Dell Threat Defense 策略建议

建议在学习模式或保护模式下设置策略。学习模式是 Dell Technologies 建议在环境中测试 Dell Threat Defense 的方式。当 Dell Threat Defense 部署到具有标准公司映像的端点上时，这是最有效的。

由于磁盘 I/O 高于正常值，可能需要对应用程序服务器进行更多更改。

管理员在 Dell Threat Defense 管理控制台中解决所有警报后，Dell Technologies 建议切换到保护模式策略建议。在切换到保护模式策略之前，Dell Technologies 建议在学习模式下进行数周或更长时间的测试。

有关更多信息，请单击应用程序服务器建议、学习模式或保护模式。

应用程序服务器建议

在学习模式和保护模式下，应用程序服务器可看到额外的开销和与客户端操作系统不同的行为。在极少数情况下，自动隔离 (AQT) 会阻止某些文件运行，直到可计算分数为止。当应用程序检测到其文件遭到篡改锁定或某个进程可能无法在预期时间内成功完成时，就会出现这类情况。

如果启用 了“监视新文件 ”，它可能会减慢设备运行速度。当新文件生成时，会对其进行分析。虽然此过程是轻量级过程，但是一次性产生大量的文件仍可能会造成性能影响。

建议的 Windows Server 操作系统策略更改：

• 启用 后台威胁检测 并使其 运行一次。
• 确保已启用执行控制。
• 禁用 监视新文件。

在采用这些建议的情况下，通常还建议将运行服务器操作系统的设备包含在单独的“区域”中。有关生成区域的信息，请参阅 如何在 Dell Threat Defense 中管理区域。

学习模式

表 1：学习模式文件操作

政策	建议的设置
对不安全的文件进行自动隔离并启用执行控制	禁用
对异常的文件进行自动隔离并启用执行控制	禁用
为隔离的文件启用自动删除	禁用
自动上传	Enabled
策略安全列表	与环境相关

表 2：学习模式保护设置

政策	建议的设置
防止从设备关闭服务	禁用
终止正在运行的不安全进程及其子进程	禁用
后台威胁检测	禁用
运行一次/重复运行	当 “后台威胁防护 ”设置为“已禁用”时不适用
监视新文件	禁用
复制文件样本	与环境相关

表 3：学习模式代理设置

政策	建议的设置
允许日志文件自动上传	与环境相关
启用桌面通知	与环境相关

（表 4）：学习模式脚本控制

政策	建议的设置
脚本控制	Enabled
1370 及以下的活动脚本和 PowerShell	警报
1380 及以上的活动脚本	警报
1380 及以上的 Powershell	警报
阻止 PowerShell 控制台使用	当 PowerShell 设置为警报时不适用
1380 及以上的宏	警报
禁用脚本控制活动脚本	禁用
禁用脚本控制 PowerShell	禁用
禁用脚本控制宏	禁用
文件夹排除项（包括子文件夹）	与环境相关

保护模式

表 5：保护模式文件操作

政策	建议的设置
对不安全的文件进行自动隔离并启用执行控制	Enabled
对异常的文件进行自动隔离并启用执行控制	Enabled
为隔离的文件启用自动删除	与环境相关
自动上传	与环境相关
策略安全列表	与环境相关

表 6：保护模式保护设置

政策	建议的设置
防止从设备关闭服务	Enabled
终止正在运行的不安全进程及其子进程	Enabled
后台威胁检测	Enabled
运行一次/重复运行	运行一次
监视新文件	Enabled
复制文件样本	与环境相关

表 7：保护模式代理设置

政策	建议的设置
允许日志文件自动上传	与环境相关
启用桌面通知	与环境相关

表 8：保护模式脚本控制

政策	建议的设置
脚本控制	Enabled
1370 及以下的活动脚本和 PowerShell	阻止
1380 及以上的活动脚本	阻止
1380 及以上的 Powershell	阻止
阻止 PowerShell 控制台使用	阻止
1380 及以上的宏	阻止
禁用脚本控制活动脚本	禁用
禁用脚本控制 PowerShell	禁用
禁用脚本控制宏	禁用
文件夹排除项（包括子文件夹）	与环境相关

Threat Defense 策略定义：

文件操作

对不安全的文件进行自动隔离并启用执行控制

此策略确定在文件运行时对检测到的文件执行的操作。默认情况下，即使检测到不安全文件正在运行，也会阻止该威胁。不安全的特点是，根据已评估的威胁指标，在高级威胁预防评分系统中，可移植的可执行文件的累积分数超过 60。

对异常的文件进行自动隔离并启用执行控制

此策略确定在文件运行时对检测到的文件执行的操作。默认情况下，即使检测到异常文件正在运行，也会阻止该威胁。异常的特征是在 Advanced Threat Prevention 的评分系统中，可移植的可执行文件的累积分数超过 0 但不超过 60。评分系统基于已评估的威胁指标。

为隔离的文件启用自动删除

当根据设备级隔离、全局隔离列表或自动隔离策略对不安全或异常文件进行隔离时，会将它们保存在本地设备上的本地沙盒隔离高速缓存中。启用隔离文件的自动删除后，它表示永久删除文件之前将文件保留在本地设备上的天数（最少 14 天，最多 365 天）。启用此项后，可以修改天数。

自动上传

标记 Threat Defense SaaS（软件即服务）环境尚未发现的威胁，以便进一步分析。本地模型将文件标记为潜在威胁时，会对可移植的可执行文件运行 SHA256 哈希，并将其发送到 SaaS。如果发送的 SHA256 哈希无法与威胁相匹配，并且自动上传已启用，则可将威胁安全上传到 SaaS 进行评估。此数据已安全存储，而且戴尔或其合作伙伴无法对其进行访问。

策略安全列表

策略安全列表是环境中已确定安全的文件的列表，通过将文件的 SHA256 哈希和任何其他信息提交到此列表，您可手动放弃这些文件。如果您将 SHA256 哈希放在此列表中，当运行文件时，本地或云威胁模型将不会对其进行评估。这些是“绝对”文件路径。

排除条件示例：

Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

保护设置

终止正在运行的不安全进程及其子进程

启用 “终止正在运行的不安全进程及其子进程 ”时，这将确定威胁是否正在生成子进程，或者应用程序是否已接管当前在内存中运行的其他进程。如果认为进程已被威胁接管，则主要威胁及其生成或当前拥有的任何进程都将立即终止。

后台威胁检测

后台威胁检测启用后，会扫描整个设备以查找任何可移植的可执行文件，然后使用本地威胁模型评估该可执行文件，并请求确认根据可执行文件的威胁指标使用基于云的 SaaS 对可执行文件进行评分。后台 威胁检测有两个选项：运行一次 和 重复运行。一旦安装并激活 Threat Defense，“运行一次”将对连接到设备的所有物理驱动器执行后台扫描。安装并激活 Threat Defense 时，“重复运行”将对连接到设备的所有设备执行后台扫描。它每九天重复一次扫描（不可配置）。

监视新文件

启用 “监视新文件 ”后，将立即使用其使用本地模型显示的威胁指示器评估引入设备的任何可移植的可执行文件，并根据云托管的 SaaS 确认此分数。

复制文件样本

“复制文件样本 ”允许根据 UNC 路径自动将设备上发现的任何威胁托管到已定义的存储库。这只建议用于内部威胁研究或在环境中保存已封装的威胁的安全存储库。“拷贝文件样本”存储的所有文件都使用密码压缩 infected。

代理程序设置

允许日志文件自动上传

“启用日志文件自动上传” 允许端点在午夜时分或文件达到 100 MB 时为 Dell Threat Defense 上传其日志文件。无论文件大小如何，日志都将在夜间上传。所有传输的日志在离开网络之前都将被压缩。

启用桌面通知

“启用桌面通知 ”使设备用户能够在文件标记为异常或不安全时允许其设备上出现提示。这是启用此策略的端点上 Dell Threat Defense 托盘图标的右键单击菜单中的选项。

脚本控制

脚本控制

Script Control 通过基于内存筛选器的解决方案进行操作，以识别正在设备上运行的脚本，并在该脚本类型的策略设置为 Block 时阻止它们。这些策略的警报设置只会注意到日志和 Dell Threat Defense 控制台中将阻止的脚本。

1370 及以下

这些策略适用于 1370 之前的客户端（在 2016 年 6 月之前提供）。仅在这些版本上才会对活动脚本和基于 PowerShell 的脚本执行操作。

1380 及以上

这些策略适用于 1370 之后的客户端（在 2016 年 6 月之后提供）。

活动脚本

活动脚本包括由 Windows 脚本主机解释的任何脚本，其中包括 JavaScript、VBScript、批处理文件和许多其他脚本。

PowerShell

PowerShell 脚本包括作为单个命令运行的任何多行脚本。（默认设置 - 警报）

阻止 PowerShell 控制台使用 –（当 PowerShell 设置为警报时不存在）

在 PowerShell v3（在 Windows 8.1 中引入）和更高版本中，大多数 PowerShell 脚本将作为单行命令运行；尽管它们可能包含多行，但它们将按顺序运行。这可以绕过 PowerShell 脚本解释器。通过禁用让任何应用程序启动 PowerShell 控制台的功能，阻止 PowerShell 控制台，可解决此问题。集成式脚本环境 (ISE) 不受此策略影响。

宏

宏设置将解释 Office 文档和 PDF 中存在的宏，并阻止可能试图下载威胁的恶意宏。

禁用脚本控制

这些策略完全禁止对每个策略中定义的脚本类型发出警报。在禁用之后，不会收集日志，也不会试图检测或阻止潜在威胁。

活动脚本

如果选中，将阻止日志收集，并阻止任何潜在的基于活动脚本的威胁。活动脚本包括由 Windows 脚本主机解释的任何脚本，其中包括 JavaScript、VBScript、批处理文件和许多其他脚本。

PowerShell

如果选中，将阻止日志收集，并阻止任何潜在的基于 PowerShell 的威胁。PowerShell 脚本包括作为单个命令运行的任何多行脚本。

宏

如果选中，将阻止日志收集，并阻止任何潜在的基于宏的威胁。宏设置将解释 Office 文档和 PDF 中存在的宏，并阻止可能试图下载威胁的恶意宏。

文件夹排除项（包括子文件夹）

“排除文件夹”允许定义可排除的可在其中运行脚本的文件夹。此部分要求排除项采用相对路径格式。

• 文件夹路径可以是本地驱动器、映射的网络驱动器，也可以是通用命名规范(UNC)路径。
• 脚本文件夹排除项必须指定文件夹或子文件夹的相对路径。
• 指定的任何文件夹路径都可以包含任意子文件夹。
• 在 UNIX 风格的 Windows 计算机中，通配符排除条件必须使用前斜杠。示例： /windows/system*/。
• 支持通配符的唯一字符为 *。
• 使用通配符指定的文件夹排除条件必须在路径末尾带有斜杠，以区分文件夹和文件。
  • 文件夹排除： /windows/system32/*/
  • 文件排除： /windows/system32/*
• 必须为每个文件夹级别添加通配符。例如， /folder/*/script.vbs 比赛 \folder\test\script.vbs 或 \folder\exclude\script.vbs 但不适用于 \folder\test\001\script.vbs。这需要 /folder/*/001/script.vbs 或 /folder/*/*/script.vbs。
• 通配符支持完整和部分排除条件。
  • 完整通配符示例： /folder/*/script.vbs
  • 部分通配符示例： /folder/test*/script.vbs
• 通配符还支持网络路径。
  • //*/login/application
  • //abc*/logon/application

正确 (Mac)： /Mac\ HD/Users/Cases/ScriptsAllowed
正确 (Windows)： \Cases\ScriptsAllowed
错误： C:\Application\SubFolder\application.vbs
错误： \Program Files\Dell\application.vbs

通配符示例：

/users/*/temp 将涵盖：

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs 将涵盖：

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs