Dell Threat Defense ilkeleri şu amaçlarla kullanır:
Daha fazla bilgi için Önerilen Politikalar veya Politika Tanımları na tıklayın.
İlkelerin Öğrenme Modu veya Koruma Modu içerisinde ayarlanması önerilir. Öğrenme Modu, Dell Technologies in Dell Threat Defense i bir ortamda test etmeyi tavsiye etme şeklidir. Bu, Dell Threat Defense standart şirket görüntüsü ile uç noktalara dağıtıldığında en etkili moddur.
Normalden daha yüksek disk G/Ç'si nedeniyle Uygulama Sunucuları için daha fazla değişiklik gerekebilir.
Yönetici tarafından Dell Threat Defense yönetim konsolunda tüm uyarılar giderildikten sonra Dell Technologies, Koruma Modu politika önerilerine geçmenizi önerir. Dell Technologies, Koruma Modu politikalarına geçmeden önce Öğrenme Modunda birkaç hafta veya daha fazla test yapmanızı önerir.
Daha fazla bilgi için Uygulama Sunucusu Önerileri, Öğrenme Modu veya Koruma Modu öğesine tıklayın.
Hem Öğrenme hem de Koruma modunda, uygulama sunucuları istemci işletim sistemlerine karşı daha fazla ve farklı davranış gösterebilir. Nadiren Otomatik Karantinaya Al (AQT) işleminde bazı dosyalar Puan hesaplanana kadar çalıştırılamaz. Bir uygulama, dosyalarının izinsiz olarak değiştirilerek kilitlendiğini tespit ettiğinde veya bir işlem belirlenen zaman çerçevesi içerisinde başarılı bir şekilde tamamlanamadıysa bu durumla karşılaşılmıştır.
Yeni Dosyaları Gözle seçeneği etkinse aygıt işlemleri yavaşlayabilir. Yeni bir dosya oluşturulduğunda analiz edilecektir. Bu işlemin yükü az olsa da aynı anda işlenecek yüksek dosya hacmi performansı etkileyebilir.
Windows Server İşletim Sistemleri için önerilen ilke değişiklikleri:
Bu önerilere ek olarak, genellikle sunucu işletim sistemlerini çalıştıran aygıtların ayrı "bölgeleri" kapsaması önerilir. Bölgeler oluşturma hakkında bilgi için Dell Threat Defense de Bölgeleri Yönetme başlıklı makaleye başvurun.
| İlke | Önerilen Ayar |
|---|---|
| Güvenli Olmayan Dosyalar için Yürütme Kontrollü Otomatik Karantina | Disabled |
| Anormal Dosyalar için Yürütme Kontrollü Otomatik Karantina | Disabled |
| Karantinaya alınan dosyalar için otomatik silmeyi etkinleştir | Disabled |
| Otomatik Yükle | Enabled (Etkin) |
| İlkeye Uygun Dosyalar Listesi | Ortama bağlı |
| İlke | Önerilen Ayar |
|---|---|
| Hizmetin Aygıttan Kapatılmasına İzin Verme | Disabled |
| Güvenli olmayan çalışan işlemleri ve alt işlemlerini sonlandır | Disabled |
| Arka Planda Tehdit Algılama | Disabled |
| Bir Kez Çalıştır/Yineleyerek Çalıştır | Arka Plan Tehdit Koruması Devre Dışı olarak ayarlandığında geçerli değildir |
| Yeni Dosyaları Gözle | Disabled |
| Dosya Örneklerini Kopyala | Ortama bağlı |
| İlke | Önerilen Ayar |
|---|---|
| Günlük Dosyalarının Otomatik Yüklenmesini Etkinleştir | Ortama bağlı |
| Masaüstü Bildirimlerini Etkinleştir | Ortama bağlı |
| İlke | Önerilen Ayar |
|---|---|
| Komut Dosyası Kontrolü | Enabled (Etkin) |
| 1370 ve altı Etkin Komut Dosyası ve PowerShell | Uyarı |
| 1380 ve üstü Etkin Komut Dosyası | Uyarı |
| 1380 ve üstü PowerShell | Uyarı |
| PowerShell Konsol Kullanımını Engelle | PowerShell Uyarı olarak ayarlandığında geçerli değildir |
| 1380 ve üstü Makrolar | Uyarı |
| Komut Dosyası Kontrolü Etkin Komut Dosyasını Devre Dışı Bırak | Disabled |
| Komut Dosyası Kontrolü PowerShell'i Devre Dışı Bırak | Disabled |
| Komut Dosyası Kontrolü Makrolarını Devre Dışı Bırak | Disabled |
| Klasör Hariç Tutma (alt klasörler dahil) | Ortama bağlı |
| İlke | Önerilen Ayar |
|---|---|
| Güvenli Olmayan Dosyalar için Yürütme Kontrollü Otomatik Karantina | Enabled (Etkin) |
| Anormal Dosyalar için Yürütme Kontrollü Otomatik Karantina | Enabled (Etkin) |
| Karantinaya alınan dosyalar için otomatik silmeyi etkinleştir | Ortama bağlı |
| Otomatik Yükle | Ortama bağlı |
| İlkeye Uygun Dosyalar Listesi | Ortama bağlı |
| İlke | Önerilen Ayar |
|---|---|
| Hizmetin Aygıttan Kapatılmasına İzin Verme | Enabled (Etkin) |
| Güvenli olmayan çalışan işlemleri ve alt işlemlerini sonlandır | Enabled (Etkin) |
| Arka Planda Tehdit Algılama | Enabled (Etkin) |
| Bir Kez Çalıştır/Yineleyerek Çalıştır | Bir Kez Çalıştır |
| Yeni Dosyaları Gözle | Enabled (Etkin) |
| Dosya Örneklerini Kopyala | Ortama bağlı |
| İlke | Önerilen Ayar |
|---|---|
| Günlük Dosyalarının Otomatik Yüklenmesini Etkinleştir | Ortama bağlı |
| Masaüstü Bildirimlerini Etkinleştir | Ortama bağlı |
| İlke | Önerilen Ayar |
|---|---|
| Komut Dosyası Kontrolü | Enabled (Etkin) |
| 1370 ve altı Etkin Komut Dosyası ve PowerShell | Engelle |
| 1380 ve üstü Etkin Komut Dosyası | Engelle |
| 1380 ve üstü PowerShell | Engelle |
| PowerShell Konsol Kullanımını Engelle | Engelle |
| 1380 ve üstü Makrolar | Engelle |
| Komut Dosyası Kontrolü Etkin Komut Dosyasını Devre Dışı Bırak | Disabled |
| Komut Dosyası Kontrolü PowerShell'i Devre Dışı Bırak | Disabled |
| Komut Dosyası Kontrolü Makrolarını Devre Dışı Bırak | Disabled |
| Klasör Hariç Tutma (alt klasörler dahil) | Ortama bağlı |
Bu politika, çalıştırıldıkları sırada algılanan dosyalara ne olacağını belirler. Güvenli olmayan bir dosyanın çalıştığı tespit edilse dahi tehdit, varsayılan olarak engellenir. Güvenli değil, Advanced Threat Prevention ın değerlendirilen tehdit göstergelerini temel alan puanlama sisteminde taşınabilir yürütülebilir dosya için 60'ı aşan bir kümülatif puanla karakterize edilir.
Bu politika, çalıştırıldıkları sırada algılanan dosyalara ne olacağını belirler. Anormal bir dosyanın çalıştığı tespit edilse dahi tehdit, varsayılan olarak engellenir. Anormal, taşınabilir yürütülebilir dosya için 0'ı aşan ancak Advanced Threat Prevention ın puanlama sisteminde 60'ı aşmayan bir kümülatif puan ile karakterize edilir. Puanlama sistemi, değerlendirilen tehdit göstergelerini temel alır.
Güvenli olmayan veya anormal dosyalar aygıt düzeyinde karantinalara, küresel karantina listesine veya Otomatik Karantina ilkelerine bağlı olarak karantinaya alındığında, yerel aygıtta yerel korumalı karantina önbelleğinde tutulur. Karantinaya alınan dosyalar için otomatik silmeyi etkinleştir etkinleştirildiğinde, dosyayı kalıcı olarak silmeden önce dosyayı yerel aygıtta tutmak için gereken gün sayısını (en az 14 gün, en fazla 365 gün) belirtir. Bu seçenek etkinleştirildiğinde, gün sayısını değiştirme özelliği kullanılabilir.
Threat Defense SaaS (Hizmet olarak Yazılım) ortamı tarafından görülmeyen tehditleri daha fazla analiz için işaretler. Bir dosya yerel model tarafından olası bir tehdit olarak işaretlendiğinde SHA256 karması, taşınabilir yürütülebilir dosyadan alınır ve SaaS'ye gönderilir. Gönderilen SHA256 karması bir tehditle eşleşmediğinde Otomatik Yükle seçeneği etkinse bu, tehdidin değerlendirme için SaaS'ye güvenli yüklenmesini sağlar. Bu veri güvenli bir şekilde depolanır ve Dell veya ortakları bu veriye erişemez.
İlkeye Uygun Dosyalar Listesi ortamda güvenilir olarak belirlenen, SHA256 karması ve bu listeye eklenen bilgileri göndererek manuel olarak silinen dosyaların oluşturduğu listedir. Bu listeye bir SHA256 karması yerleştirildiğinde, dosya çalıştırıldığında yerel veya bulut tehdit modelleri tarafından değerlendirilmez. Bunlar "mutlak" dosya yollarıdır.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Güvenli olmayan çalışan işlemleri ve alt işlemlerini sonlandır etkinleştirildiğinde, bu, bir tehdidin alt işlemler oluşturup oluşturmadığını veya uygulamanın bellekte çalışmakta olan diğer işlemleri devralıp almadığını belirler. Bir sürecin bir tehdit tarafından ele geçirildiğine dair bir inanç varsa, birincil tehdit ve oluşturduğu veya şu anda sahip olduğu tüm süreçler derhal sonlandırılır.
Arka Plan Tehdit Algılama, etkinleştirildiğinde, herhangi bir taşınabilir yürütülebilir dosya için tüm cihazı tarar ve ardından bu yürütülebilir dosyayı yerel tehdit modeliyle değerlendirir ve yürütülebilir dosyanın tehdit göstergelerine göre bulut tabanlı SaaS ile yürütülebilir dosyanın puanlaması için onay ister. Arka Plan Tehdit Algılama ile iki seçenek mümkündür: Bir kez çalıştırın ve yinelenenleri çalıştırın. Bir Kez Çalıştır , Threat Defense yüklendiği ve etkinleştirildiği anda aygıta bağlı tüm fiziksel sürücülerin arka plan taramasını gerçekleştirir. Yinelemeyi Çalıştır , Threat Defense yüklendiği ve etkinleştirildiği anda cihaza bağlı tüm cihazların arka plan taramasını gerçekleştirir. Taramayı her dokuz günde bir tekrarlar (yapılandırılamaz).
Yeni Dosyaları Gözle seçeneği etkinleştirildiğinde, cihaza tanıtılan herhangi bir taşınabilir yürütülebilir dosya, yerel model kullanılarak görüntülediği tehdit göstergeleriyle hemen değerlendirilir ve bu puan, bulutta barındırılan SaaS ile karşılaştırılarak onaylanır.
Dosya Örneklerini Kopyala , aygıtta bulunan tüm tehditlerin UNC Yoluna göre tanımlı bir depoya otomatik olarak emanet edilmesini sağlar. Bu işlem yalnızca dahili tehdit araştırması veya ortamdaki paketli tehditler deposunu güvenli tutmak için önerilir. Kopya Dosya Örnekleri tarafından depolanan tüm dosyalar şu parolayla sıkıştırılır: infected.
Günlük dosyalarının otomatik olarak yüklenmesini etkinleştir özelliği, uç noktaların Dell Threat Defense günlük dosyalarını her gece yarısı veya dosya 100 MB'a ulaştığında yüklemesine olanak tanır. Günlükler dosya boyutuna bakılmaksızın her gece yüklenir. Aktarılan günlüklerin tümü ağdan çıkmadan önce sıkıştırılır.
Masaüstü Bildirimini Etkinleştir , bir dosya anormal veya güvensiz olarak işaretlenirse cihaz kullanıcılarının cihazlarında istemlere izin vermesini sağlar. Bu seçenek, bu ilke etkinleştirildiğinde uç noktalardaki Dell Threat Defense tepsi simgesine sağ tıklandığında açılan menüde bulunur.
Komut Dosyası Denetimi , aygıtta çalışan komut dosyalarını tanımlamak ve ilgili komut dosyası türü için politika Engelle olarak ayarlanmışsa bunları önlemek için bellek filtresi tabanlı bir çözüm aracılığıyla çalışır. Bu ilkelerdeki Uyarı Ayarları günlükler içerisinde ve Dell Threat Defense konsolunda engellenen komut dosyaları için geçerlidir.
Bu ilkeler, Haziran 2016 öncesinde kullanılabilen 1370 öncesi istemciler için geçerlidir. Yalnızca Etkin Komut Dosyaları ve PowerShell tabanlı komut dosyaları bu sürümlerle birlikte işlenir.
Bu ilkeler 2016 senesi Haziran ayı sonrasında kullanılabilen 1370 sonrası istemciler için geçerlidir.
Etkin Komut Dosyaları JavaScript, VBScript, toplu iş dosyaları ve diğer pek çok dosya dahil olmak üzere Windows Komut Dosyası Sistemi tarafından yorumlanan komut dosyalarını içerir.
PowerShell komut dosyaları tek bir komut olarak çalışan çok satırlı komut dosyalarını içerir. (Varsayılan Ayar - Uyarı)
PowerShell v3 (Windows 8.1'de tanıtılan) ve üzeri sürümlerde, PowerShell komut dosyalarında çoklu satır bulunma olasılığına rağmen bu dosyaların çoğu tek satırlı komut olarak sırayla çalışır. Bu, PowerShell komut dosyası yorumlayıcısını atlayabilir. PowerShell konsolunu engelle seçeneği, PowerShell konsolunun herhangi bir uygulama tarafından başlatılabilme özelliğini devre dışı bırakarak bu çerçevede çalışır. Tümleşik Komut Dosyası Ortamı (ISE) bu ilkeden etkilenmez.
Makro ayarı Office ve PDF belgelerinde bulunan makroları yorumlar ve tehditleri indirmeye çalışan kötü niyetli makroları engeller.
Bu ilkeler, her bir ilkede tanımlanan komut dosyası türüne karşı uyarıda bulunma özelliğini bile tamamen devre dışı bırakır. Devre dışı bırakıldığında günlük kaydı toplanmaz ve olası tehditleri algılamak veya engellemek için bir çalışma yapılmaz.
İşaretlendiğinde, günlüklerin toplanmasını önler ve olası Etkin Komut Dosyası tabanlı tehditleri engeller. Etkin Komut Dosyaları JavaScript, VBScript, toplu iş dosyaları ve diğer pek çok dosya dahil olmak üzere Windows Komut Dosyası Sistemi tarafından yorumlanan komut dosyalarını içerir.
İşaretlendiğinde, günlüklerin toplanmasını engeller ve olası PowerShell tabanlı tehditleri engeller. PowerShell komut dosyaları tek bir komut olarak çalışan çok satırlı komut dosyalarını içerir.
İşaretlendiğinde, günlüklerin toplanmasını önler ve olası makro tabanlı tehditleri engeller. Makro ayarı Office ve PDF belgelerinde bulunan makroları yorumlar ve tehditleri indirmeye çalışan kötü niyetli makroları engeller.
Klasör Hariç Tutma, içerlerinde çalışan komutların bulunabileceği klasörlerin tanımlanabilmesini sağlar. Bu bölüm göreli yol biçimindeki dışlamaları ister.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs Eşleşen \folder\test\script.vbs veya \folder\exclude\script.vbs ancak bunun için çalışmıyor \folder\test\001\script.vbs. Bu, aşağıdakilerden birini gerektirir /folder/*/001/script.vbs veya /folder/*/*/script.vbs./folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationDoğru (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Doğru (Windows): \Cases\ScriptsAllowed
Yanlış: C:\Application\SubFolder\application.vbs
Yanlış: \Program Files\Dell\application.vbs
Joker Karakter Örnekleri:
/users/*/temp şunları kapsar:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs şunları kapsar:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsDestek ile iletişime geçmek için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.
Çevrimiçi olarak teknik destek talebi oluşturmak için TechDirect adresine gidin.
Daha fazla faydalı bilgi ve kaynak için Dell Security Topluluk Forumu'na katılın.