Dell Threat Defense 原則建議

建議在學習模式或保護模式中設定原則。Dell Technologies 建議在「學習模式」環境中測試 Dell Threat Defense。這是使用標準公司映像將 Dell Threat Defense 部署到端點時最有效的方法。

由於應用程式伺服器的一般磁碟 I/O 更高，可能需要進行多種變更。

當系統管理員在 Dell Threat Defense 管理主控台中處理所有警示後，Dell Technologies 建議切換至「保護模式」原則建議。Dell Technologies 建議您在切換到「保護模式」原則前，在「學習模式」中進行數週或更多時間的測試。

如需詳細資訊，請按一下應用程式伺服器建議、學習模式或保護模式。

應用程式伺服器建議

在「學習」與「保護」模式中，應用程式伺服器可能會發現用戶端作業系統出現額外負荷和差異行為。在少數情況下，自動隔離 (AQT) 會使某些檔案無法執行，直到可計算分數為止。當應用程式偵測到其檔案遭到篡改並鎖定，或程式可能無法在預期時間範圍內完成時，便會出現此問題。

如果已啟用 「觀察新檔案 」，可能會降低裝置作業速度。產生新檔案時，會針對該檔案進行分析。雖然此程序所需的資源不多，但若一次分析大量檔案，便可能會對效能造成影響。

Windows Server 作業系統的建議原則變更：

• 啟用 背景威脅偵測 ，並設定 為執行一次。
• 請確定已啟用執行控制。
• 停用觀察新檔案。

除了使用這些建議，通常也建議您將執行伺服器作業系統的裝置包含在不同的區域中。如需產生區域的相關資訊，請參閱 如何在 Dell Threat Defense 中管理區域。

學習模式

表 1：學習模式檔案動作

原則	建議設定
針對不安全的執行控制進行自動隔離	已停用
針對異常的執行控制進行自動隔離	已停用
啟用隔離檔案自動刪除	已停用
自動上傳	已啟用
原則安全清單	視環境而定

表 2：學習模式保護設定

原則	建議設定
防止服務從裝置關機	已停用
終止不安全的執行程序及其副程序	已停用
背景威脅偵測	已停用
執行一次/循環執行	背景威脅防護設為「停用」時不適用
觀察新檔案	已停用
複製檔案樣本	視環境而定

表 3：學習模式代理程式設定

原則	建議設定
啟用記錄檔自動上傳	視環境而定
啟用桌面通知	視環境而定

表 4：學習模式指令檔控制

原則	建議設定
指令檔控制	已啟用
1370 及更舊的使用中指令檔和 PowerShell	警示
1380 及更新的使用中腳本	警示
1380 及更新的 PowerShell	警示
封鎖使用 PowerShell 主控台	PowerShell 設為「警示」時不適用
1380 及更新的巨集	警示
停用指令檔控制作用中的指令檔	已停用
停用指令檔控制 PowerShell	已停用
停用指令檔控制巨集	已停用
資料夾排除 (包括子資料夾)	視環境而定

保護模式

表 5：保護模式檔案動作

原則	建議設定
針對不安全的執行控制進行自動隔離	已啟用
針對異常的執行控制進行自動隔離	已啟用
啟用隔離檔案自動刪除	視環境而定
自動上傳	視環境而定
原則安全清單	視環境而定

表 6：保護模式保護設定

原則	建議設定
防止服務從裝置關機	已啟用
終止不安全的執行程序及其副程序	已啟用
背景威脅偵測	已啟用
執行一次/循環執行	執行一次
觀察新檔案	已啟用
複製檔案樣本	視環境而定

表 7：保護模式代理程式設定

原則	建議設定
啟用記錄檔自動上傳	視環境而定
啟用桌面通知	視環境而定

表 8：保護模式指令檔控制

原則	建議設定
指令檔控制	已啟用
1370 及更舊的使用中指令檔和 PowerShell	封鎖
1380 及更新的使用中腳本	封鎖
1380 及更新的 PowerShell	封鎖
封鎖使用 PowerShell 主控台	封鎖
1380 及更新的巨集	封鎖
停用指令檔控制作用中的指令檔	已停用
停用指令檔控制 PowerShell	已停用
停用指令檔控制巨集	已停用
資料夾排除 (包括子資料夾)	視環境而定

Threat Defense 原則定義：

檔案動作

針對不安全的執行控制進行自動隔離

此原則可決定在執行到偵測的檔案時該進行什麼動作。依預設，即使偵測到不安全的檔案正在執行，亦會封鎖威脅。在 Advanced Threat Prevention 的評分系統中，會根據威脅指示器進行評估，若可攜式可執行檔的累計分數超過 60，便代表不安全。

針對異常的執行控制進行自動隔離

此原則可決定在執行到偵測的檔案時該進行什麼動作。依預設，即使偵測到異常的檔案正在執行，亦會封鎖威脅。在 Advanced Threat Prevention 的評分系統中，可攜式可執行檔的累計分數會超過 0 但未超過 60，代表為異常。評分系統以經過評估的威脅指示器為依據。

啟用隔離檔案自動刪除

根據裝置層級隔離、全域隔離清單，或自動隔離原則隔離不安全或異常的檔案時，檔案會存放在本機裝置的本機沙箱隔離快取內。啟用自動刪除隔離檔案時，會表示將檔案在永久刪除檔案前保留在本機裝置上的天數 （最短 14 天，最長 365 天）。啟用此功能後，便可修改天數。

自動上傳

標記未出現在 Threat Defense SaaS (軟體即服務) 環境中的威脅，以供進一步分析。當本機模型將檔案標示為潛在威脅時，會擷取可攜式可執行檔的 SHA256 雜湊，並將其傳送至 SaaS。如果傳送的 SHA256 雜湊與威脅不相符，且已啟用自動上傳，則可將威脅安全上傳至 SaaS，以進行評估。此資料採用安全儲存，Dell 或其合作夥伴無法存取這些資料。

原則安全清單

原則安全清單是一份判定為環境中的安全檔案清單，並已將其 SHA256 雜湊和所有其他資訊提交至此清單，以手動放棄。當 SHA256 雜湊列於此清單中，在檔案執行時，本機或雲端威脅模型將不會針對其進行評估。這些是「絕對」檔案路徑。

排除範例：

Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

保護設定

終止不安全的執行程序及其副程序

啟用 終止不安全的執行程序及其副程序 時，這會判斷威脅是否正在產生副程序，或者應用程式是否已接管目前在記憶體內執行的其他程式。如果系統判斷該程序已遭到威脅接管，則會立即終止主要威脅及其已產生或目前擁有的任何程序。

背景威脅偵測

啟用背景威脅偵測後，將會掃描整個裝置的所有可攜式可執行檔，然後使用本機威脅模型評估該可執行檔，並要求雲端式 SaaS 根據可執行檔的威脅指示器確認其分數。背景威脅偵測有兩個選項：執行一次 和 循環執行。「執行一次」 會在安裝並啟動 Threat Defense 時，對連接至裝置的所有實體磁碟機執行背景掃描。「循環執行 」會在安裝並啟動 Threat Defense 時，對連接至裝置的所有裝置執行背景掃描。它每九天重複一次掃描（不可配置）。

觀察新檔案

啟用 「觀察新檔案 」後，系統會立即評估裝置中導入的任何可攜式可執行檔，並使用本機模型針對其威脅指示器進行評估，並根據雲端託管的 SaaS 確認分數。

複製檔案樣本

複製檔案樣本 可自動將在裝置上找到的任何威脅，自動傳送至 UNC 路徑定義的儲存庫。這僅建議用於內部威脅研究，或在環境中擁有安全的封裝威脅儲存庫情況。複製檔案範例儲存的所有檔案都使用密碼 infected。

代理程式設定

啟用記錄檔自動上傳

啟用自動上傳記錄檔 後，端點會在夜間或檔案達到 100 MB 時，上傳其 Dell Threat Defense 的記錄檔。無論檔案大小如何，都會在夜間上傳記錄檔。所有移轉的記錄檔都會在退出網路之前加以壓縮。

啟用桌面通知

啟用桌面通知 可讓裝置使用者在有檔案標示為異常或不安全時，在裝置上出現提示。啟用此原則後，此選項位於端點的 Dell Threat Defense 系統匣圖示右鍵選單中。

指令檔控制

指令檔控制

指令檔控制 會透過記憶體篩選器式的解決方案運作，以識別裝置上執行的指令檔腳本，將原則設為「封鎖」，便可避免對該指令檔類型進行此動作。這些原則上的警示設定只會在記錄檔和 Dell Threat Defense 主控台記錄遭到封鎖的指令檔。

1370 及更舊版本

這些原則適用於 1370 之前的用戶端，該用戶端在 2016 年 6 月之前提供。這些版本上只會執行使用中指令檔和 PowerShell 型指令檔。

1380 及更新

這些原則適用於 1370 之後的用戶端，該用戶端在 2016 年 6 月之後提供。

使用中的指令檔

使用中的指令檔包含由 Windows Script Host 解譯的所有指令檔，包括 JavaScript、VBScript、批次檔和其他許多類型。

PowerShell

PowerShell 指令檔包含以單一命令執行的所有多行指令檔。(預設設定 - 警示)

封鎖使用 PowerShell 主控台 - (PowerShell 設為「警示」時不可用)

在 PowerShell v3 (於 Windows 8.1 推出) 和更新版本中，大部分的 PowerShell 指令檔都是以單一行命令執行，雖然它們可能包含多個行，但會依序執行。這可以略過 PowerShell 指令檔解譯器。封鎖使用 PowerShell 主控台可藉由停用讓任何應用程式啟動 PowerShell 主控台，以解決此問題。整合指令碼式環境 (ISE) 不受此原則的影響。

巨集

巨集設定會解譯存在於 Office 文件和 PDF 中的巨集，並封鎖可能嘗試下載威脅的惡意巨集。

停用指令檔控制

這些原則會完全停用控制每個原則中定義的指令檔類型，甚至包括發出警示。停用時，不會收集紀錄，也不會嘗試偵測或封鎖潛在威脅。

使用中的指令檔

檢查時，會避免收集記錄檔，並封鎖任何潛在的使用中指令檔式威脅。使用中的指令檔包含由 Windows Script Host 解譯的所有指令檔，包括 JavaScript、VBScript、批次檔和其他許多類型。

PowerShell

檢查時，會避免收集記錄檔，並封鎖任何潛在的 PowerShell 式威脅。PowerShell 指令檔包含以單一命令執行的所有多行指令檔。

巨集

檢查時，會避免收集記錄檔，並封鎖任何潛在的 巨集 式威脅。巨集設定會解譯存在於 Office 文件和 PDF 中的巨集，並封鎖可能嘗試下載威脅的惡意巨集。

資料夾排除 (包括子資料夾)

資料夾排除能讓您定義排除可執行指令檔的資料夾。本區段會要求以相對路徑格式表示的排除項目。

• 資料夾路徑可以是至本機磁碟機、對應的網路磁碟機，或通用命名慣例 (UNC) 路徑。
• 指令檔資料夾排除必須指定資料夾或子資料夾的相對路徑。
• 任何指定的資料夾路徑也包含任何子資料夾。
• 萬用字元排除項目必須使用適用於 Windows 電腦的 UNIX 式正斜線。範例： /windows/system*/。
• 萬用字元唯一支援的字元是 *。
• 有萬用字元的資料夾排除項目必須在路徑結尾有斜線，才能區分資料夾和檔案。
  • 資料夾排除： /windows/system32/*/
  • 檔案排除： /windows/system32/*
• 每個層級的資料夾深度都必須新增萬用字元。例如： /folder/*/script.vbs 火柴 \folder\test\script.vbs 或 \folder\exclude\script.vbs 但不適用於 \folder\test\001\script.vbs。這需要 /folder/*/001/script.vbs 或 /folder/*/*/script.vbs。
• 萬用字元支援完整和部分排除項目。
  • 完整萬用字元範例： /folder/*/script.vbs
  • 部分萬用字元範例： /folder/test*/script.vbs
• 網路路徑也支援萬用字元。
  • //*/login/application
  • //abc*/logon/application

正確 (Mac)： /Mac\ HD/Users/Cases/ScriptsAllowed
正確 (Windows)： \Cases\ScriptsAllowed
不正確： C:\Application\SubFolder\application.vbs
不正確： \Program Files\Dell\application.vbs

萬用字元範例：

/users/*/temp 將涵蓋：

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs 將涵蓋：

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs