Raccomandazioni per le policy di Dell Threat Defense

Si consiglia di configurare le policy nella modalità di apprendimento o nella modalità di protezione. La modalità di apprendimento è il modo in cui Dell Technologies consiglia di testare Dell Threat Defense in un'ambiente. Risulta molto più efficace quando Dell Threat Defense è implementato sugli endpoint con l'immagine aziendale standard.

Potrebbero essere necessarie ulteriori modifiche per i server applicazioni, a causa di un I/O su disco superiore al normale.

Una volta risolti tutti gli avvisi nella console di amministrazione di Dell Threat Defense da parte dell'amministratore, Dell Technologies consiglia di passare ai suggerimenti per le policy della modalità Protect. Dell Technologies consiglia un paio di settimane o più di test in modalità di apprendimento prima di passare alle policy della modalità di protezione.

Per ulteriori informazioni, cliccare su Application Server Recommendations, Learning Mode o Protect Mode.

Raccomandazioni per i server applicazioni

In entrambe le modalità, di apprendimento e protezione, i server applicazioni possono mostrare un overhead più elevato e un comportamento dissimile dai sistemi operativi client. La quarantena automatica (AQT), in rari casi, ha impedito l'esecuzione di alcuni file finché non è stato possibile calcolare un punteggio. Questo comportamento viene riscontrato quando un'applicazione rileva il blocco dei file come una manomissione oppure quando un processo potrebbe non essere completato correttamente nell'intervallo di tempo previsto.

L'opzione Watch For New Files abilitata potrebbe rallentare le operazioni del dispositivo. I nuovi file generati vengono analizzati. Sebbene questo processo sia leggero, l'elevato volume di file elaborati contemporaneamente può incidere sulle prestazioni.

Modifiche delle policy consigliate per i sistemi operativi Windows Server:

• Abilitare il rilevamento delle minacce in background e eseguirlo una sola volta.
• Assicurarsi che l'opzione Execution Control sia impostata su Enabled.
• Disabilitare Controlla nuovi file.

Con queste raccomandazioni, si consiglia in genere di contenere i dispositivi che eseguono sistemi operativi server all'interno di zone separate. Per informazioni sulla generazione di zone, consultare Come gestire le zone in Dell Threat Defense.

Modalità di apprendimento

Tabella 1. Azioni file modalità di apprendimento

Policy	Impostazione consigliata
Quarantena automatica con controllo delle esecuzioni per file non sicuri	Disabled
Quarantena automatica con controllo delle esecuzioni per file anomali	Disabled
Abilita eliminazione automatica per i file in quarantena	Disabled
Caricamento automatico	Enabled
Elenco file sicuri	Dipendente dall'ambiente

Tabella 2. Impostazioni di protezione della modalità di apprendimento

Policy	Impostazione consigliata
Prevent Service Shutdown from Device	Disabled
Termina i processi non sicuri in esecuzione e i relativi sottoprocessi	Disabled
Background Threat Detection	Disabled
Esegui una volta/Esegui più volte	Non applicabile quando Background Threat Protection è impostato su Disabled
Controlla nuovi file	Disabled
Copia file campione	Dipendente dall'ambiente

Tabella 3. Impostazioni dell'agente della modalità di apprendimento

Policy	Impostazione consigliata
Abilita caricamento automatico dei file di registro	Dipendente dall'ambiente
Abilita notifica desktop	Dipendente dall'ambiente

Tabella 4. Controllo script modalità di apprendimento

Policy	Impostazione consigliata
Controllo mediante script	Enabled
1370 and below - Active Script e PowerShell	Avviso
1380 e superiori - Script attivo	Avviso
1380 and above - PowerShell	Avviso
Block PowerShell Console Usage	Non applicabile quando PowerShell è impostato su Alert
1380 e superiori - Macro	Avviso
Disabilita controllo mediante script - Script attivo	Disabled
Disable Script Control PowerShell	Disabled
Disabilita controllo mediante script - Macro	Disabled
Esclusioni cartelle (include le sottocartelle)	Dipendente dall'ambiente

Modalità di protezione

Tabella 5. Azioni file modalità protezione

Policy	Impostazione consigliata
Quarantena automatica con controllo delle esecuzioni per file non sicuri	Enabled
Quarantena automatica con controllo delle esecuzioni per file anomali	Enabled
Abilita eliminazione automatica per i file in quarantena	Dipendente dall'ambiente
Caricamento automatico	Dipendente dall'ambiente
Elenco file sicuri	Dipendente dall'ambiente

Tabella 6. Impostazioni di protezione della modalità di protezione

Policy	Impostazione consigliata
Prevent Service Shutdown from Device	Enabled
Termina i processi non sicuri in esecuzione e i relativi sottoprocessi	Enabled
Background Threat Detection	Enabled
Esegui una volta/Esegui più volte	Esegui una volta
Controlla nuovi file	Enabled
Copia file campione	Dipendente dall'ambiente

Tabella 7. Impostazioni dell'agente della modalità di protezione

Policy	Impostazione consigliata
Abilita caricamento automatico dei file di registro	Dipendente dall'ambiente
Abilita notifica desktop	Dipendente dall'ambiente

Tabella 8. Controllo script modalità di protezione

Policy	Impostazione consigliata
Controllo mediante script	Enabled
1370 and below - Active Script e PowerShell	Blocco
1380 e superiori - Script attivo	Blocco
1380 and above - PowerShell	Blocco
Block PowerShell Console Usage	Blocco
1380 e superiori - Macro	Blocco
Disabilita controllo mediante script - Script attivo	Disabled
Disable Script Control PowerShell	Disabled
Disabilita controllo mediante script - Macro	Disabled
Esclusioni cartelle (include le sottocartelle)	Dipendente dall'ambiente

Definizioni delle policy di Threat Defense:

Azioni file

Quarantena automatica con controllo delle esecuzioni per file non sicuri

Questo criterio determina cosa accade ai file rilevati durante l'esecuzione. Per impostazione predefinita la minaccia viene bloccata anche se un file non sicuro è rilevato come in esecuzione. Unsafe è caratterizzato da un punteggio cumulativo per l'eseguibile portatile superiore a 60 all'interno del sistema di punteggio di Advanced Threat Prevention basato su indicatori di minaccia valutati.

Quarantena automatica con controllo delle esecuzioni per file anomali

Questo criterio determina cosa accade ai file rilevati durante l'esecuzione. Per impostazione predefinita la minaccia viene bloccata anche se un file anomalo è rilevato come in esecuzione. Anomalo è caratterizzato da un punteggio cumulativo per l'eseguibile portatile superiore a 0 ma non superiore a 60 all'interno del sistema di punteggio di Advanced Threat Prevention. Il sistema di punteggio si basa su indicatori di minaccia che sono stati valutati.

Abilita eliminazione automatica per i file in quarantena

Quando i file non sicuri o anomali vengono messi in quarantena in base alle quarantene a livello di dispositivo, agli elenchi di quarantena globale o alle policy di quarantena automatica, vengono conservati all'interno di una cache di quarantena locale in modalità sandbox sul dispositivo locale. Quando l'opzione Enable auto-delete for quarantined files è abilitata, indica il numero di giorni (minimo 14 giorni, massimo 365 giorni) per conservare il file sul dispositivo locale prima di eliminarlo definitivamente. Quando questa opzione è abilitata, è possibile modificare il numero di giorni.

Caricamento automatico

Contrassegna per ulteriori analisi le minacce che non sono state rilevate dall'ambiente SaaS (Software-as-a-Service) Threat Defense. Quando un file viene contrassegnato come potenziale minaccia dal modello locale, un hash SHA256 dell'eseguibile portatile viene estratto e inviato a SaaS. Se l'hash SHA256 inviato non può essere abbinato a una minaccia e se il caricamento automatico è abilitato, è possibile effettuare un caricamento sicuro della minaccia in SaaS per la valutazione. Questi dati vengono archiviati in modo sicuro e non sono accessibili da Dell o dai suoi partner.

Elenco file sicuri

Elenco file sicuri è un elenco dei file di cui è stata determinata la sicurezza all'interno dell'ambiente e che sono stati ignorati manualmente inviando il loro hash SHA256 ed eventuali informazioni aggiuntive in questo elenco. Se un hash SHA256 viene inserito all'interno di questo elenco, durante l'esecuzione del file non viene valutato dai modelli di minaccia locale o cloud. Si tratta di percorsi file "assoluti".

Esclusioni di esempio:

Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Protection Settings

Termina i processi non sicuri in esecuzione e i relativi sottoprocessi

Quando l'opzione Kill unsafe running processes and their sub processes è abilitata, determina se una minaccia sta generando processi figlio o se l'applicazione ha assunto il controllo di altri processi attualmente in esecuzione all'interno della memoria. Se si ritiene che un processo sia stato preso in consegna da una minaccia, la minaccia primaria e tutti i processi che ha generato o attualmente possiede vengono immediatamente terminati.

Background Threat Detection

Il rilevamento delle minacce in background, se abilitato, esegue la scansione dell'intero dispositivo alla ricerca di eventuali eseguibili portatili, quindi valuta l'eseguibile con il modello di minaccia locale e richiede conferma per il punteggio dell'eseguibile con SaaS basato su cloud in base agli indicatori di minaccia dell'eseguibile. Con Background Threat Detection sono disponibili due opzioni: Esegui una volta ed esegui ricorrente. Una volta esegue una scansione in background di tutte le unità fisiche collegate al dispositivo nel momento in cui Threat Defense viene installato e attivato. Run Recurring esegue una scansione in background di tutti i dispositivi connessi al dispositivo nel momento in cui Threat Defense viene installato e attivato. Ripete la scansione ogni nove giorni (non configurabile).

Controlla nuovi file

Quando l'opzione Watch for New Files è abilitata, qualsiasi eseguibile portatile introdotto nel dispositivo viene immediatamente valutato con gli indicatori di minaccia visualizzati utilizzando il modello locale e questo punteggio viene confermato rispetto al SaaS ospitato nel cloud.

Copia file campione

Copia campioni di file consente di depositare automaticamente qualsiasi minaccia rilevata sul dispositivo in un repository definito in base al percorso UNC. Questa scelta è consigliata solo per la ricerca interna sulle minacce o per conservare un repository sicuro di minacce in pacchetti all'interno dell'ambiente. Tutti i file archiviati da Copia campioni di file vengono compressi con una password di infected.

Impostazioni agent

Abilita caricamento automatico dei file di registro

L'opzione Abilita caricamento automatico dei file di registro consente agli endpoint di eseguire l'upload dei relativi file di registro per Dell Threat Defense ogni notte a mezzanotte o quando il file raggiunge i 100 MB. I registri vengono sottoposti ad upload ogni notte indipendentemente dalla dimensione del file. Tutti i registri trasferiti vengono compressi prima dell'uscita dalla rete.

Abilita notifica desktop

L'opzione Enable Desktop Notification consente agli utenti del dispositivo di consentire all'utente del dispositivo di visualizzare un prompt sul proprio dispositivo se un file è contrassegnato come anomalo o non sicuro. Questa opzione è presente nel menu di scelta rapida dell'icona Dell Threat Defense nell'area di notifica sugli endpoint in cui è abilitata questa policy.

Controllo mediante script

Controllo mediante script

Script Control funziona attraverso una soluzione basata su filtri di memoria per identificare gli script in esecuzione sul dispositivo e impedirne la prevenzione se la policy è impostata su Block per quel tipo di script. Le impostazioni di avviso in queste policy segnalano gli script bloccati solo all'interno dei registri e nella console di Dell Threat Defense.

1370 e inferiori

Queste policy riguardano i client precedenti alla versione 1370, disponibili prima di giugno 2016. In queste versioni le azioni vengono eseguite solo sugli script attivi e sugli script basati su PowerShell.

1380 e superiori

Queste policy riguardano i client successivi alla versione 1370, disponibili dopo giugno 2016.

Script attivo

Gli script attivi includono tutti gli script interpretati da Windows Scripting Host, tra cui JavaScript, VBScript, file batch e molti altri ancora.

PowerShell

Gli script PowerShell includono tutti gli script di più righe eseguiti come un comando singolo (impostazione predefinita - Alert).

Block PowerShell Console Usage - Non presente quando PowerShell è impostato su Alert.

In PowerShell v3 (introdotto in Windows 8.1) e versioni successive, la maggior parte degli script PowerShell viene eseguita come comando a riga singola; qualora contengano più righe, vengono eseguiti in ordine. In questo modo è possibile bypassare l'interprete di script di PowerShell. Block PowerShell console risolve questo problema impedendo a qualsiasi applicazione di avviare la console PowerShell. L'ambiente di scripting integrato (ISE, Integrated Scripting Environment) non è influenzato da questa policy.

Macro

L'impostazione Macro interpreta le macro presenti all'interno di documenti Office e PDF e blocca le macro malevole che potrebbero tentare di scaricare minacce.

Disabilita controllo mediante script

Queste policy disabilitano completamente la possibilità di inviare avvisi per il tipo di script definito all'interno di ciascuna policy. Se l'opzione è disabilitata, non viene effettuata alcuna registrazione e non vengono effettuati tentativi di rilevare o bloccare le potenziali minacce.

Script attivo

Se questa opzione è selezionata, impedisce la raccolta di registri e blocca eventuali minacce basate su Active Script. Gli script attivi includono tutti gli script interpretati da Windows Scripting Host, tra cui JavaScript, VBScript, file batch e molti altri ancora.

PowerShell

Se questa opzione è selezionata, impedisce la raccolta di registri e blocca qualsiasi potenziale minaccia basata su PowerShell. Gli script PowerShell includono tutti gli script di più righe eseguiti come un comando singolo

Macro

Se questa opzione è selezionata, impedisce la raccolta di registri e blocca eventuali minacce basate su macro. L'impostazione Macro interpreta le macro presenti all'interno di documenti Office e PDF e blocca le macro malevole che potrebbero tentare di scaricare minacce.

Esclusioni cartelle (include le sottocartelle)

Esclusioni cartelle consente di definire le cartelle in cui possono essere eseguiti gli script e che possono quindi essere escluse. Questa sezione richiede di specificare le esclusioni in un formato con percorso relativo.

• I percorsi delle cartelle possono essere quelli di un'unità locale, un'unità di rete mappata o un percorso UNC (Universal Naming Convention).
• Le esclusioni delle cartelle di script devono specificare il percorso relativo della cartella o della sottocartella.
• Qualsiasi percorso di cartella specificato include anche le eventuali sottocartelle.
• Per le esclusioni con caratteri jolly, è necessario utilizzare le barre in avanti in stile UNIX nei computer Windows. Esempio: /windows/system*/.
• L'unico carattere jolly supportato è *.
• Per le esclusioni delle cartelle con un carattere jolly. è necessario utilizzare una barra alla fine del percorso per fare distinzione tra una cartella e un file.
  • Esclusione cartella: /windows/system32/*/
  • Esclusione file: /windows/system32/*
• È necessario aggiungere un carattere jolly per ogni livello di profondità di cartella. Esempio: /folder/*/script.vbs Corrisponde \folder\test\script.vbs oppure \folder\exclude\script.vbs ma non funziona per \folder\test\001\script.vbs. A tal fine è necessario /folder/*/001/script.vbs oppure /folder/*/*/script.vbs.
• I caratteri jolly supportano esclusioni complete e parziali.
  • Esempio di carattere jolly completo: /folder/*/script.vbs
  • Esempio di carattere jolly parziale: /folder/test*/script.vbs
• Sono supportati anche i percorsi di rete con caratteri jolly.
  • //*/login/application
  • //abc*/logon/application

Corretto (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Corretto (Windows): \Cases\ScriptsAllowed
Errato: C:\Application\SubFolder\application.vbs
Errato: \Program Files\Dell\application.vbs

Esempi con carattere jolly:

/users/*/temp riguarderebbe:

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs riguarderebbe:

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs