Рекомендації Dell щодо політики захисту від загроз

Політики рекомендується налаштовувати в режимі навчання або режимі захисту. Режим навчання – це спосіб, як Dell Technologies рекомендує тестувати Dell Threat Defense у середовищі. Це найбільш ефективно, коли Dell Threat Defense розгортається на кінцевих точках зі стандартним зображенням компанії.

Для серверів додатків може знадобитися більше змін через вищий, ніж зазвичай, дисковий ввід/вивід.

Після того, як адміністратор розгляне всі оповіщення в консолі адміністрування Dell Threat Defense, Dell Technologies рекомендує перейти до рекомендацій політики Protect Mode. Dell Technologies рекомендує провести тестування в режимі навчання кілька тижнів або більше, перш ніж переходити на політики Protect Mode.

Для отримання додаткових відомостей виберіть пункти «Рекомендації сервера програм», «Режим навчання» або «Режим захисту».

Рекомендації по роботі з сервером додатків

У режимах «Навчання» та «Захист» сервери застосунків можуть зіткнутися з додатковими накладними витратами та поведінкою, відмінною від поведінки клієнтських операційних систем. Автоматичний карантин (AQT) у рідкісних випадках перешкоджає запуску деяких файлів, доки не буде обчислено рахунок. Це було видно, коли програма виявляє блокування своїх файлів як фальсифікацію, або процес може не завершитися успішно протягом очікуваного періоду часу.

Якщо ввімкнено функцію «Стежити за новими файлами », це може сповільнити роботу пристрою. Коли генерується новий файл, він аналізується. Хоча цей процес легкий, великий обсяг файлів за один раз може вплинути на продуктивність.

Пропоновані зміни політики для операційних систем Windows Server:

• Увімкніть функцію виявлення фонових загроз і запустіть її один раз.
• Переконайтеся, що контроль виконанняввімкнено.
• Вимкніть Спостереження за новими файлами.

Згідно з цими рекомендаціями, зазвичай також пропонується виділити пристрої з операційними системами серверів в окремі зони. Щоб отримати інформацію про створення зон, зверніться до розділу Як керувати зонами в Dell Threat Defense.

Режим навчання

Таблиця 1: Дії файлів у режимі навчання

Політика	Рекомендовані налаштування
Автоматичний карантин з контролем виконання для небезпечних	Вимкнуто
Автоматичний карантин з контролем виконання для ненормальних	Вимкнуто
Увімкнення автоматичного видалення файлів у карантині	Вимкнуто
Автоматичне завантаження	Включений
Список надійних полісів	Залежить від навколишнього середовища

Таблиця 2: Налаштування захисту режиму навчання

Політика	Рекомендовані налаштування
Запобігти вимкненню служби з пристрою	Вимкнуто
Призупинення небезпечних запущених процесів та їхніх підпроцесів	Вимкнуто
Виявлення фонових загроз	Вимкнуто
Запуск один раз/Повторюваний запуск	Не застосовується, якщо для фонового захисту від загроз установлено значення Вимкнено
Слідкуйте за новими файлами	Вимкнуто
Скопіюйте зразки файлів	Залежить від навколишнього середовища

Таблиця 3: Налаштування агента в режимі навчання

Політика	Рекомендовані налаштування
Увімкніть автоматичне завантаження файлів журналу	Залежить від навколишнього середовища
Увімкніть сповіщення на робочому столі	Залежить від навколишнього середовища

Таблиця 4: Керування сценарієм у режимі навчання

Політика	Рекомендовані налаштування
Керування сценарієм	Включений
1370 і старіші Active Script і PowerShell	Оповіщення
1380 і вище Активний скрипт	Оповіщення
1380 і вище PowerShell	Оповіщення
Блокування використання консолі PowerShell	Не застосовується, коли для PowerShell встановлено значення Alert
1380 і вище Макроси	Оповіщення
Вимкніть активний скрипт керування сценарієм	Вимкнуто
Вимкніть керування сценарієм PowerShell	Вимкнуто
Вимкніть макроси керування сценарієм	Вимкнуто
Виключення папок (включно з вкладеними папками)	Залежить від навколишнього середовища

Режим захисту

Таблиця 5: Дії з файлами в режимі захисту

Політика	Рекомендовані налаштування
Автоматичний карантин з контролем виконання для небезпечних	Включений
Автоматичний карантин з контролем виконання для ненормальних	Включений
Увімкнення автоматичного видалення файлів у карантині	Залежить від навколишнього середовища
Автоматичне завантаження	Залежить від навколишнього середовища
Список надійних полісів	Залежить від навколишнього середовища

Таблиця 6: Налаштування захисту в режимі захисту

Політика	Рекомендовані налаштування
Запобігти вимкненню служби з пристрою	Включений
Призупинення небезпечних запущених процесів та їхніх підпроцесів	Включений
Виявлення фонових загроз	Включений
Запуск один раз/Повторюваний запуск	Запустити один раз
Слідкуйте за новими файлами	Включений
Скопіюйте зразки файлів	Залежить від навколишнього середовища

Таблиця 7: Налаштування агента в режимі захисту

Політика	Рекомендовані налаштування
Увімкніть автоматичне завантаження файлів журналу	Залежить від навколишнього середовища
Увімкніть сповіщення на робочому столі	Залежить від навколишнього середовища

Таблиця 8: Керування сценарієм у режимі захисту

Політика	Рекомендовані налаштування
Керування сценарієм	Включений
1370 і старіші Active Script і PowerShell	Блокувати
1380 і вище Активний скрипт	Блокувати
1380 і вище PowerShell	Блокувати
Блокування використання консолі PowerShell	Блокувати
1380 і вище Макроси	Блокувати
Вимкніть активний скрипт керування сценарієм	Вимкнуто
Вимкніть керування сценарієм PowerShell	Вимкнуто
Вимкніть макроси керування сценарієм	Вимкнуто
Виключення папок (включно з вкладеними папками)	Залежить від навколишнього середовища

Визначення політики захисту від загроз:

Дії з файлом

Автоматичний карантин з контролем виконання для небезпечних

Ця політика визначає, що відбувається з файлами, які виявляються під час їх запуску. За замовчуванням, навіть коли небезпечний файл визначається як запущений, загроза блокується. Небезпечний характеризується сукупним балом для портативного виконуваного файла, який перевищує 60 балів у системі оцінювання Advanced Threat Prevention, яка базується на оцінених індикаторах загроз.

Автоматичний карантин з контролем виконання для ненормальних

Ця політика визначає, що відбувається з файлами, які виявляються під час їх запуску. За замовчуванням, навіть коли аномальний файл визначається як запущений, загроза блокується. Відхилення від норми характеризується сукупним балом для портативного виконуваного файла, який перевищує 0, але не перевищує 60 балів у системі оцінювання Advanced Threat Prevention. Система нарахування балів ґрунтується на показниках загрози, які були оцінені.

Увімкнення автоматичного видалення файлів у карантині

Коли небезпечні або ненормальні файли потрапляють у карантин на основі карантину на рівні пристрою, глобальних списків карантину або політик автоматичного карантину, вони зберігаються в локальному ізольованому карантинному кеші на локальному пристрої. Якщо ввімкнено параметр Увімкнути автоматичне видалення для файлів у карантині, він позначає кількість днів (мінімум 14 днів, максимум 365 днів), протягом яких файл зберігався на локальному пристрої перед остаточним видаленням файлу. Коли це увімкнено, стає можливою можливість змінювати кількість днів.

Автоматичне завантаження

Позначає загрози, які не були помічені середовищем Threat Defense SaaS (Software as a Service) для подальшого аналізу. Коли файл позначається локальною моделлю як потенційна загроза, з портативного виконуваного файлу береться хеш SHA256, який відправляється в SaaS. Якщо надісланий хеш SHA256 не може бути зіставлений із загрозою, і ввімкнено автоматичне завантаження, це дозволяє безпечно завантажити загрозу в SaaS для оцінки. Ці дані надійно зберігаються та недоступні для Dell та її партнерів.

Список надійних полісів

Список безпечних політик – це список файлів, які було визначено як безпечні в середовищі та які було видалено вручну, надіславши їхній хеш SHA256 та будь-яку додаткову інформацію до цього списку. Коли хеш SHA256 розміщується в цьому списку, коли файл запускається, він не оцінюється локальною або хмарною моделлю загроз. Це «абсолютні» шляхи до файлів.

Приклади винятків:

Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Налаштування захисту

Призупинення небезпечних запущених процесів та їхніх підпроцесів

Коли ввімкнено функцію Kill небезпечно запущених процесів та їхніх підпроцесів , це визначає, чи загроза генерує дочірні процеси, чи програма взяла на себе інші процеси, які наразі виконуються в пам'яті. Якщо є припущення, що процес був захоплений загрозою, основна загроза та будь-які процеси, які вона створила або якими вона наразі володіє, негайно припиняються.

Виявлення фонових загроз

Функція виявлення фонових загроз, коли її ввімкнено, сканує весь пристрій на наявність будь-якого портативного виконуваного файла, а потім оцінює цей виконуваний файл за допомогою локальної моделі загроз і запитує підтвердження для оцінювання виконуваного файлу в хмарному SaaS на основі індикаторів загрози виконуваного файлу. За допомогою функції виявлення фонових загроз можливі два варіанти: Запустіть один раз і виконайте повторювані. Run Once виконує фонове сканування всіх фізичних дисків, які підключені до пристрою в момент встановлення та активації Threat Defense. Функція «Повторюваний запуск » виконує фонове сканування всіх пристроїв, підключених до пристрою, у момент встановлення та активації Threat Protection. Сканування повторюється кожні дев'ять днів (не налаштовується).

Слідкуйте за новими файлами

Коли ввімкнено функцію «Стежити за новими файлами », будь-який портативний виконуваний файл, який представлено на пристрої, негайно оцінюється за показниками загрози, які він відображає за допомогою локальної моделі, і ця оцінка підтверджується порівняно з SaaS, розміщеним у хмарі.

Скопіюйте зразки файлів

Copy File Samples дозволяє автоматично депонувати будь-які загрози, знайдені на пристрої, у визначене сховище на основі шляху UNC. Це рекомендується лише для внутрішнього дослідження загроз або для зберігання безпечного сховища упакованих загроз у середовищі. Усі файли, які зберігаються за допомогою Copy File Samples , архівуються з паролем infected.

Налаштування агента

Увімкніть автоматичне завантаження файлів журналу

Увімкнення автоматичного завантаження файлів журналів дозволяє кінцевим точкам завантажувати свої файли журналів для Dell Threat Defense щоночі опівночі або коли файл досягає 100 МБ. Журнали завантажуються щоночі незалежно від розміру файлу. Усі передані журнали стискаються перед виходом із мережі.

Увімкніть сповіщення на робочому столі

Увімкнення сповіщень на робочому столі дає змогу користувачам пристрою дозволяти запити на своєму пристрої, якщо файл позначено як ненормальний або небезпечний. Ця опція міститься в меню правої кнопки миші піктограми в треї Dell Threat Defense на кінцевих точках з увімкненою цією політикою.

Керування сценарієм

Керування сценарієм

Контроль сценаріїв працює за допомогою рішення на основі фільтра пам'яті, щоб виявляти сценарії, які виконуються на пристрої, і запобігати їм, якщо для цього типу сценаріїв встановлено політику Блок. Налаштування сповіщень у цих політиках вказують лише на сценарії, які були б заблоковані в журналах і на консолі Dell Threat Defense.

1370 і нижче

Ці правила застосовуються до клієнтів до 1370 і які були доступні до червня 2016 року. У цих версіях працюють лише активні сценарії та сценарії на основі PowerShell.

1380 і вище

Ці правила поширюються на клієнтів після 1370, які були доступні після червня 2016 року.

Активний сценарій

Активні сценарії включають будь-який сценарій, який інтерпретується хостом сценаріїв Windows, включаючи JavaScript, VBScript, пакетні файли та багато інших.

Технологія PowerShell

Сценарії PowerShell включають будь-який багаторядковий сценарій, який виконується як одна команда. (Налаштування за замовчуванням - Alert)

Блокувати використання консолі PowerShell – (не відсутнє, коли для PowerShell встановлено значення Alert)

У PowerShell v3 (запроваджено у Windows 8.1) і пізніших версіях більшість сценаріїв PowerShell виконуються як однорядкова команда; Хоча вони можуть містити кілька рядків, вони виконуються по порядку. Це може обійти інтерпретатор скриптів PowerShell. Консоль Block PowerShell вирішує цю проблему, відключаючи можливість запуску будь-якої програми на консолі PowerShell. Ця політика не впливає на інтегроване середовище сценаріїв (ISE).

Макроси

Настройка макросу інтерпретує макроси, наявні в документах Office і PDF-файлах, і блокує шкідливі макроси, які можуть намагатися завантажити загрози.

Вимкніть керування сценарієм

Ці політики повністю вимикають можливість навіть сповіщати про тип скрипту, визначений у кожній політиці. Якщо цей параметр вимкнено, журнали не збираються, а спроби виявити або заблокувати потенційні загрози не виконуються.

Активний сценарій

Якщо цей параметр увімкнено, запобігає збиранню журналів і блокує будь-які потенційні загрози на основі активного сценарію. Активні сценарії включають будь-який сценарій, який інтерпретується хостом сценаріїв Windows, включаючи JavaScript, VBScript, пакетні файли та багато інших.

Технологія PowerShell

Якщо цей параметр увімкнено, запобігає збиранню журналів і блокує будь-які потенційні загрози на основі PowerShell. Сценарії PowerShell включають будь-який багаторядковий сценарій, який виконується як одна команда.

Макроси

Якщо цей параметр увімкнено, запобігає збиранню журналів і блокує будь-які потенційні загрози на основі макросів. Настройка макросу інтерпретує макроси, наявні в документах Office і PDF-файлах, і блокує шкідливі макроси, які можуть намагатися завантажити загрози.

Виключення папок (включно з вкладеними папками)

За допомогою параметра «Виключення папок» можна визначати папки, в яких можуть виконуватися сценарії та які можна виключити. Цей розділ просить про виключення у форматі відносного шляху.

• Шляхи до папок можуть бути до локального диска, зіставленого мережевого диска або шляху до універсальної угоди іменування (UNC).
• У виключеннях папок сценаріїв має бути вказано відносний шлях до папки або підпапки.
• Будь-який вказаний шлях до папки також включає будь-які вкладені папки.
• Для виключень із символів узагальнення для комп'ютерів із Windows потрібно використовувати прямі похилі риски в стилі UNIX. Приклад: /windows/system*/.
• Єдиний символ, який підтримується для символів узагальнення, це *.
• Виключення папок із символом узагальнення повинні мати скісну риску в кінці шляху, щоб розрізняти папку та файл.
  • Виключення папки: /windows/system32/*/
  • Виключення файлу: /windows/system32/*
• Для кожного рівня глибини папки потрібно додавати символ узагальнення. Наприклад /folder/*/script.vbs Матчі \folder\test\script.vbs або \folder\exclude\script.vbs але не працює на \folder\test\001\script.vbs. Для цього потрібно або /folder/*/001/script.vbs або /folder/*/*/script.vbs.
• Символи узагальнення підтримують повні та часткові виключення.
  • Приклад повного символу узагальнення: /folder/*/script.vbs
  • Приклад часткового узагальнення: /folder/test*/script.vbs
• Мережеві шляхи також підтримуються з символами узагальнення.
  • //*/login/application
  • //abc*/logon/application

Правильно (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Правильна (Windows): \Cases\ScriptsAllowed
Неправильне: C:\Application\SubFolder\application.vbs
Неправильне: \Program Files\Dell\application.vbs

Приклади символів узагальнення:

/users/*/temp охопить:

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs охопить:

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs