Aanbevelingen voor Dell Threat Defense-policy

Het is raadzaam policy's in te stellen in de Leermodus of de Beveiligingsmodus. In de leermodus raadt Dell Technologies aan om Dell Threat Defense in een omgeving te testen. Dit is het effectiefst wanneer Dell Threat Defense wordt geïmplementeerd op eindpunten met het standaardbedrijfsimage.

Er kunnen meer wijzigingen nodig zijn voor applicatieservers vanwege een hoger dan normale schijf-I/O.

Wanneer alle waarschuwingen in de Dell Threat Defense beheerconsole door de beheerder zijn afgehandeld, raadt Dell Technologies u aan over te schakelen naar de beleidsaanbevelingen voor de Protect Mode. Dell Technologies raadt aan om een paar weken of langer te testen in de leermodus voordat u overschakelt naar beleid voor de beveiligingsmodus.

Klik op Application Server Recommendations, Learning Mode of Protect Mode voor meer informatie.

Aanbevelingen voor applicatieservers

In zowel de Leer- als de Beveiligingsmodus kunnen applicatieservers extra overhead en onvergelijkbaar gedrag vertonen als clientbesturingssystemen. AQT (Auto Quarantine) heeft er in zeldzame gevallen toe geleid dat sommige bestanden niet kunnen worden uitgevoerd totdat een score kan worden berekend. Dit is waargenomen wanneer een toepassing de vergrendeling van zijn bestanden als sabotage detecteert, of wanneer een proces mogelijk niet binnen een verwacht tijdsbestek wordt voltooid.

Als Naar nieuwe bestanden kijken is ingeschakeld, kan dit de werking van het apparaat vertragen. Wanneer een nieuw bestand wordt gegenereerd, wordt het geanalyseerd. Hoewel dit proces licht van gewicht is, kan een groot aantal bestanden tegelijk een impact hebben op de prestaties.

Voorgestelde policywijzigingen voor Windows Server-besturingssystemen:

• Schakel Detectie van achtergrondbedreigingen in en laat deze één keer uitvoeren.
• Zorg ervoor dat Execution Control is ingeschakeld.
• Let op nieuwe bestanden uitschakelen.

Met deze aanbevelingen wordt meestal ook aangeraden om apparaten met serverbesturingssystemen in aparte zones te plaatsen. Raadpleeg voor meer informatie over het genereren van zones Zones beheren in Dell Threat Defense.

Leermodus

Tabel 1: Bestandsacties in leermodus

Beleid	Aanbevolen instelling
Automatische quarantaine met uitvoeringscontrole voor onveilige bestanden	Disabled
Automatische quarantaine met uitvoeringscontrole voor abnormale bestanden	Disabled
Automatisch verwijderen inschakelen voor bestanden in quarantaine	Disabled
Automatisch uploaden	Enabled
Veilige lijst	Afhankelijk van de omgeving

Tabel 2: Beveiligingsinstellingen voor leermodus

Beleid	Aanbevolen instelling
Voorkomen dat de service wordt afgesloten op het apparaat	Disabled
Onveilige actieve processen en hun subprocessen beëindigen	Disabled
Detectie van bedreigingen op de achtergrond	Disabled
Eenmalig uitvoeren/Herhaald uitvoeren	Niet van toepassing wanneer bescherming tegen achtergronddreigingen is ingesteld op Uitgeschakeld
Controleren op nieuwe bestanden	Disabled
Bestandsvoorbeelden kopiëren	Afhankelijk van de omgeving

Tabel 3: Agentinstellingen leermodus

Beleid	Aanbevolen instelling
Automatisch uploaden van logbestanden inschakelen	Afhankelijk van de omgeving
Bureaubladmelding inschakelen	Afhankelijk van de omgeving

Tabel 4: Scriptbesturing leermodus

Beleid	Aanbevolen instelling
Scriptcontrole	Enabled
1370 en lager Actief script en PowerShell	Waarschuwing
1380 en hoger Active Script	Waarschuwing
1380 en hoger PowerShell	Waarschuwing
Gebruik van PowerShell-console blokkeren	Niet van toepassing wanneer PowerShell is ingesteld op Alert
1380 en hoger Macro's	Waarschuwing
Active Script voor scriptcontrole uitschakelen	Disabled
Script Control PowerShell uitschakelen	Disabled
Macro's voor scriptcontrole uitschakelen	Disabled
Mapuitsluitingen (inclusief submappen)	Afhankelijk van de omgeving

Beveiligingsmodus

Tabel 5: Bestandsacties in de beveiligingsmodus

Beleid	Aanbevolen instelling
Automatische quarantaine met uitvoeringscontrole voor onveilige bestanden	Enabled
Automatische quarantaine met uitvoeringscontrole voor abnormale bestanden	Enabled
Automatisch verwijderen inschakelen voor bestanden in quarantaine	Afhankelijk van de omgeving
Automatisch uploaden	Afhankelijk van de omgeving
Veilige lijst	Afhankelijk van de omgeving

Tabel 6: Beschermingsinstellingen beveiligingsmodus

Beleid	Aanbevolen instelling
Voorkomen dat de service wordt afgesloten op het apparaat	Enabled
Onveilige actieve processen en hun subprocessen beëindigen	Enabled
Detectie van bedreigingen op de achtergrond	Enabled
Eenmalig uitvoeren/Herhaald uitvoeren	Eenmaal uitvoeren
Controleren op nieuwe bestanden	Enabled
Bestandsvoorbeelden kopiëren	Afhankelijk van de omgeving

Tabel 7: Instellingen voor Protect Mode Agent

Beleid	Aanbevolen instelling
Automatisch uploaden van logbestanden inschakelen	Afhankelijk van de omgeving
Bureaubladmelding inschakelen	Afhankelijk van de omgeving

Tabel 8: Scriptbesturing beveiligingsmodus

Beleid	Aanbevolen instelling
Scriptcontrole	Enabled
1370 en lager Actief script en PowerShell	Blokkeren
1380 en hoger Active Script	Blokkeren
1380 en hoger PowerShell	Blokkeren
Gebruik van PowerShell-console blokkeren	Blokkeren
1380 en hoger Macro's	Blokkeren
Active Script voor scriptcontrole uitschakelen	Disabled
Script Control PowerShell uitschakelen	Disabled
Macro's voor scriptcontrole uitschakelen	Disabled
Mapuitsluitingen (inclusief submappen)	Afhankelijk van de omgeving

Policydefinities voor bescherming tegen dreigingen:

Bestandsacties

Automatische quarantaine met uitvoeringscontrole voor onveilige bestanden

Dit beleid bepaalt wat er gebeurt met bestanden die worden gedetecteerd terwijl ze worden uitgevoerd. Standaard wordt de dreiging geblokkeerd, zelfs wanneer wordt gedetecteerd dat een onveilig bestand wordt uitgevoerd. Onveilig wordt gekenmerkt door een cumulatieve score voor het draagbare uitvoerbare bestand van meer dan 60 binnen het scoresysteem van Advanced Threat Prevention dat is gebaseerd op dreigingsindicatoren die zijn geëvalueerd.

Automatische quarantaine met uitvoeringscontrole voor abnormale bestanden

Dit beleid bepaalt wat er gebeurt met bestanden die worden gedetecteerd terwijl ze worden uitgevoerd. Standaard wordt de dreiging geblokkeerd, zelfs wanneer een abnormaal bestand wordt gedetecteerd als actief. Abnormaal wordt gekenmerkt door een cumulatieve score voor het draagbare uitvoerbare bestand die hoger is dan 0 maar niet hoger is dan 60 binnen het scoresysteem van Advanced Threat Prevention. Het scoresysteem is gebaseerd op dreigingsindicatoren die zijn geëvalueerd.

Automatisch verwijderen inschakelen voor bestanden in quarantaine

Wanneer onveilige of abnormale bestanden in quarantaine worden geplaatst op basis van quarantaines op apparaatniveau, algemene quarantainelijsten of door beleid voor automatische quarantaine, worden ze bewaard in een lokale quarantainecache in een sandbox op het lokale apparaat. Wanneer Automatische verwijdering inschakelen is ingeschakeld voor bestanden die in quarantaine zijn geplaatst, geeft dit het aantal dagen aan (minimaal 14 dagen, maximaal 365 dagen) om het bestand op het lokale apparaat te bewaren voordat het bestand permanent wordt verwijderd. Wanneer dit is ingeschakeld, wordt de mogelijkheid om het aantal dagen te wijzigen mogelijk.

Automatisch uploaden

Geeft bedreigingen aan die niet door de Threat Defense SaaS-omgeving (Software as a Service) zijn waargenomen voor verdere analyse. Wanneer een bestand door het lokale model wordt gemarkeerd als een potentiële bedreiging, wordt een SHA256-hash van het draagbare uitvoerbare bestand genomen en deze wordt naar de SaaS verzonden. Als de SHA256-hash die is verzonden niet kan worden gekoppeld aan een bedreiging en Automatisch uploaden is ingeschakeld, kan de bedreiging veilig worden geüpload naar de SaaS voor evaluatie. Deze data worden veilig opgeslagen en zijn niet toegankelijk voor Dell of haar partners.

Veilige lijst

De Veilige lijst is een lijst met bestanden die zijn aangemerkt als veilig binnen de omgeving en die handmatig zijn goedgekeurd door hun SHA256-hash en eventuele aanvullende informatie in deze lijst te plaatsen. Wanneer een SHA256-hash in deze lijst wordt geplaatst en het bestand wordt uitgevoerd, wordt het niet geëvalueerd door de lokale of cloudbedreigingsmodellen. Dit zijn "absolute" bestandspaden.

Voorbeelden van uitsluitingen:

Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Beveiligingsinstellingen

Onveilige actieve processen en hun subprocessen beëindigen

Wanneer Kill unsafe actieve processen en hun subprocessen is ingeschakeld, bepaalt dit of een bedreiging onderliggende processen genereert of dat de applicatie andere processen heeft overgenomen die momenteel in het geheugen worden uitgevoerd. Als er een overtuiging bestaat dat een proces is overgenomen door een bedreiging, worden de primaire bedreiging en alle processen die het heeft gegenereerd of momenteel bezit, onmiddellijk beëindigd.

Detectie van bedreigingen op de achtergrond

Indien ingeschakeld scant detectie van achtergrondbedreigingen het hele apparaat op een draagbaar uitvoerbaar bestand, evalueert dat uitvoerbare bestand vervolgens met het lokale bedreigingsmodel en vraagt om bevestiging voor de score van het uitvoerbare bestand met de cloudgebaseerde SaaS op basis van de bedreigingsindicatoren van het uitvoerbare bestand. Er zijn twee opties mogelijk met Detectie van achtergrondbedreigingen: Voer één keer uit en voer terugkerend uit. Run Once voert een achtergrondscan uit van alle fysieke schijven die op het apparaat zijn aangesloten op het moment dat Threat Defense wordt geïnstalleerd en geactiveerd. Run Recurring voert een achtergrondscan uit van alle apparaten die op het apparaat zijn aangesloten op het moment dat Threat Defense wordt geïnstalleerd en geactiveerd. De scan wordt elke negen dagen herhaald (niet configureerbaar).

Controleren op nieuwe bestanden

Wanneer Controleren op nieuwe bestanden is ingeschakeld, wordt elk draagbaar uitvoerbaar bestand dat op het apparaat wordt geïntroduceerd onmiddellijk geëvalueerd met de bedreigingsindicatoren die het weergeeft met behulp van het lokale model, en wordt deze score bevestigd tegen de in de cloud gehoste SaaS.

Bestandsvoorbeelden kopiëren

Met voorbeelden van kopieerbestanden kunnen bedreigingen die op het apparaat worden aangetroffen, automatisch worden geblokkeerd naar een gedefinieerde repository op basis van het UNC-pad. Dit wordt alleen aanbevolen voor intern onderzoek naar bedreigingen of voor een veilige opslagplaats van verpakte bedreigingen binnen de omgeving. Alle bestanden die zijn opgeslagen door Copy File Samples worden gezipt met een wachtwoord van infectedte installeren.

Agentinstellingen

Automatisch uploaden van logbestanden inschakelen

Met Automatische upload van logbestanden kunnen eindpunten hun logbestanden uploaden voor Dell Threat Defense elke nacht om middernacht, of wanneer het bestand 100 MB bereikt. Logboeken worden elke nacht geüpload, ongeacht de bestandsgrootte. Alle logboeken die worden overgedragen, worden gecomprimeerd voordat ze het netwerk verlaten.

Bureaubladmelding inschakelen

Met Melding op het bureaublad inschakelen kunnen apparaatgebruikers prompts op hun apparaat toestaan als een bestand als abnormaal of onveilig is gemarkeerd. Dit is een optie in het snelmenu van het Dell Threat Defense-systeemvakpictogram op eindpunten waarop deze policy is ingeschakeld.

Scriptcontrole

Scriptcontrole

Script Control werkt via een op geheugenfilters gebaseerde oplossing om scripts te identificeren die op het apparaat worden uitgevoerd en deze te voorkomen als het beleid is ingesteld op Blokkeren voor dat scripttype. Waarschuwingsinstellingen op deze beleidsregels markeren alleen scripts die zouden zijn geblokkeerd in logboeken en op de Dell Threat Defense-console.

1370 en lager

Dit beleid is van toepassing op klanten vóór 1370, die vóór juni 2016 beschikbaar waren. Met deze versies wordt alleen actie ondernomen op actieve scripts en op PowerShell gebaseerde scripts.

1380 en hoger

Deze policy's zijn van toepassing op clients van ná 1370, die beschikbaar waren ná juni 2016.

Active Script

Actieve scripts omvatten elk script dat wordt geïnterpreteerd door de Windows-scripthost, inclusief JavaScript, VBScript, batchbestanden en vele andere.

Powershell

PowerShell-scripts omvatten elk script met meerdere regels dat als één opdracht wordt uitgevoerd. (Standaardinstelling - Waarschuwing)

Block PowerShell Console Usage - (not present when PowerShell is ingesteld to Alert)

In PowerShell v3 (geïntroduceerd in Windows 8.1) en later worden de meeste PowerShell-scripts uitgevoerd als een eenregelige opdracht; Hoewel ze meerdere regels kunnen bevatten, worden ze in volgorde uitgevoerd. Hiermee kan de PowerShell-scriptinterpreter worden omzeild. Block PowerShell console werkt hier omheen door de mogelijkheid uit te schakelen om elke applicatie de PowerShell console te laten starten. De Integrated Scripting Environment (ISE) wordt niet beïnvloed door deze policy.

Macro's

De instelling Macro interpreteert macro's die aanwezig zijn in Office-documenten en PDF's en blokkeert schadelijke macro's die mogelijk proberen bedreigingen te downloaden.

Scriptcontrole uitschakelen

Met deze policy's wordt de mogelijkheid om waarschuwingen te ontvangen over het scripttype dat in elke policy is gedefinieerd, volledig uitgeschakeld. Als deze optie is uitgeschakeld, worden geen logboekdata verzameld en wordt geen poging gedaan om potentiële bedreigingen te detecteren of te blokkeren.

Active Script

Als deze optie is aangevinkt, voorkomt dit dat logboeken worden verzameld en worden mogelijke op Active Script gebaseerde bedreigingen geblokkeerd. Actieve scripts omvatten elk script dat wordt geïnterpreteerd door de Windows-scripthost, inclusief JavaScript, VBScript, batchbestanden en vele andere.

Powershell

Als deze optie is aangevinkt, voorkomt dit dat logboeken worden verzameld en worden mogelijke op PowerShell gebaseerde bedreigingen geblokkeerd. PowerShell-scripts omvatten elk script met meerdere regels dat als één opdracht wordt uitgevoerd.

Macro's

Als deze optie is aangevinkt, wordt voorkomen dat logboeken worden verzameld en worden mogelijke macro-gebaseerde bedreigingen geblokkeerd. De instelling Macro interpreteert macro's die aanwezig zijn in Office-documenten en PDF's en blokkeert schadelijke macro's die mogelijk proberen bedreigingen te downloaden.

Mapuitsluitingen (inclusief submappen)

Met Mapuitsluitingen kunt u mappen definiëren waarin scripts kunnen worden uitgevoerd die kunnen worden uitgesloten. In deze sectie wordt gevraagd om uitsluitingen in een relatieve padindeling.

• Mappaden kunnen wijzen naar een lokaal station, een gekoppeld netwerkstation of een pad van een Universal Naming Convention (UNC).
• Uitsluiting van scriptmappen moet het relatieve pad van de map of submap opgeven.
• Elk opgegeven mappad bevat ook eventuele submappen.
• Uitsluitingen met jokertekens moeten voorwaartse schuine strepen gebruiken in de UNIX-stijl voor Windows-computers. Voorbeeld: /windows/system*/te installeren.
• Het enige teken dat wordt ondersteund voor jokertekens is *.
• Mapuitsluitingen met een jokerteken moeten een schuine streep hebben aan het einde van het pad om onderscheid te kunnen maken tussen een map en een bestand.
  • Uitsluiting van mappen: /windows/system32/*/
  • Bestandsuitsluiting: /windows/system32/*
• Er moet een jokerteken worden toegevoegd voor elk niveau van de mapdiepte. Bijvoorbeeld, /folder/*/script.vbs lucifers \folder\test\script.vbs of \folder\exclude\script.vbs maar werkt niet voor \folder\test\001\script.vbste installeren. Dit vereist het volgende /folder/*/001/script.vbs of /folder/*/*/script.vbste installeren.
• Jokertekens ondersteunen volledige en gedeeltelijke uitsluitingen.
  • Voorbeeld van een volledig jokerteken: /folder/*/script.vbs
  • Voorbeeld van een gedeeltelijk jokerteken: /folder/test*/script.vbs
• Netwerkpaden worden ook ondersteund met jokertekens.
  • //*/login/application
  • //abc*/logon/application

Juist (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows): \Cases\ScriptsAllowed
Onjuist: C:\Application\SubFolder\application.vbs
Onjuist: \Program Files\Dell\application.vbs

Voorbeelden van jokertekens:

/users/*/temp zou betrekking hebben op:

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs zou betrekking hebben op:

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs