Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos

Dell Threat Defensen suositellut käytännöt

Resumen: Lue lisätietoja Dell Threat Defensen suositelluista käytännöistä ja käytäntömääritelmistä.

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Instrucciones

Huomautus:

Dell Threat Defense käyttää käytäntöjä:

  • uhkien käsittelytavan määrittämiseen
  • karanteenissa olevien tiedostojen käsittelytavan määrittämiseen
  • komentosarjojen hallinnan määrittämiseen.

Tuotteet, joita asia koskee:

  • Dell Threat Defense

Katso lisätietoja valitsemalla Suositellut käytännöt tai Käytäntömääritykset .

Threat Defense -käytäntöjen määritelmät:

Tiedostotoiminnot

Automaattinen karanteeni ja Suorittamisen hallinta vaarallisille tiedostoille

Tämä käytäntö määrittää, mitä tapahtuu suorittamisen aikana havaituille tiedostoille. Oletusarvon mukaan uhka estetään, vaikka vaarallinen tiedosto havaittaisiin käynnissä. Vaaralliselle on ominaista kannettavan suoritettavan tiedoston kumulatiivinen pistemäärä, joka ylittää 60 Advanced Threat Preventionin pisteytysjärjestelmässä, joka perustuu arvioituihin uhkaindikaattoreihin.

Automaattinen karanteeni ja Suorittamisen hallinta poikkeaville tiedostoille

Tämä käytäntö määrittää, mitä tapahtuu suorittamisen aikana havaituille tiedostoille. Oletusarvon mukaan, vaikka epänormaali tiedosto havaitaan käynnissä, uhka estetään. Epänormaalille on ominaista kannettavan suoritettavan tiedoston kumulatiivinen pistemäärä, joka on suurempi kuin 0, mutta ei yli 60 Advanced Threat Preventionin pisteytysjärjestelmässä. Pisteytysjärjestelmä perustuu arvioituihin uhkaindikaattoreihin.

Ota käyttöön automaattinen poisto karanteenissa oleville tiedostoille

Kun vaaralliset tai epänormaalit tiedostot asetetaan karanteeniin laitetason karanteenien, yleisten karanteeniluetteloiden tai automaattisen karanteenin käytäntöjen perusteella, niitä säilytetään paikallisen laitteen paikallisessa eristetyssä karanteenivälimuistissa. Kun asetus Ota karanteeniin asetettujen tiedostojen automaattinen poisto käyttöön on käytössä, se ilmaisee, kuinka monta päivää (vähintään 14 päivää, enintään 365 päivää) tiedosto säilytetään paikallisessa laitteessa ennen tiedoston pysyvää poistamista. Kun tämä on käytössä, mahdollisuus muuttaa päivien määrää tulee mahdolliseksi.

Automaattinen lähetys

Merkitsee uhat, joita Threat Defensen SaaS (Software as a Service) -ympäristö ei ole aiemmin havainnut, jotta niitä voidaan analysoida lisää. Kun paikallinen malli merkitsee tiedoston mahdolliseksi uhaksi, suoritettavasta tiedostosta otetaan SHA256-hajautusarvo, joka lähetetään SaaS-ympäristöön. Jos lähetettyä SHA256-hajautusarvoa ei voida yhdistää uhkaan ja Automaattinen lähetys on käytössä, uhka voidaan lähettää turvallisesti SaaS-ympäristöön arvioitavaksi. Tietoja säilytetään turvallisesti ja Dell tai sen kumppanit eivät voi käyttää niitä.

Käytännön turvallisiksi merkityt tiedostot

Käytännön turvallisiksi merkityt tiedostot on luettelo tiedostoista, jotka on merkitty ympäristössä turvallisiksi ja jotka on hyväksytty manuaalisesti lisäämällä luetteloon niiden SHA256-hajautusarvo sekä mahdolliset lisätiedot. Kun SHA256-hajautusarvo sijoitetaan tähän luetteloon, kun tiedosto suoritetaan, sitä ei arvioida paikallisten tai pilviuhkamallien perusteella. Nämä ovat absoluuttisia tiedostopolkuja.

Esimerkkejä poikkeuksista:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Suojausasetukset

Pysäytä vaaralliset käynnissä olevat prosessit ja niiden aliprosessit

Kun vaarallisten suoritusten ja niiden aliprosessien tappaminen on käytössä, tämä määrittää, luoko uhka aliprosesseja vai onko sovellus ottanut haltuunsa muita muistissa käynnissä olevia prosesseja. Jos uskotaan, että uhka on ottanut prosessin haltuunsa, ensisijainen uhka ja kaikki sen luomat tai tällä hetkellä omistamat prosessit lopetetaan välittömästi.

Uhkien taustatarkistus

Kun taustauhkien havaitseminen on käytössä, se etsii koko laitteesta kannettavaa suoritettavaa tiedostoa ja arvioi sitten suoritettavan tiedoston paikallisella uhkamallilla ja pyytää vahvistusta suoritettavan tiedoston pisteytykselle pilvipohjaisella SaaS-palvelulla suoritettavan tiedoston uhkailmaisimien perusteella. Taustauhkien tunnistuksen avulla on kaksi vaihtoehtoa: Suorita kerran ja toistuvasti. Run Once suorittaa kaikkien laitteeseen kytkettyjen fyysisten asemien taustatarkistuksen heti, kun Threat Defense asennetaan ja aktivoidaan. Suorita toistuva suorittaa kaikkien laitteeseen yhdistettyjen laitteiden taustatarkistuksen heti, kun Threat Defense asennetaan ja aktivoidaan. Se toistaa tarkistuksen yhdeksän päivän välein (ei määritettävissä).

Tarkista uudet tiedostot

Kun Watch for New Files on käytössä, kaikki laitteeseen tuodut kannettavat suoritettavat tiedostot arvioidaan välittömästi uhkailmaisimilla, jotka se näyttää paikallista mallia käyttäen, ja tämä pistemäärä vahvistetaan pilvipalvelussa isännöidyn SaaS-palvelun avulla.

Kopioi tiedostonäytteet

Kopioi tiedostonäytteet -toiminnon avulla laitteesta löytyneet uhat voidaan tallentaa automaattisesti määritettyyn säilöön UNC-polun perusteella. Tätä suositellaan vain sisäiseen uhkien tutkimiseen tai turvallisen säilön luomiseen ympäristön pakatuista uhista. Kaikki tiedostot, jotka Copy File Samples on tallentanut, pakataan salasanalla infected.

Sovelluksen asetukset

Ota käyttöön lokitiedostojen automaattinen lähetys

Kun otat käyttöön lokitiedostojen automaattisen latauksen , päätepisteet voivat ladata lokitiedostonsa Dell Threat Defensea varten öisin keskiyöllä tai kun tiedoston koko on 100 Mt. Lokit ladataan öisin tiedostokoosta riippumatta. Kaikki siirretyt lokit pakataan ennen kuin ne poistuvat verkosta.

Ota käyttöön työpöytäilmoitukset

Ota työpöytäilmoitus käyttöön -toiminnon avulla laitekäyttäjät voivat sallia kehotteet laitteessaan, jos tiedosto on merkitty epänormaaliksi tai vaaralliseksi. Jos käytäntö on otettu käyttöön päätepisteessä, sen voi valita napsauttamalla hiiren kakkospainikkeella Dell Threat Defensen ilmaisinalueen kuvaketta.

Komentosarjojen hallinta

Komentosarjojen hallinta

Script Control toimii muistisuodattimeen perustuvan ratkaisun kautta ja tunnistaa laitteessa käynnissä olevat komentosarjat ja estää ne, jos kyseisen komentosarjatyypin käytännöksi on määritetty Block. Näiden käytäntöjen hälytysasetukset huomioivat vain komentosarjat, jotka olisi estetty lokeissa ja Dell Threat Defense -konsolissa.

1370 tai vanhemmat versiot

Nämä käytännöt koskevat 1370-versiota ja vanhempia, jotka olivat käytettävissä ennen kesäkuuta 2016. Näissä versioissa käytetään vain aktiivisia komentosarjoja ja PowerShell-pohjaisia komentosarjoja.

1380 tai uudemmat versiot

Nämä käytännöt koskevat 1370-version jälkeisiä versioita, jotka tulivat käyttöön kesäkuussa 2016.

Aktiiviset komentosarjat

Aktiiviset komentosarjat sisältävät kaikki Windowsin komentosarjaisännän tulkitsemat komentosarjat, kuten JavaScriptin, VBScriptin, komentojonotiedostot ja monet muut.

PowerShell

PowerShell-komentosarjoihin sisältyy mikä tahansa monirivinen komentosarja, joka suoritetaan yhtenä komentona. (Oletusasetus - hälytys)

Estä PowerShell-konsolin käyttö – (ei käytettävissä, kun PowerShell-asetuksena on Alert)

PowerShell v3:ssa (esitelty Windows 8.1:ssä) ja uudemmissa useimmat PowerShell-komentosarjat suoritetaan yksirivisenä komentona. Vaikka ne voivat sisältää useita rivejä, ne suoritetaan järjestyksessä. Tämän seurauksena PowerShell-komentosarjojen tulkitsija voi ohittaa ne. Estä PowerShell-konsolin käyttö -toiminto ratkaisee ongelman estämällä sovelluksia käynnistämästä PowerShell-konsolia. Käytäntö ei vaikuta ISE (Integrated Scripting Environment) -ympäristöön.

Makrot

Makroasetus tulkitsee Office-asiakirjoissa ja PDF-tiedostoissa olevia makroja ja estää haitalliset makrot, jotka saattavat yrittää ladata uhkia.

Poista komentosarjojen hallinta käytöstä

Nämä käytännöt estävät jopa pelkät hälytykset kussakin käytännössä määritetyistä komentosarjatyypeistä. Kun käytännöt on poistettu käytöstä, lokeja ei kerätä ja mahdollisia uhkia ei yritetä havaita tai estää.

Aktiiviset komentosarjat

Kun tämä vaihtoehto on valittuna, lokien kerääminen estetään ja mahdolliset Active Script -pohjaiset uhat estetään. Aktiiviset komentosarjat sisältävät kaikki Windowsin komentosarjaisännän tulkitsemat komentosarjat, kuten JavaScriptin, VBScriptin, komentojonotiedostot ja monet muut.

PowerShell

Kun tämä vaihtoehto on valittuna, se estää lokien keräämisen ja estää mahdolliset PowerShell-pohjaiset uhat. PowerShell-komentosarjoihin sisältyy mikä tahansa monirivinen komentosarja, joka suoritetaan yhtenä komentona.

Makrot

Kun tämä asetus on valittuna, lokien kerääminen estetään ja mahdolliset makropohjaiset uhat estetään. Makroasetus tulkitsee Office-asiakirjoissa ja PDF-tiedostoissa olevia makroja ja estää haitalliset makrot, jotka saattavat yrittää ladata uhkia.

Kansiopoikkeukset (sisältää alikansiot)

Kansiopoikkeuksilla voi määrittää kansioita, joiden komentosarjoja saa poikkeuksellisesti suorittaa. Poikkeukset on määritettävä käyttämällä suhteellista tiedostopolkua.

  • Polut voivat olla paikallisia asemapolkuja, verkkoasemapolkuja tai UNC-polkuja.
  • Komentosarjojen kansiopoikkeuksissa on määritettävä kansion tai alikansion suhteellinen polku.
  • Määritetty polku sisältää myös mahdolliset alikansiot.
  • Yleismerkkien poissulkemisissa on käytettävä vinoviivoja UNIX-tyyliin Windows-tietokoneissa. Esimerkki: /windows/system*/.
  • Ainoa tuettu yleismerkki on *.
  • Kansiota koskevan poikkeuksen polun lopussa on oltava vinoviiva, joka erottaa sen tiedostoa koskevasta poikkeuksesta.
    • Kansiota koskeva poikkeus: /windows/system32/*/
    • Tiedostoa koskeva poikkeus: /windows/system32/*
  • Yleismerkki on lisättävä jokaiselle alikansiolle. Esimerkki: /folder/*/script.vbs tulitikut \folder\test\script.vbs tai \folder\exclude\script.vbs mutta ei toimi \folder\test\001\script.vbs. Tämä edellyttäisi joko /folder/*/001/script.vbs tai /folder/*/*/script.vbs.
  • Yleismerkeillä voi merkitä koko kansion tai osan sen nimestä.
    • Esimerkki koko kansion yleismerkistä: /folder/*/script.vbs
    • Esimerkki osittaisesta yleismerkistä: /folder/test*/script.vbs
  • Yleismerkeillä voi määrittää myös verkkopolkuja.
    • //*/login/application
    • //abc*/logon/application

Oikein (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Oikein (Windows): \Cases\ScriptsAllowed
Väärin: C:\Application\SubFolder\application.vbs
Väärin: \Program Files\Dell\application.vbs

Esimerkkejä yleismerkeistä:

/users/*/temp kattaisi:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs kattaisi:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.

Información adicional

 

Videos

 

Productos afectados

Dell Threat Defense
Propiedades del artículo
Número del artículo: 000124588
Tipo de artículo: How To
Última modificación: 04 nov 2024
Versión:  12
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.