Dell Threat Defense bruker policyer til å:
Klikk på Anbefalte retningslinjer eller policydefinisjoner hvis du vil ha mer informasjon.
Policyer anbefales å være konfigurert i læringsmodus eller beskyttelsesmodus. Læringsmodus er måten Dell Technologies anbefaler å teste Dell Threat Defense i et miljø. Dette er mest effektivt når Dell Threat Defense implementeres til sluttpunkter med standard firmabilde.
Flere endringer kan være nødvendig for programservere på grunn av høyere I/O-disker enn normalt.
Når alle varslene er håndtert i administrasjonskonsollen for Dell Threat Defense Administration av administratoren, anbefaler Dell Technologies å bytte til anbefalinger for beskyttelsesmodus. Dell Technologies anbefaler et par ukers eller mer testing i læringsmodus før du bytter til retningslinjer for beskyttelsesmodus.
Klikk på Programserveranbefalinger, Læringsmodus eller Beskyttningsmodus hvis du vil ha mer informasjon.
I både lærings- og beskyttelsesmodusene kan programservere oppleve ekstra kostnader og ulik virkemåte til klientoperativsystemer. Autokarantene (AQT) har, i sjeldne tilfeller, hindret enkelte filer i å kjøre før en poengsum kan beregnes. Dette har blitt sett når et program oppdager låsing av filene som manipulering, eller en prosess kan mislykkes i å fullføre vellykket innen en forventet tidsramme.
Hvis Se etter nye filer er aktivert, kan det redusere enhetsoperasjoner. Når en ny fil genereres, analyseres den. Selv om denne prosessen er lett, kan et stort antall filer samtidig føre til en ytelsespåvirkning.
Foreslåtte policyendringer for Windows Server-operativsystemer:
Med disse anbefalingene anbefales det vanligvis også å inneholde enheter som kjører serveroperativsystemer i separate soner. Hvis du vil ha informasjon om generering av soner, kan du se Slik administrerer du soner i Dell Threat Defense.
| Politikk | Anbefalt innstilling |
|---|---|
| Automatisk karantene med kjøringskontroll for usikker | Deaktivert |
| Automatisk karantene med kjøringskontroll for unormal | Deaktivert |
| Aktiver automatisk sletting for filer i karantene | Deaktivert |
| Automatisk opplasting | Enabled (Aktivert) |
| Sikker liste for policy | Miljøavhengig |
| Politikk | Anbefalt innstilling |
|---|---|
| Forhindre tjenesteavslutning fra enhet | Deaktivert |
| Fjern usikre, kjørende prosesser og deres underprosesser | Deaktivert |
| Trusseloppdagelse i bakgrunnen | Deaktivert |
| Kjør én gang / kjør regelmessig | Gjelder ikke når Beskyttelse mot bakgrunnstrusler er satt til Deaktivert |
| Se etter nye filer | Deaktivert |
| Kopier fileksempler | Miljøavhengig |
| Politikk | Anbefalt innstilling |
|---|---|
| Aktiver automatisk opplasting av loggfiler | Miljøavhengig |
| Aktiver skrivebordsvarsel | Miljøavhengig |
| Politikk | Anbefalt innstilling |
|---|---|
| Script Control (Skriptkontroll) | Enabled (Aktivert) |
| 1370 og lavere Aktivt skript og PowerShell | Varsel |
| Aktivt skript i 1380 og over | Varsel |
| 1380 og nyere PowerShell | Varsel |
| Blokker bruk av PowerShell-konsollen | Gjelder ikke når PowerShell er angitt til varsel |
| Makroer i 1380 og over | Varsel |
| Deaktiver skriptkontroll for aktivt skript | Deaktivert |
| Deaktiver Script Control PowerShell | Deaktivert |
| Deaktivere makroer for skriptkontroll | Deaktivert |
| Mappeutelukkelser (inkluderer undermapper) | Miljøavhengig |
| Politikk | Anbefalt innstilling |
|---|---|
| Automatisk karantene med kjøringskontroll for usikker | Enabled (Aktivert) |
| Automatisk karantene med kjøringskontroll for unormal | Enabled (Aktivert) |
| Aktiver automatisk sletting for filer i karantene | Miljøavhengig |
| Automatisk opplasting | Miljøavhengig |
| Sikker liste for policy | Miljøavhengig |
| Politikk | Anbefalt innstilling |
|---|---|
| Forhindre tjenesteavslutning fra enhet | Enabled (Aktivert) |
| Fjern usikre, kjørende prosesser og deres underprosesser | Enabled (Aktivert) |
| Trusseloppdagelse i bakgrunnen | Enabled (Aktivert) |
| Kjør én gang / kjør regelmessig | Kjør én gang |
| Se etter nye filer | Enabled (Aktivert) |
| Kopier fileksempler | Miljøavhengig |
| Politikk | Anbefalt innstilling |
|---|---|
| Aktiver automatisk opplasting av loggfiler | Miljøavhengig |
| Aktiver skrivebordsvarsel | Miljøavhengig |
| Politikk | Anbefalt innstilling |
|---|---|
| Script Control (Skriptkontroll) | Enabled (Aktivert) |
| 1370 og lavere Aktivt skript og PowerShell | Blokk |
| Aktivt skript i 1380 og over | Blokk |
| 1380 og nyere PowerShell | Blokk |
| Blokker bruk av PowerShell-konsollen | Blokk |
| Makroer i 1380 og over | Blokk |
| Deaktiver skriptkontroll for aktivt skript | Deaktivert |
| Deaktiver Script Control PowerShell | Deaktivert |
| Deaktivere makroer for skriptkontroll | Deaktivert |
| Mappeutelukkelser (inkluderer undermapper) | Miljøavhengig |
Denne policyen bestemmer hva som skjer med filene som oppdages mens de kjøres. Som standard, selv når en usikker fil oppdages som kjører, er trusselen blokkert. Usikker kjennetegnes av en kumulativ poengsum for den bærbare kjørbare filen som overstiger 60 i poengsystemet for avansert trusselforebygging som er basert på trusselindikatorer som er evaluert.
Denne policyen bestemmer hva som skjer med filene som oppdages mens de kjøres. Som standard, selv når en unormal fil oppdages som kjører, er trusselen blokkert. Unormal kjennetegnes av en kumulativ poengsum for den kjørbare bærbare filen som overskrider 0, men som ikke overstiger 60 i poengsystemet for avansert trusselforebygging. Skåringssystemet er basert på trusselindikatorer som er evaluert.
Når usikre eller unormale filer settes i karantene basert på karantener på enhetsnivå, globale karantenelister eller av retningslinjer for automatisk karantene, holdes de i en lokal sandkasse karantenebuffer på den lokale enheten. Når Aktiver automatisk sletting for filer i karantene er aktivert, angir det antall dager (minimum 14 dager, maksimalt 365 dager) for å beholde filen på den lokale enheten før du sletter filen permanent. Når dette er aktivert, blir muligheten til å endre antall dager mulig.
Merker trusler som ikke har blitt oppdaget av trusselbeskyttelsens SaaS-miljøer (programvare som tjeneste) for ytterligere analyse. Når en fil er merket som en potensiell trussel av den lokale modellen, tas en SHA256-hash av den kjørbare bærbare filen, og denne sendes opp til SaaS. Hvis SHA256-hashen som ble sendt, ikke kan samsvare med en trussel og automatisk opplasting er aktivert, vil dette tillate en sikker opplasting av trusselen til SaaS for evaluering. Disse dataene lagres på en sikker måte og er ikke tilgjengelig for Dell eller deres partnere.
Sikkerlisten for policy er en liste over filer som har blitt fastsatt som sikre i miljøet, og som manuelt har blitt frafalt ved å sende SHA256-hash og eventuell tilleggsinformasjon inn i denne listen. Når en SHA256-hash plasseres i denne listen, evalueres den ikke av de lokale trusselmodellene eller trusselmodellene i skyen når filen kjøres. Dette er "absolutte" filbaner.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Når Drep usikre kjørende prosesser og deres underprosesser er aktivert, avgjør dette om en trussel genererer underordnede prosesser, eller om programmet har overtatt andre prosesser som kjører i minnet. Hvis du mener at en prosess har blitt overtatt av en trussel, avsluttes den primære trusselen og eventuelle prosesser som den har generert eller eier umiddelbart.
Background Threat Detection, når den er aktivert, skanner hele enheten for alle kjørbare bærbare filer, og evaluerer deretter den kjørbare filen med den lokale trusselmodellen, og ber om bekreftelse for poengsummen til den kjørbare filen med den skybaserte SaaS basert på trusselindikatorene til den kjørbare filen. To alternativer er mulige med Background Threat Detection: Kjør én gang og kjør regelmessig. Kjør én gang utfører en bakgrunnsskanning av alle fysiske stasjoner som er koblet til enheten i det øyeblikket Threat Defense er installert og aktivert. Run Recurring utfører en bakgrunnsskanning av alle enheter som er koblet til enheten i det øyeblikket Threat Defense er installert og aktivert. Den gjentar skanningen hver niende dag (kan ikke konfigureres).
Når Se etter nye filer er aktivert, evalueres alle bærbare kjørbare filer som introduseres til enheten, umiddelbart med trusselindikatorene som vises ved hjelp av den lokale modellen, og denne poengsummen bekreftes mot den skybaserte SaaS.
Kopier fileksempler gjør at eventuelle trusler som blir funnet på enheten, automatisk kan overføres til et definert repositorium basert på UNC-bane. Dette anbefales bare for interne trusselundersøkelser eller for å holde et sikkert repositorium med pakkede trusler i miljøet. Alle filer som er lagret av Kopier fileksempler, er pakket med et passord for infected.
Ved å aktivere automatisk opplasting av loggfiler kan endepunktene laste opp loggfilene sine for Dell Threat Defense hver natt ved midnatt, eller når filen når 100 MB. Logger lastes opp hver natt uavhengig av filstørrelse. Alle logger som overføres, komprimeres før de går ut av nettverket.
Aktiver skrivebordsvarsling gjør det mulig for enhetsbrukere å tillate forespørsler på enheten hvis en fil er merket som unormal eller usikker. Dette er et alternativ på høyreklikkingsmenyen til Dell Threat Defense-ikonet mot sluttpunkter med denne policyen aktivert.
Skriptkontroll bruker en filterbasert minneløsning for å identifisere skript som kjører på enheten, og forhindre skript hvis policyen er satt til Blokker for den skripttypen. Varslingsinnstillinger i disse policyene noterer bare skript som ville blitt blokkert i logger og på Dell Threat Defense-konsollen.
Disse retningslinjene gjelder for kunder før 1370, som var tilgjengelige før juni 2016. Bare aktive skript og PowerShell-baserte skript blir behandlet med disse versjonene.
Disse retningslinjene gjelder for klienter etter 1370, som ble tilgjengelig etter juni 2016.
Aktive skript inkluderer alle skript som tolkes av Windows-skriptverten, inkludert JavaScript, VBScript, satsvise filer og mange andre.
PowerShell-skript inkluderer alle skript med flere linjer som kjøres som én enkelt kommando. (Standardinnstilling – Varsel)
I PowerShell v3 (introdusert i Windows 8.1) og nyere kjøres de fleste PowerShell-skript som en enkeltlinjekommando. Selv om de kan inneholde flere linjer, kjøres de i rekkefølge. Dette kan omgå PowerShell-skripttolken. Block PowerShell-konsollen omgår dette ved å deaktivere muligheten til å få et hvilket som helst program til å starte PowerShell-konsollen. Integrert skriptmiljø (ISE) påvirkes ikke av denne policyen.
Makroinnstillingen tolker makroer som finnes i Office-dokumenter og PDF-filer, og blokkerer skadelige makroer som kan forsøke å laste ned trusler.
Disse policyene deaktiverer muligheten til å selv varsle om skripttypene som er definert av hver policy. Når det er deaktivert, samles det ikke inn noen logging, og ingen forsøk på å oppdage eller blokkere potensielle trusler utføres.
Når dette alternativet er valgt, samles det inn logger og potensielle aktive skriptbaserte trusler blokkeres. Aktive skript inkluderer alle skript som tolkes av Windows-skriptverten, inkludert JavaScript, VBScript, satsvise filer og mange andre.
Når dette alternativet er avmerket, hindres det innsamling av logger og potensielle PowerShell-baserte trusler blokkeres. PowerShell-skript inkluderer alle skript med flere linjer som kjøres som én enkelt kommando.
Når dette alternativet er valgt, hindres det innsamling av logger og potensielle makrobaserte trusler blokkeres. Makroinnstillingen tolker makroer som finnes i Office-dokumenter og PDF-filer, og blokkerer skadelige makroer som kan forsøke å laste ned trusler.
Mappeutelukkelser kan brukes til å definere mapper som skriptene kan kjøres i og som kan utelates. Denne delen ber om utelatelser i et relativt baneformat.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs Kamper \folder\test\script.vbs eller \folder\exclude\script.vbs men fungerer ikke for \folder\test\001\script.vbs. Dette vil kreve enten /folder/*/001/script.vbs eller /folder/*/*/script.vbs./folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationRiktig (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Riktig (Windows): \Cases\ScriptsAllowed
Uriktig: C:\Application\SubFolder\application.vbs
Uriktig: \Program Files\Dell\application.vbs
Jokertegn Eksempler:
/users/*/temp Ville dekke:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs Ville dekke:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsNår du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.