Dell Threat Defense – Richtlinienempfehlungen

Es wird empfohlen, dass Richtlinien im Lernmodus oder im Schutzmodus eingerichtet werden. Im Lernmodus empfiehlt Dell Technologies, Dell Threat Defense in einer Umgebung zu testen. Dies ist am effektivsten, wenn Dell Threat Defense auf Endpunkten mit dem standardmäßigen Unternehmens-Image bereitgestellt wird.

Zusätzliche Änderungen sind möglicherweise für Anwendungsserver erforderlich, weil mehr Festplatten-E/A-Daten als gewöhnlich erforderlich sind.

Sobald alle Warnmeldungen in der Verwaltungskonsole von Dell Threat Defense durch den Administrator behoben wurden, empfiehlt Dell Technologies, zu den Richtlinienempfehlungen für den Schutzmodus zu wechseln. Dell Technologies empfiehlt, einige Wochen oder länger im Lernmodus zu testen, bevor zu Schutzmodus-Policies gewechselt wird.

Klicken Sie auf Anwendungsserver-Empfehlungen, Lernmodus oder Schutzmodus, um weitere Informationen zu erhalten.

Anwendungsserver-Empfehlungen

Sowohl im Lernmodus als auch im Schutzmodus können Anwendungsserver zusätzliche Last erzeugen und abweichendes Verhalten bei Client-Betriebssystemen erfahren. Die automatische Quarantäne (AQT) hat in seltenen Fällen verhindert, dass einige Dateien ausgeführt werden, bis eine Bewertung berechnet werden konnte. Dies trat auf, wenn eine Anwendung die Sperrung ihrer Dateien als Manipulation erkennt oder ein Prozess nicht im erwarteten Zeitrahmen erfolgreich abgeschlossen wurde.

Wenn die Option "Nach neuen Dateien suchen " aktiviert ist, kann dies den Gerätebetrieb verlangsamen. Wenn eine neue Datei erstellt wird, wird sie analysiert. Obwohl dieser Prozess wenig Ressourcen braucht, kann eine hohe Anzahl von Dateien gleichzeitig zu Leistungseinbußen führen.

Vorgeschlagene Richtlinienänderungen für Windows Server-Betriebssysteme:

• Aktivieren Sie die Hintergrunderkennung von Bedrohungen und lassen Sie sie einmal ausführen.
• Stellen Sie sicher, dass die Ausführungskontrolleaktiviert ist.
• Deaktivieren Sie "Auf neue Dateien überwachen".

Mit diesen Empfehlungen wird in der Regel auch vorgeschlagen, Geräte mit Server-Betriebssystemen in separaten Zonen abzuschotten. Weitere Informationen zum Generieren von Zonen finden Sie unter Verwalten von Zonen in Dell Threat Defense.

Lernmodus

Tabelle 1: Dateiaktionen für Lernmodus

Policy	Empfohlene Einstellung
Automatische Quarantäne mit Ausführungssteuerung für "unsicher"	Deaktiviert
Automatische Quarantäne mit Ausführungssteuerung für "ungewöhnlich"	Deaktiviert
Automatisches Löschen für in Quarantäne gestellte Dateien aktivieren	Deaktiviert
Automatischer Upload	Enabled
Sichere Liste der Richtlinie	Umgebungsabhängig

Tabelle 2: Schutzeinstellungen für Lernmodus

Policy	Empfohlene Einstellung
Herunterfahren des Dienstes vom Gerät verhindern	Deaktiviert
Unsichere laufende Prozesse und ihre Unterprozesse beenden	Deaktiviert
Hintergrunderkennung von Bedrohungen	Deaktiviert
Einmal ausführen/wiederholt ausführen	Gilt nicht, wenn der Schutz vor Hintergrundbedrohungen auf Deaktiviert eingestellt ist
Auf neue Dateien überwachen	Deaktiviert
Dateibeispiele kopieren	Umgebungsabhängig

Tabelle 3: Lernmodus-Agenteneinstellungen

Policy	Empfohlene Einstellung
Automatisches Hochladen von Protokolldateien aktivieren	Umgebungsabhängig
Desktopbenachrichtigung aktivieren	Umgebungsabhängig

Tabelle 4: Skriptsteuerung im Lernmodus

Policy	Empfohlene Einstellung
Skriptkontrolle	Enabled
1370 und niedriger: Active Script und PowerShell	Warnung
1380 und höher: Active Script	Warnung
1380 und höher: PowerShell	Warnung
PowerShell-Konsolennutzung sperren	Gilt nicht, wenn PowerShell auf Warnung eingestellt ist
1380 und höher: Makros	Warnung
Skriptsteuerung mit Active Script deaktivieren	Deaktiviert
Skriptsteuerung mit PowerShell deaktivieren	Deaktiviert
Skriptsteuerungsmakros deaktivieren	Deaktiviert
Ausgeschlossene Ordner (mit Unterordnern)	Umgebungsabhängig

Schutzmodus

Tabelle 5: Dateiaktionen im Schutzmodus

Policy	Empfohlene Einstellung
Automatische Quarantäne mit Ausführungssteuerung für "unsicher"	Enabled
Automatische Quarantäne mit Ausführungssteuerung für "ungewöhnlich"	Enabled
Automatisches Löschen für in Quarantäne gestellte Dateien aktivieren	Umgebungsabhängig
Automatischer Upload	Umgebungsabhängig
Sichere Liste der Richtlinie	Umgebungsabhängig

Tabelle 6: Schutzeinstellungen für den Schutzmodus

Policy	Empfohlene Einstellung
Herunterfahren des Dienstes vom Gerät verhindern	Enabled
Unsichere laufende Prozesse und ihre Unterprozesse beenden	Enabled
Hintergrunderkennung von Bedrohungen	Enabled
Einmal ausführen/wiederholt ausführen	Einmal ausführen
Auf neue Dateien überwachen	Enabled
Dateibeispiele kopieren	Umgebungsabhängig

Tabelle 7: Schutzmodus-Agenteneinstellungen

Policy	Empfohlene Einstellung
Automatisches Hochladen von Protokolldateien aktivieren	Umgebungsabhängig
Desktopbenachrichtigung aktivieren	Umgebungsabhängig

Tabelle 8. Skriptsteuerung für den Schutzmodus

Policy	Empfohlene Einstellung
Skriptkontrolle	Enabled
1370 und niedriger: Active Script und PowerShell	Sperren
1380 und höher: Active Script	Sperren
1380 und höher: PowerShell	Sperren
PowerShell-Konsolennutzung sperren	Sperren
1380 und höher: Makros	Sperren
Skriptsteuerung mit Active Script deaktivieren	Deaktiviert
Skriptsteuerung mit PowerShell deaktivieren	Deaktiviert
Skriptsteuerungsmakros deaktivieren	Deaktiviert
Ausgeschlossene Ordner (mit Unterordnern)	Umgebungsabhängig

Richtliniendfinitionen für Threat Defense:

Dateiaktionen

Automatische Quarantäne mit Ausführungssteuerung für "unsicher"

Diese Richtlinie legt fest, was mit Dateien geschieht, die während der Ausführung erkannt werden. Standardmäßig wird die Bedrohung gesperrt, selbst wenn eine nicht sichere Datei als ausgeführt erkannt wird. "Unsicher" ist gekennzeichnet durch eine kumulative Bewertung für die portable ausführbare Datei von mehr als 60 innerhalb des Bewertungssystems von Advanced Threat Prevention, das auf ausgewerteten Bedrohungsindikatoren basiert.

Automatische Quarantäne mit Ausführungssteuerung für "ungewöhnlich"

Diese Richtlinie legt fest, was mit Dateien geschieht, die während der Ausführung erkannt werden. Standardmäßig wird die Bedrohung gesperrt, selbst wenn eine ungewöhnliche Datei als ausgeführt erkannt wird. "Abnormal" ist gekennzeichnet durch eine kumulative Bewertung für die portable ausführbare Datei, die 0, aber 60 innerhalb des Bewertungssystems von Advanced Threat Prevention nicht überschreitet. Das Scoring-System basiert auf ausgewerteten Bedrohungsindikatoren.

Automatisches Löschen für in Quarantäne gestellte Dateien aktivieren

Werden unsichere oder ungewöhnliche Dateien auf Geräteebene in Quarantäne verschoben, entweder durch globale Quarantänelisten oder gemäß automatischen Quarantäne-Richtlinien, werden sie in einem Sandbox-Quarantäne-Cache auf dem lokalen Gerät gespeichert. Wenn Automatisches Löschen für isolierte Dateien aktivieren aktiviert ist, gibt dies die Anzahl der Tage (mindestens 14 Tage, maximal 365 Tage) an, um die Datei auf dem lokalen Gerät zu behalten, bevor die Datei endgültig gelöscht wird. Wenn diese Option aktiviert ist, kann die Anzahl der Tage geändert werden.

Automatischer Upload

Markiert Bedrohungen, die von der Threat Defense SaaS-Umgebung (Software-as-a-Service) nicht erkannt wurden, für weitere Analysen. Wenn eine Datei als potenzielle Bedrohung durch das lokale Modell markiert wird, wird ein SHA256-Hash der Portable Executable erstellt und diese wird an die SaaS gesendet. Wenn der SHA256-Hash, der gesendet wurde, nicht einer Bedrohung zugeordnet werden kann und der automatische Upload aktiviert ist, ermöglicht dies das sichere Hochladen der Bedrohung an die SaaS zur Evaluierung. Diese Daten werden sicher gespeichert und können nicht von Dell oder ihren Partnern abgerufen werden.

Sichere Liste der Richtlinie

Die "sichere Liste für Richtlinien" ist eine Liste der Dateien, die in der Umgebung als sicher festgelegt und manuell eingestuft wurden, indem ihr SHA256-Hash und alle zusätzlichen Informationen in diese Liste übermittelt wurden. Wenn ein SHA256-Hash in diese Liste eingefügt wird, wird er, wenn die Datei ausgeführt wird, nicht durch die lokalen oder die Cloud-Bedrohungsmodelle ausgewertet. Hierbei handelt es sich um "absolute" Dateipfade.

Beispiel-Ausschlüsse:

Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Schutzeinstellungen

Unsichere laufende Prozesse und ihre Unterprozesse beenden

Wenn die Option Unsichere laufende Prozesse und ihre Unterprozesse beenden aktiviert ist, wird ermittelt, ob eine Bedrohung untergeordnete Prozesse erzeugt oder ob die Anwendung andere Prozesse übernommen hat, die derzeit im Arbeitsspeicher ausgeführt werden. Wenn die Annahme besteht, dass ein Prozess von einer Bedrohung übernommen wurde, werden die primäre Bedrohung und alle Prozesse, die sie erzeugt hat oder derzeit besitzt, sofort beendet.

Hintergrunderkennung von Bedrohungen

Wenn die Hintergrunderkennung von Bedrohungen aktiviert ist, durchsucht sie das gesamte Gerät nach portablen ausführbaren Dateien, wertet diese ausführbare Datei dann mit dem lokalen Bedrohungsmodell aus und fordert eine Bestätigung für die Bewertung der ausführbaren Datei mit der Cloud-basierten SaaS basierend auf den Bedrohungsindikatoren der ausführbaren Datei an. Bei der Hintergrunderkennung von Bedrohungen sind zwei Optionen möglich: Einmal ausführen und wiederkehrend ausführen. Einmal ausführen führt einen Scan im Hintergrund aller physischen Laufwerke durch, die mit dem Gerät verbunden sind, sobald Threat Defense installiert und aktiviert wird. Wiederkehrend ausführen führt einen Hintergrundscan aller Geräte durch, die mit dem Gerät verbunden sind, sobald Threat Defense installiert und aktiviert ist. Der Scan wird alle neun Tage wiederholt (nicht konfigurierbar).

Auf neue Dateien überwachen

Wenn "Nach neuen Dateien suchen " aktiviert ist, wird jede portable ausführbare Datei, die auf dem Gerät eingeführt wird, sofort mit den Bedrohungsindikatoren bewertet, die mithilfe des lokalen Modells angezeigt werden, und diese Bewertung wird anhand des in der Cloud gehosteten SaaS bestätigt.

Dateibeispiele kopieren

Mit "Copy File Samples " können alle Bedrohungen, die auf dem Gerät gefunden werden, automatisch in einem definierten Repository basierend auf dem UNC-Pfad hinterlegt werden. Dies wird nur für die interne Bedrohungsforschung oder für die Verwaltung eines sicheren Repositorys von gepackten Bedrohungen in der Umgebung empfohlen. Alle Dateien, die von Copy File Samples gespeichert werden, werden mit dem Kennwort infected.

Agent-Einstellungen

Automatisches Hochladen von Protokolldateien aktivieren

Die Option Automatischen Upload von Protokolldateien aktivieren ermöglicht es Endpunkten, ihre Protokolldateien für Dell Threat Defense jede Nacht um Mitternacht hochzuladen oder wenn die Datei 100 MB erreicht. Protokolle werden unabhängig von der Dateigröße nächtlich hochgeladen. Alle Protokolle, die übertragen werden, werden komprimiert, bevor sie aus dem Netzwerk versendet werden.

Desktopbenachrichtigung aktivieren

Mit Desktopbenachrichtigungen aktivieren können Gerätenutzer Eingabeaufforderungen auf ihrem Gerät zulassen, wenn eine Datei als anormal oder unsicher markiert ist. Dies ist eine Option im Kontextmenü des Dell Threat Defense Benachrichtigungsfeldsymbols auf Endpunkten, auf denen diese Richtlinie aktiviert ist.

Skriptkontrolle

Skriptkontrolle

Script Control arbeitet über eine speicherfilterbasierte Lösung, um Skripte zu identifizieren, die auf dem Gerät ausgeführt werden, und sie zu verhindern, wenn die Richtlinie für diesen Skripttyp auf "Blockieren" festgelegt ist. In den Warnmeldungseinstellungen für diese Policys werden nur Skripte aufgelistet, die in den Protokollen und auf der Dell Threat Defense-Konsole gesperrt worden wären.

1370 und niedriger

Diese Policys gelten für Clients vor Version 1370, die vor Juni 2016 verfügbar waren. Nur Active Scripts und PowerShell-basierte Skripte werden mit diesen Versionen verarbeitet.

1380 und höher

Diese Richtlinien gelten für Clients nach Version 1370, die ab Juni 2016 verfügbar waren.

Active Script

Active Scripts umfasst alle Skripts, die vom Windows Skript-Host interpretiert werden, einschließlich JavaScript, VBScript, Batchdateien und vielem mehr.

PowerShell

PowerShell-Skripte umfassen alle mehrzeiligen Skripte, die mit einem einzigen Befehl ausgeführt werden. (Standardeinstellung – Warnmeldung)

PowerShell-Konsolennutzung sperren – (nicht vorhanden, wenn PowerShell auf „Warnung“ eingestellt ist)

In PowerShell Version 3 (unter Windows 8.1 eingeführt) und höher werden die meisten PowerShell-Skripte als einzeiliger Befehl ausgeführt. Obwohl sie mehrere Zeilen enthalten können, werden sie in der angegebenen Reihenfolge ausgeführt. Dies kann den PowerShell-Skript-Interpreter umgehen. Die Konsole zum Sperren von PowerShell funktioniert in diesem Fall, indem verhindert wird, dass eine beliebige Anwendung die PowerShell-Konsole startet. Die integrierte Scripting-Umgebung (Integrated Scripting Environment, ISE) wird von dieser Richtlinie nicht beeinflusst.

Makros

Die Makroeinstellung interpretiert Makros, die in Office-Dokumenten und PDF-Dateien vorhanden sind, und sperrt schädliche Makros, die möglicherweise versuchen, Bedrohungen herunterzuladen.

Skriptkontrolle deaktivieren

Diese Richtlinien deaktivieren vollständig die Fähigkeit, eine Warnmeldung zu den in jeder Richtlinie definierten Skripttypen zu erstellen. Wenn diese Option deaktiviert ist, werden keine Protokolle erfasst, und es wird kein Versuch unternommen, potenzielle Bedrohungen zu erkennen oder zu sperren.

Active Script

Wenn diese Option aktiviert ist, wird die Erfassung von Protokollen verhindert und alle potenziellen Active Script-basierten Bedrohungen blockiert. Active Scripts umfasst alle Skripts, die vom Windows Skript-Host interpretiert werden, einschließlich JavaScript, VBScript, Batchdateien und vielem mehr.

PowerShell

Wenn diese Option aktiviert ist, wird die Erfassung von Protokollen verhindert und potenzielle PowerShell-basierte Bedrohungen blockiert. PowerShell-Skripte umfassen alle mehrzeiligen Skripte, die mit einem einzigen Befehl ausgeführt werden.

Makros

Wenn diese Option aktiviert ist, wird die Erfassung von Protokollen verhindert und potenzielle makrobasierte Bedrohungen blockiert. Die Makroeinstellung interpretiert Makros, die in Office-Dokumenten und PDF-Dateien vorhanden sind, und sperrt schädliche Makros, die möglicherweise versuchen, Bedrohungen herunterzuladen.

Ausgeschlossene Ordner (mit Unterordnern)

Das Ausschließen von Ordnern ermöglicht das Festlegen von Ordnern, in denen Skripte ausgeführt werden können. In diesem Abschnitt werden Ausnahmen in einem relativen Pfadformat angefordert.

• Bei Ordnerpfaden kann es sich um Pfade zu einem lokalen Laufwerk oder einem zugewiesenen Netzlaufwerk oder um UNC-Pfade handeln.
• Ausgeschlossene Skriptordner müssen den relativen Pfad für den Ordner oder Unterordner angeben.
• Alle angegebenen Ordnerpfade umfassen auch sämtliche Unterordner.
• Für Platzhalterausschlüsse müssen Schrägstriche im UNIX-Stil für Windows-Computer verwendet werden. Beispiel: /windows/system*/.
• Das einzige für Platzhalter unterstützte Zeichen ist *.
• Pfade für Ausschlüsse von Ordnern mit einem Platzhalter müssen zur Unterscheidung zwischen einem Ordner und eine Datei mit einem Schrägstrich enden.
  • Ordnerausschluss: /windows/system32/*/
  • Dateiausschluss: /windows/system32/*
• Ein Platzhalter muss für jede Ebene der Ordnertiefe hinzugefügt werden. Zum Beispiel: /folder/*/script.vbs Streichhölzer \folder\test\script.vbs oder \folder\exclude\script.vbs funktioniert aber nicht für \folder\test\001\script.vbs. Dies würde entweder /folder/*/001/script.vbs oder /folder/*/*/script.vbs.
• Platzhalter unterstützen vollständige und teilweise Ausschlüsse.
  • Beispiel für vollständigen Platzhalter: /folder/*/script.vbs
  • Beispiel für einen partiellen Platzhalter: /folder/test*/script.vbs
• Netzwerkpfade werden ebenfalls mit Platzhaltern unterstützt.
  • //*/login/application
  • //abc*/logon/application

Richtig (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Richtig (Windows): \Cases\ScriptsAllowed
Falsch: C:\Application\SubFolder\application.vbs
Falsch: \Program Files\Dell\application.vbs

Platzhalterbeispiele:

/users/*/temp Folgendes abdecken würde:

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs Folgendes abdecken würde:

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs