini sur Alert)

Dans PowerShell v3 (introduit dans Windows 8.1) et versions supérieures, la plupart des scripts PowerShell sont exécutés sous forme de commande à une seule ligne. Bien qu’ils puissent contenir plusieurs lignes, ils sont exécutés dans l’ordre. Cela peut contourner l’interpréteur de script PowerShell. Bloquer la console PowerShell permet de contourner ce problème en désactivant la possibilité de lancer une application à partir de la console PowerShell. L’environnement de script intégré (ISE) n’est pas affecté par cette stratégie.

Macros

Le paramètre Macro interprète les macros qui sont présentes dans les documents Office et les fichiers PDF et bloque les macros malveillantes susceptibles de tenter de télécharger des menaces.

Désactiver le contrôle des scripts

Ces stratégies désactivent entièrement la capacité à alerter sur le type de script défini au sein de chaque stratégie. Lorsque cette option est désactivée, aucune consignation n’est collectée et aucune tentative de détection ou de blocage des menaces potentielles n’est effectuée.

Active Script

Lorsqu’elle est sélectionnée, cette option empêche la collecte des journaux et bloque toutes les menaces basées sur PowerShell. Les scripts Active Script comprennent tous ceux qui sont interprétés par l’hôte de script Windows, notamment JavaScript, VBScript, les fichiers batch et bien d’autres.

PowerShell

Lorsqu’elle est sélectionnée, cette option empêche la collecte des journaux et bloque toutes les menaces basées sur PowerShell. Les scripts PowerShell comprennent n’importe quel script multiligne exécuté en tant que commande unique.

Macros

Lorsqu’elle est sélectionnée, cette option empêche la collecte des journaux et bloque toutes les menaces basées sur des macros. Le paramètre Macro interprète les macros qui sont présentes dans les documents Office et les fichiers PDF et bloque les macros malveillantes susceptibles de tenter de télécharger des menaces.

Exclusions de dossiers (y compris les sous-dossiers)

Les exclusions de dossiers permettent de définir les dossiers exclus dans lesquels des scripts peuvent être exécutés. Cette section demande les exclusions dans un format de chemin relatif.

  • Les chemins de dossiers peuvent mener à un lecteur local, un lecteur réseau mappé ou un chemin de convention de dénomination universelle (UNC).
  • Les exclusions de dossier de scripts doivent spécifier le chemin relatif du dossier ou du sous-dossier.
  • N’importe quel chemin de dossier spécifié inclut également tous les sous-dossiers.
  • Les exclusions de caractères génériques doivent utiliser la barre oblique de style Unix pour les ordinateurs Windows. Exemple : /windows/system*/.
  • Le seul caractère pris en charge pour les caractères génériques est *.
  • Les exclusions de dossiers avec un caractère générique doivent contenir une barre oblique à la fin du chemin d’accès afin de différencier les dossiers des fichiers.
    • Exclusion de dossier : /windows/system32/*/
    • Exclusions de fichier : /windows/system32/*
  • Un caractère générique doit être ajouté pour chaque niveau de dossier. Par exemple, /folder/*/script.vbs correspond à \folder\test\script.vbs ou \folder\exclude\script.vbs, mais ne fonctionne pas pour \folder\test\001\script.vbs. Cela nécessite soit /folder/*/001/script.vbs soit /folder/*/*/script.vbs.
  • Les caractères génériques prennent en charge les exclusions complètes et partielles.
    • Exemple de caractère générique complet : /folder/*/script.vbs
    • Exemple de caractère générique partiel : /folder/test*/script.vbs
  • Les chemins d’accès réseau avec des caractères génériques sont également pris en charge.
    • //*/login/application
    • //abc*/logon/application

Correct (Mac) : /Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows) : \Cases\ScriptsAllowed
Incorrect : C:\Application\SubFolder\application.vbs
Incorrect : \Program Files\Dell\application.vbs

Exemples de caractères génériques :

/users/*/temp couvre les cas suivants :

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs couvre les cas suivants :

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Información adicional

 

Videos

 

Productos afectados

Dell Threat Defense
Propiedades del artículo
Número del artículo: 000124588
Tipo de artículo: Solution
Última modificación: 20 dic 2022
Versión:  11
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.