Management von Dell Threat Defense

Die Dell Threat Defense-Konsole bietet eine eingehende Bewertung der „unsicheren“ oder „ungewöhnlichen“ Dateien, um Administratoren dabei zu unterstützen, die Bedrohungen in ihrer Umgebung adäquat zu verringern.

So bewerten Sie eine Datei:

1. Klicken Sie in der Konsole auf die Registerkarte Schutz.

2. Klicken Sie unter "Schutz" auf eine Bedrohung, um weitere Informationen zu erhalten.

Cylance-Bewertung: Eine Bewertung von 1 (begrenzt) – 100 (hoch) wird von Cylance basierend auf Bedrohungsattributen zugewiesen.

Von Nutzern unter Quarantäne gestellt in [Mandant]: Welche Aktionen von Nutzern in der Umgebung (Mandant) an der Datei durchgeführt wurden.

Von allen Cylance-Nutzern unter Quarantäne gestellt: Welche Aktionen von Nutzern in allen Cylance-Umgebungen an der Datei durchgeführt wurden.

Klassifizierung: Allgemeine Identifizierung der Datei/Bedrohung

Zuerst gefunden: Wann die Datei zum ersten Mal in der Umgebung gefunden wurde

Zuletzt gefunden: Wann die Datei zuletzt in der Umgebung gefunden wurde

Globale Quarantäne: Fügt eine Datei zur globalen Quarantäneliste für die Umgebung hinzu. Jedes Mal, wenn die Datei auf einem Gerät angezeigt wird, wird sie automatisch im Ordner \q unter Quarantäne gestellt.

Sicher: Fügt eine Datei zur sicheren Liste für eine Umgebung hinzu. Wenn eine Datei derzeit in Quarantäne verschoben ist, wird sie automatisch an ihrem ursprünglichen Speicherort wieder abgelegt.

SHA256: Der kryptografische 256-Bit-Hash, mit dem die Datei/Bedrohung identifiziert wird. Ein Administrator kann auf den Hash klicken, um eine Google-Suche nach bekannten Vorkommnissen durchzuführen.

MD5: Der kryptografische 128-Bit-Hash, mit dem die Datei/Bedrohung identifiziert wird. Ein Administrator kann auf den Hash klicken, um eine Google-Suche nach bekannten Vorkommnissen durchzuführen.

Datei herunterladen: Ermöglicht es einem Administrator, die Datei zur weiteren Bewertung und zum Testen herunterzuladen.

Cylance-Bewertung: Eine Bewertung von 1 (begrenzt) – 100 (hoch) wird von Cylance basierend auf Bedrohungsattributen zugewiesen.

AV-Branche: Bestimmt, ob Virenschutz-Engines von Drittanbietern die Datei als Bedrohung identifizieren, indem der Index unter virustotal.com überprüft wird.

Google-Suche: Durchsucht Google nach Hashes und Dateinamen, um weitere Informationen zur Datei/Bedrohung zu erhalten.

Es kann Dateien geben, die fälschlicherweise als Bedrohungen in einer Umgebung identifiziert werden. Administratoren können diese zur globalen sicheren Liste hinzufügen, um zu verhindern, dass sie in Quarantäne verschoben werden. Alle Dateien, die in Quarantäne verschoben werden, bevor sie als sicher aufgelistet wurden, werden an den ursprünglichen Speicherort zurückverschoben.

So fügen Sie eine Datei der sicheren Liste hinzu:

1. Klicken Sie in der Konsole auf die Registerkarte Schutz.

2. Klicken Sie unter „Schutz“ auf die Bedrohung, die als sicher aufgelistet werden soll, und klicken Sie dann auf Sicher.

3. Wählen Sie aus dem Popup-Fenster zur Aktionsbestätigung eine Kategorie für die Datei aus dem Drop-Down-Menü aus. Dies hilft bei der Klassifizierung von Dateien und Bedrohungen.

4. Geben Sie einen Grund für das Hinzufügen zur sicheren Liste ein. Dies bietet Transparenz über die gesamte Umgebung hinweg.
5. Klicken Sie auf Ja, um das Hinzufügen zur sicheren Liste zu bestätigen.

Ein Administrator kann eine Datei proaktiv in Quarantäne verschieben, indem er sie zur globalen Quarantäneliste hinzufügt.

So stellen Sie eine Datei global unter Quarantäne:

1. Klicken Sie in der Konsole auf die Registerkarte Schutz.

2. Klicken Sie im Bereich „Schutz“ auf die Bedrohung, die als sicher aufgelistet werden soll, und klicken Sie dann auf Globale Quarantäne.

3. Geben Sie im Pop-up-Fenster zur Aktionsbestätigung den Grund für die Quarantäne ein. Dies trägt zur Transparenz für andere Administratoren und Zonenmanager bei.
4. Klicken Sie auf Ja, um die globale Quarantäne zu bestätigen.

Das Dell Threat Defense-Installationsprogramm ist direkt im Mandanten verfügbar. Eine Anleitung zum Herunterladen von Dell Threat Defense finden Sie unter Herunterladen von Dell Threat Defense.

Um Dell Threat Defense auf einem Gerät zu installieren, muss ein gültiges Installations-Token vom Mandanten abgerufen werden. Eine Anleitung zum Abrufen eines Installations-Tokens finden Sie unter Abrufen eines Installations-Tokens für Dell Threat Defense.

Standardmäßig enthalten Geräte eine eingeschränkte Protokollierung für Dell Threat Defense. Es wird dringend empfohlen, die ausführliche Protokollierung auf einem Gerät vor dem Troubleshooting oder der Kontaktaufnahme mit dem Dell Data Security Pro Support zu aktivieren. Weitere Informationen finden Sie unter den internationalen Support-Telefonnummern von Dell Data Security. Weitere Informationen zum Aktivieren der ausführlichen Protokollierung finden Sie unter Aktivieren der ausführlichen Protokollierung für Dell Threat Defense.

Geräte werden während der Deinstallation nicht automatisch aus der Dell Threat Defense-Konsole entfernt. Ein Administrator muss das Gerät manuell von der Mandanten-Konsole entfernen. Weitere Informationen finden Sie unter Entfernen eines Geräts von der Dell Threat Defense-Verwaltungskonsole.

Bietet eine Zusammenfassung der Dell Threat Defense-Nutzung eines Unternehmens, von der Anzahl der Bereiche und Geräte bis hin zum Prozentsatz der Geräte, die durch die automatische Quarantäne, Bedrohungsereignisse, Agentenversionen und Offline-Tage für Geräte geschützt sind.

Zonen: Zeigt die Anzahl der Zonen im Unternehmen an.

Geräte: Zeigt die Anzahl der Geräte im Unternehmen an. Ein Gerät ist ein Endpunkt mit einem registrierten Threat Defense Agent.

Policies: Zeigt die Anzahl der Policies an, die im Unternehmen erstellt wurden.

Analysierte Dateien: Zeigt die Anzahl der Dateien an, die im Unternehmen analysiert wurden (auf allen Geräten des Unternehmens).

Bedrohungsereignisse: Zeigt ein Balkendiagramm mit unsicheren, ungewöhnlichen und unter Quarantäne gestellten Bedrohungsereignissen an, gruppiert nach Tag für die letzten 30 Tage. Wenn Sie den Mauszeiger über einen Balken im Diagramm bewegen, wird die Gesamtzahl der an diesem Tag gemeldeten Bedrohungsereignisse angezeigt.

Bedrohungen werden nach dem Datum gruppiert, an dem sie gemeldet wurden, also nach dem Tag, an dem die Konsole Informationen über eine Bedrohung vom Gerät erhalten hat. Das Meldedatum unterscheidet sich möglicherweise vom tatsächlichen Ereignisdatum, wenn das Gerät zum Zeitpunkt des Ereignisses nicht online war.

Geräte – Dell Threat Defense Agent-Versionen: Zeigt ein Balkendiagramm an, das die Anzahl der Geräte darstellt, auf denen eine Threat Defense Agent-Version ausgeführt wird. Wenn Sie den Mauszeiger über einen Balken im Diagramm bewegen, wird die Anzahl der Geräte angezeigt, auf denen diese bestimmte Threat Defense Agent-Version ausgeführt wird.

Offline-Tage: Zeigt die Anzahl der Geräte an, die für einen Zeitraum von mehreren Tagen offline waren (von 0–15 Tagen, bis zu mehr als 61 Tage). Außerdem wird ein Balkendiagramm mit Farbcodierung in jedem Bereich von Tagen angezeigt.

Geräte – Dell Threat Defense Agent-Versionen: Zeigt ein Balkendiagramm an, das die Anzahl der Geräte darstellt, auf denen eine Threat Defense Agent-Version ausgeführt wird. Wenn Sie den Mauszeiger über einen Balken im Diagramm bewegen, wird die Anzahl der Geräte angezeigt, auf denen diese bestimmte Threat Defense Agent-Version ausgeführt wird.

Der Bericht zur Bedrohungsereignis-Zusammenfassung zeigt die Anzahl der Dateien an, die in zwei der Bedrohungsklassifizierungen von Cylance identifiziert wurden: Malware und PUPs (potenziell unerwünschte Programme) und beinhaltet eine Aufschlüsselung zu spezifischen Unterkategorien der Klassifikationen für jede Familie. Darüber hinaus werden in den Top-10-Listen "Dateibesitzer" und "Geräte mit Bedrohungen" die Bedrohungsereignisanzahlen für die Familien Malware, PUPs und Dual Use angezeigt.

Malware-Gesamtereignisse: Zeigt die Gesamtzahl der Malware-Ereignisse an, die im Unternehmen identifiziert wurden.

PUP-Gesamtereignisse: Zeigt die Gesamtzahl der PUP-Ereignisse an, die im Unternehmen identifiziert wurden.

Ereignisse mit unsicherer/anormaler Malware: Zeigt die Gesamtzahl der Ereignisse mit unsicherer und anormaler Malware an, die im Unternehmen gefunden wurden.

Ereignisse mit unsicheren/anormalen PUPs: Zeigt die Gesamtzahl der Ereignisse mit unsicheren und anormalen PUPs an, die im Unternehmen gefunden wurden.

Malware-Ereignisklassifizierungen: Zeigt ein Balkendiagramm mit allen Malware-Klassifikationen an, die bei Bedrohungsereignissen auf den Geräten im Unternehmen gefunden wurden. Wenn Sie den Mauszeiger über einen Balken im Diagramm bewegen, wird die Gesamtzahl der Malware-Ereignisse angezeigt, die für diese Klassifizierung gefunden wurden.

PUP-Ereignisklassifizierungen: Zeigt ein Balkendiagramm mit allen PUP-Klassifikationen (potenziell unerwünschte Programme) an, die bei Bedrohungsereignissen auf den Geräten im Unternehmen gefunden wurden. Wenn Sie den Mauszeiger über einen Balken im Diagramm bewegen, wird die Gesamtzahl der PUP-Ereignisse angezeigt, die für diese Klassifizierung gefunden wurden.

Top 10-Dateieigentümer mit den meisten Bedrohungsereignissen: Zeigt eine Liste der Top 10-Dateieigentümer an, die die meisten Bedrohungsereignisse aufweisen. Dieses Widget zeigt Ereignisse aller dateibasierten Bedrohungsfamilien von Cylance an, nicht nur Malware- oder PUP-Ereignisse.

Top 10-Geräte mit den meisten Bedrohungsereignissen: Zeigt eine Liste der Top 10-Geräte mit den meisten Bedrohungsereignissen an. Dieses Widget zeigt Ereignisse aller dateibasierten Bedrohungsfamilien von Cylance an, nicht nur Malware- oder PUP-Ereignisse.

Der Bericht Gerätezusammenfassung zeigt mehrere gerätezentrierte Maßnahmen an, die von Bedeutung sind. Die automatische Quarantäneerfassung gibt die Bedrohungserfassung an und kann verwendet werden, um den Fortschritt anzuzeigen. Geräte: Threat Defense-Versionsstatistiken können ältere Threat Defense Agents identifizieren. Offline-Tage weisen möglicherweise darauf hin, dass es sich um Geräte handelt, die sich nicht mehr in der Threat Defense-Konsole anmelden und die Sie entfernen möchten.

Gesamtzahl der Geräte: Zeigt die Gesamtzahl der Geräte im Unternehmen an. Ein Gerät ist ein Endpunkt mit einem registrierten Threat Defense Agent.

Automatische Quarantäneerfassung: Zeigt die Anzahl der Geräte mit einer Policy an, bei der sowohl unsichere als auch ungewöhnliche Dateien für die automatische Quarantäne ausgewählt werden. Diese Geräte gelten als „aktiviert“. Deaktivierte Geräte werden einer Richtlinie zugewiesen, für die eine oder beide dieser Optionen deaktiviert sind. Das Kreisdiagramm zeigt den Prozentsatz der Geräte an, die einer Policy zugewiesen sind, bei der die automatische Quarantäne für „unsicher“, „ungewöhnlich“ oder beides deaktiviert ist.

Geräte – Dell Threat Defense Agent-Versionen: Zeigt ein Balkendiagramm an, das die Anzahl der Geräte darstellt, auf denen eine Threat Defense Agent-Version ausgeführt wird. Wenn Sie den Mauszeiger über einen Balken im Diagramm bewegen, wird die Anzahl der Geräte angezeigt, auf denen diese bestimmte Threat Defense Agent-Version ausgeführt wird.

Offline-Tage: Zeigt die Anzahl der Geräte an, die für einen Zeitraum von mehreren Tagen offline waren (von 0–15 Tagen, bis zu mehr als 61 Tage). Außerdem wird ein Balkendiagramm mit Farbcodierung in jedem Bereich von Tagen angezeigt.

Der Bericht „Bedrohungsereignisse“ enthält Daten für Bedrohungsereignisse, die im Unternehmen gefunden wurden. Bedrohungen werden nach dem Datum gruppiert, an dem sie gemeldet wurden, also nach dem Tag, an dem die Konsole Informationen über eine Bedrohung vom Gerät erhalten hat. Das Meldedatum unterscheidet sich möglicherweise vom tatsächlichen Ereignisdatum, wenn das Gerät zum Zeitpunkt des Ereignisses nicht online war.

Anzahl der Bedrohungsereignisse: Zeigt ein Balkendiagramm an, das die im Unternehmen gemeldeten Bedrohungsereignisse enthält. Wenn Sie den Mauszeiger über einen Balken im Diagramm bewegen, wird die Gesamtzahl der an diesem Tag gemeldeten Bedrohungsereignisse angezeigt. Das Balkendiagramm zeigt die letzten 30 Tage an.

Bedrohungsereignis-Tabelle: Zeigt Informationen zu Bedrohungsereignissen an.

Der Bericht „Geräte“ zeigt, wie viele Geräte für eine Betriebssystemproduktreihe (Windows und macOS) vorhanden sind.

Anzahl der Geräte nach Betriebssystem: Zeigt ein Balkendiagramm an, dass die Geräte nach den Hauptbetriebssystemgruppen (Windows und macOS) organisiert. Wenn Sie den Mauszeiger über einen Balken im Diagramm bewegen, wird die Gesamtzahl der Geräte in der Betriebssystemgruppe angezeigt.

Gerätetabelle: Zeigt eine Liste der Gerätenamen und Geräteinformationen für die Geräte im Unternehmen an.

Als zusätzliche Sicherheitsebene kann ein Dell Threat Defense-Administrator erzwingen, dass Threat Defense-Geräte ein Kennwort für die Deinstallation der Anwendung anfordern. Weitere Informationen finden Sie unter Hinzufügen oder Entfernen eines Deinstallationskennworts in Dell Threat Defense.

In der Basiskonfiguration wird nur der erste Käufer als Administrator für die Dell Threat Defense-Konsole aufgeführt. Weitere Informationen finden Sie unter Hinzufügen von Benutzern zur Dell Threat Defense-Verwaltungskonsole.

Geräterichtlinien sind in der Funktion von Dell Threat Defense unerlässlich. In der Basiskonfiguration sind die Advanced Threat Prevention-Funktionen in der Policy „Standard“ deaktiviert. Es ist wichtig, dass Sie die Standard-Policy ändern oder eine neue Policy erstellen, bevor Sie Threat Defense bereitstellen. Weitere Informationen finden Sie unter Ändern von Richtlinien in Dell Threat Defense.

Die Dell Threat Defense-Konsole bietet eine einfache Möglichkeit, einen Bericht zum Status von Bedrohungen in einer Umgebung zu erstellen. Weitere Informationen finden Sie unter Erstellen von Berichten in Dell Threat Defense.

Die Basiskonfiguration für die Dell Threat Defense-Konsole aktualisiert die Geräte automatisch auf den neuesten Build. Ein Threat Defense-Administrator kann vor der Produktion optional Builds für Test- und Pilotzonen bereitstellen. Weitere Informationen finden Sie unter Konfigurieren von Updates in Dell Threat Defense.