Recommandations relatives aux stratégies de Dell Threat Defense

Nous recommandons de configurer les stratégies Mode apprentissage ou en Mode protection. Mode d’apprentissage : permet à Dell Technologies de tester Dell Threat Defense dans un environnement. Cela est plus efficace lorsque Dell Threat Defense est déployé sur des points de terminaison disposant de l’image de l’entreprise standard.

Des modifications supplémentaires peuvent être nécessaires pour les serveurs d’applications, car elles sont plus élevées que les E/S de disque normales.

Une fois que toutes les alertes ont été traitées par l’administrateur dans la console d’administration de Dell Threat Defense, Dell Technologies recommande de passer aux recommandations de stratégie en mode de protection. Dell Technologies recommande au moins quelques semaines de test en mode d’apprentissage avant de passer aux stratégies du mode de protection.

Cliquez sur Recommandations du serveur d’applications, Mode d’apprentissage ou Mode de protection pour plus d’informations.

Recommandations relatives au serveur d’applications

Que ce soit en Mode apprentissage et en Mode protection, les serveurs d’applications peuvent voir des comportements supplémentaires et différents vis-à-vis des systèmes d’exploitation des clients. La mise en quarantaine automatique (AQT) a bloqué, dans de rares cas, l’exécution de certains fichiers nécessaire au calcul du score. Cela se produit lorsqu’une application détecte le verrouillage des fichiers en cas de falsification, ou qu’un processus peut échouer dans le cadre d’une période attendue.

Si l’option Rechercher les nouveaux fichiers est activée, elle peut ralentir les opérations de l’appareil. Lors de la génération d’un nouveau fichier, celui-ci est analysé. Bien que ce processus soit léger, un volume élevé de fichiers simultanés peut avoir un impact sur les performances.

Modifications de stratégies suggérées pour les systèmes d’exploitation de Windows Server :

• Activez la détection des menaces en arrière-plan et faites-la exécuter une fois.
• Assurez-vous que le champ Contrôle d’exécution est activé.
• Désactivez la surveillance des nouveaux fichiers.

Avec ces recommandations, il est généralement préconisé de faire en sorte que les appareils exécutant les systèmes d’exploitation de serveur soient séparés en « zones ». Pour plus d’informations sur la génération de zones, voir Gestion des zones dans Dell Threat Defense.

Learning Mode (Mode apprentissage)

Tableau 1 : Mode d’apprentissage Actions de fichier

Politique	Paramètre recommandé
Mise en quarantaine automatique avec contrôle d’exécution des fichiers dangereux	Désactivé
Mise en quarantaine automatique avec contrôle d’exécution des fichiers anormaux	Désactivé
Activer la suppression automatique pour les fichiers mis en quarantaine	Désactivé
Téléchargement automatique	Activé
Liste de sécurité de la stratégie	Dépendant de l’environnement

Tableau 2 : Paramètres de protection du mode d’apprentissage

Politique	Paramètre recommandé
Empêcher l’arrêt du service à partir de l’appareil	Désactivé
Arrêter les processus dangereux en cours d’exécution et leurs sous-processus	Désactivé
Détection des menaces en arrière-plan	Désactivé
Exécuter une fois/exécuter une opération récurrente	Non applicable lorsque la protection contre les menaces en arrière-plan est définie sur Désactivé
Rechercher les nouveaux fichiers	Désactivé
Copier les exemples de fichiers	Dépendant de l’environnement

Tableau 3 : Paramètres de l’agent en mode d’apprentissage

Politique	Paramètre recommandé
Activer le téléchargement automatique des journaux	Dépendant de l’environnement
Activer les notifications de bureau	Dépendant de l’environnement

Tableau 4 : Contrôle des scripts en mode d’apprentissage

Politique	Paramètre recommandé
Contrôle des scripts	Activé
Active Script 1370 ou versions antérieures et PowerShell	Alerte
Active Script 1380 et versions ultérieures	Alerte
Powershell 1380 et versions ultérieures	Alerte
Bloquer l’utilisation de la console PowerShell	Non applicable lorsque PowerShell est défini sur Alerte
Macros 1380 et supérieures	Alerte
Désactiver le contrôle de script d’Active Script	Désactivé
Désactiver le contrôle de script de Powershell	Désactivé
Désactiver le contrôle des scripts de macros	Désactivé
Exclusions de dossiers (y compris les sous-dossiers)	Dépendant de l’environnement

Protect Mode (Mode protection)

Tableau 5 : Actions de fichier en mode protection

Politique	Paramètre recommandé
Mise en quarantaine automatique avec contrôle d’exécution des fichiers dangereux	Activé
Mise en quarantaine automatique avec contrôle d’exécution des fichiers anormaux	Activé
Activer la suppression automatique pour les fichiers mis en quarantaine	Dépendant de l’environnement
Téléchargement automatique	Dépendant de l’environnement
Liste de sécurité de la stratégie	Dépendant de l’environnement

Tableau 6 : Mode de protection Paramètres de protection

Politique	Paramètre recommandé
Empêcher l’arrêt du service à partir de l’appareil	Activé
Arrêter les processus dangereux en cours d’exécution et leurs sous-processus	Activé
Détection des menaces en arrière-plan	Activé
Exécuter une fois/exécuter une opération récurrente	Exécuter une fois
Rechercher les nouveaux fichiers	Activé
Copier les exemples de fichiers	Dépendant de l’environnement

Tableau 7 : Paramètres de l’agent en mode protection

Politique	Paramètre recommandé
Activer le téléchargement automatique des journaux	Dépendant de l’environnement
Activer les notifications de bureau	Dépendant de l’environnement

Tableau 8 : Contrôle des scripts en mode protection

Politique	Paramètre recommandé
Contrôle des scripts	Activé
Active Script 1370 ou versions antérieures et PowerShell	Bloqué
Active Script 1380 et versions ultérieures	Bloqué
Powershell 1380 et versions ultérieures	Bloqué
Bloquer l’utilisation de la console PowerShell	Bloqué
Macros 1380 et supérieures	Bloqué
Désactiver le contrôle de script d’Active Script	Désactivé
Désactiver le contrôle de script de Powershell	Désactivé
Désactiver le contrôle des scripts de macros	Désactivé
Exclusions de dossiers (y compris les sous-dossiers)	Dépendant de l’environnement

Définitions de stratégies Threat Defense :

Actions de fichier

Mise en quarantaine automatique avec contrôle d’exécution des fichiers dangereux

Cette règle détermine ce qu’il advient des fichiers détectés lors de leur exécution. Par défaut, même lorsqu’un fichier dangereux est détecté comme étant en cours d’exécution, la menace est bloquée. Non sécurisé se caractérise par un score cumulé pour l’exécutable portable supérieur à 60 dans le système de notation d’Advanced Threat Prevention, basé sur des indicateurs de menace évalués.

Mise en quarantaine automatique avec contrôle d’exécution des fichiers anormaux

Cette règle détermine ce qu’il advient des fichiers détectés lors de leur exécution. Par défaut, même lorsqu’un fichier anormal est détecté comme étant en cours d’exécution, la menace est bloquée. « Anormal » se caractérise par un score cumulé pour l’exécutable portable qui est supérieur à 0, mais ne dépasse pas 60 dans le système de notation d’Advanced Threat Prevention. Le système de notation est basé sur des indicateurs de menace qui ont été évalués.

Activer la suppression automatique pour les fichiers mis en quarantaine

Lorsque les fichiers dangereux ou anormaux sont mis en quarantaine au niveau de l’appareil, des listes de quarantaine globales ou des stratégies de mise en quarantaine automatique, ils sont conservés dans un cache de quarantaine en sandbox local sur l’appareil local. Lorsque l’option Activer la suppression automatique des fichiers mis en quarantaine est activée, elle indique le nombre de jours (minimum de 14 jours, maximum de 365 jours) pendant lesquels conserver le fichier sur l’appareil local avant de le supprimer définitivement. Lorsque cette option est activée, il est possible de modifier le nombre de jours.

Téléchargement automatique

Marque les menaces qui n’ont pas été détectées par l’environnement de logiciel en tant que service de Threat Defense pour une analyse plus approfondie. Lorsqu’un fichier est marqué comme menace potentielle par le modèle local, un hachage SHA256 est capturé du fichier exécutable portable, et est envoyé au logiciel en tant que service. Si le hachage SHA256 qui a été envoyé ne peut pas être mis en correspondance avec une menace, et si le téléchargement automatique est activé, cela permet un téléchargement sécurisé de la menace pour l’évaluation. Ces données sont stockées de manière sécurisée et ne sont pas accessibles par Dell ou ses partenaires.

Liste de sécurité de la stratégie

La liste de sécurité des stratégies est une liste de fichiers qui ont été jugés sûrs dans l’environnement et qui ont été exonérés manuellement en soumettant leur hachage SHA256 et toutes les informations supplémentaires. Lorsqu’un hachage SHA256 est placé dans cette liste, lorsque le fichier est exécuté, il n’est pas évalué par les modèles de menace locale ou Cloud. Il s’agit de chemins de fichiers « absolus ».

Exemples d’exclusions :

Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Paramètres de protection

Arrêter les processus dangereux en cours d’exécution et leurs sous-processus

Lorsque l’option Supprimer les processus dangereux en cours d’exécution et leurs sous-processus est activée, cela détermine si une menace génère des processus enfants ou si l’application a pris le contrôle d’autres processus qui s’exécutent actuellement dans la mémoire. Si l’on pense qu’un processus a été pris en charge par une menace, la menace principale et tous les processus qu’elle a générés ou qu’elle possède actuellement sont immédiatement arrêtés.

Détection des menaces en arrière-plan

Lorsqu’elle est activée, la détection des menaces en arrière-plan analyse l’ensemble de l’appareil à la recherche de tout fichier exécutable portable, puis évalue cet exécutable à l’aide du modèle de menace local et demande la confirmation de l’évaluation de l’exécutable avec le SaaS basé sur le cloud en fonction des indicateurs de menace de l’exécutable. Deux options sont possibles avec la détection des menaces en arrière-plan : Run Once et Run Recurring. Run Once effectue une analyse en arrière-plan de tous les disques physiques connectés à l’appareil au moment où Threat Defense est installé et activé. L’option Run Recurring effectue une analyse en arrière-plan de tous les appareils connectés à l’appareil dès que Threat Defense est installé et activé. Il répète l’analyse tous les neuf jours (non configurable).

Rechercher les nouveaux fichiers

Lorsque l’option Rechercher les nouveaux fichiers est activée, tout fichier exécutable portable introduit sur l’appareil est immédiatement évalué avec les indicateurs de menace qu’il affiche à l’aide du modèle local, et ce score est confirmé par rapport au SaaS hébergé dans le Cloud.

Copier les exemples de fichiers

La copie d’échantillons de fichiers permet de placer automatiquement toutes les menaces détectées sur l’appareil dans un référentiel défini en fonction du chemin UNC. Cela est recommandé uniquement pour la recherche de menaces internes ou pour conserver un référentiel sécurisé des menaces réunies au sein de l’environnement. Tous les fichiers stockés par Copy File Samples sont compressés avec un mot de passe de infected.

Paramètres de l’agent

Activer le téléchargement automatique des journaux

L’option Activer le chargement automatique des fichiers journaux permet aux points de terminaison de télécharger leurs fichiers journaux pour Dell Threat Defense tous les soirs à minuit ou lorsque le fichier atteint 100 Mo. Les journaux sont téléchargés la nuit, quelle que soit la taille du fichier. Tous les journaux transférés sont compressés avant de sortir du réseau.

Activer les notifications de bureau

L’option Activer les notifications de bureau permet aux utilisateurs d’autoriser les invites sur leur appareil si un fichier est marqué comme anormal ou dangereux. Cette option est disponible dans le menu contextuel de l’icône de la barre d’état système Dell Threat Defense sur les points de terminaison pour lesquels cette stratégie est activée.

Contrôle des scripts

Contrôle des scripts

Le contrôle des scripts fonctionne via une solution basée sur un filtre de mémoire pour identifier les scripts en cours d’exécution sur le périphérique et les empêcher si la stratégie est définie sur Bloquer pour ce type de script. Les paramètres d’alerte de ces stratégies ne notent que les scripts qui auraient été bloqués dans les journaux et sur la console Dell Threat Defense.

Version 1370 et versions antérieures

Ces stratégies s’appliquent aux clients antérieurs à la version 1370, qui étaient disponibles avant juin 2016. Seuls les scripts basés sur Active Script et sur PowerShell sont traités avec ces versions.

Version 1380 et versions supérieures

Ces stratégies’appliquent aux clients de versions ultérieures à la version 1370, disponibles après juin 2016.

Active Script

Les scripts Active Script comprennent tous ceux qui sont interprétés par l’hôte de script Windows, notamment JavaScript, VBScript, les fichiers batch et bien d’autres.

PowerShell

Les scripts PowerShell comprennent n’importe quel script multiligne exécuté en tant que commande unique. (Paramètre par défaut - Alert)

Block PowerShell Console Usage – (non présent lorsque PowerShell est défini sur Alert)

Dans PowerShell v3 (introduit dans Windows 8.1) et versions supérieures, la plupart des scripts PowerShell sont exécutés sous forme de commande à une seule ligne. Bien qu’ils puissent contenir plusieurs lignes, ils sont exécutés dans l’ordre. Cela peut contourner l’interpréteur de script PowerShell. Bloquer la console PowerShell permet de contourner ce problème en désactivant la possibilité de lancer une application à partir de la console PowerShell. L’environnement de script intégré (ISE) n’est pas affecté par cette stratégie.

Macros

Le paramètre Macro interprète les macros qui sont présentes dans les documents Office et les fichiers PDF et bloque les macros malveillantes susceptibles de tenter de télécharger des menaces.

Désactiver le contrôle des scripts

Ces stratégies désactivent entièrement la capacité à alerter sur le type de script défini au sein de chaque stratégie. Lorsque cette option est désactivée, aucune consignation n’est collectée et aucune tentative de détection ou de blocage des menaces potentielles n’est effectuée.

Active Script

Lorsque cette option est cochée, elle empêche la collecte des journaux et bloque les menaces potentielles basées sur Active Script. Les scripts Active Script comprennent tous ceux qui sont interprétés par l’hôte de script Windows, notamment JavaScript, VBScript, les fichiers batch et bien d’autres.

PowerShell

Lorsque cette option est cochée, elle empêche la collecte des journaux et bloque les menaces potentielles basées sur PowerShell. Les scripts PowerShell comprennent n’importe quel script multiligne exécuté en tant que commande unique.

Macros

Lorsque cette option est cochée, elle empêche la collecte de journaux et bloque les menaces potentielles basées sur les macros. Le paramètre Macro interprète les macros qui sont présentes dans les documents Office et les fichiers PDF et bloque les macros malveillantes susceptibles de tenter de télécharger des menaces.

Exclusions de dossiers (y compris les sous-dossiers)

Les exclusions de dossiers permettent de définir les dossiers exclus dans lesquels des scripts peuvent être exécutés. Cette section demande les exclusions dans un format de chemin relatif.

• Les chemins de dossiers peuvent mener à un lecteur local, un lecteur réseau mappé ou un chemin de convention de dénomination universelle (UNC).
• Les exclusions de dossier de scripts doivent spécifier le chemin relatif du dossier ou du sous-dossier.
• N’importe quel chemin de dossier spécifié inclut également tous les sous-dossiers.
• Les exclusions de caractères génériques doivent utiliser la barre oblique de style Unix pour les ordinateurs Windows. Exemple : /windows/system*/.
• Le seul caractère pris en charge pour les caractères génériques est *.
• Les exclusions de dossiers avec un caractère générique doivent contenir une barre oblique à la fin du chemin d’accès afin de différencier les dossiers des fichiers.
  • Exclusion de dossier : /windows/system32/*/
  • Exclusions de fichiers : /windows/system32/*
• Un caractère générique doit être ajouté pour chaque niveau de dossier. Par exemple : /folder/*/script.vbs allumettes \folder\test\script.vbs ou \folder\exclude\script.vbs mais ne fonctionne pas pour \folder\test\001\script.vbs. Pour ce faire, il faudrait soit /folder/*/001/script.vbs ou /folder/*/*/script.vbs.
• Les caractères génériques prennent en charge les exclusions complètes et partielles.
  • Exemple de caractère générique complet : /folder/*/script.vbs
  • Exemple de caractère générique partiel : /folder/test*/script.vbs
• Les chemins d’accès réseau avec des caractères génériques sont également pris en charge.
  • //*/login/application
  • //abc*/logon/application

Correct (Mac) : /Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows) : \Cases\ScriptsAllowed
Incorrect : C:\Application\SubFolder\application.vbs
Incorrect : \Program Files\Dell\application.vbs

Exemples de caractères génériques :

/users/*/temp couvrirait :

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs couvrirait :

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs