Dell Threat Defense використовує політики для:
Натисніть Рекомендовані політики або Визначення політик для отримання додаткової інформації.
Політики рекомендується налаштовувати в режимі навчання або режимі захисту. Режим навчання – це спосіб, як Dell Technologies рекомендує тестувати Dell Threat Defense у середовищі. Це найбільш ефективно, коли Dell Threat Defense розгортається на кінцевих точках зі стандартним зображенням компанії.
Для серверів додатків може знадобитися більше змін через вищий, ніж зазвичай, дисковий ввід/вивід.
Після того, як адміністратор розгляне всі оповіщення в консолі адміністрування Dell Threat Defense, Dell Technologies рекомендує перейти до рекомендацій політики Protect Mode. Dell Technologies рекомендує провести тестування в режимі навчання кілька тижнів або більше, перш ніж переходити на політики Protect Mode.
Для отримання додаткових відомостей виберіть пункти «Рекомендації сервера програм»,«Режим навчання» або «Режим захисту ».
У режимах «Навчання» та «Захист» сервери застосунків можуть зіткнутися з додатковими накладними витратами та поведінкою, відмінною від поведінки клієнтських операційних систем. Автоматичний карантин (AQT) у рідкісних випадках перешкоджає запуску деяких файлів, доки не буде обчислено рахунок. Це було видно, коли програма виявляє блокування своїх файлів як фальсифікацію, або процес може не завершитися успішно протягом очікуваного періоду часу.
Якщо ввімкнено функцію «Стежити за новими файлами », це може сповільнити роботу пристрою. Коли генерується новий файл, він аналізується. Хоча цей процес легкий, великий обсяг файлів за один раз може вплинути на продуктивність.
Пропоновані зміни політики для операційних систем Windows Server:
Згідно з цими рекомендаціями, зазвичай також пропонується виділити пристрої з операційними системами серверів в окремі зони. Щоб отримати інформацію про створення зон, зверніться до розділу Як керувати зонами в Dell Threat Defense.
Політика | Рекомендовані налаштування |
---|---|
Автоматичний карантин з контролем виконання для небезпечних | Вимкнуто |
Автоматичний карантин з контролем виконання для ненормальних | Вимкнуто |
Увімкнення автоматичного видалення файлів у карантині | Вимкнуто |
Автоматичне завантаження | Включений |
Список надійних полісів | Залежить від навколишнього середовища |
Політика | Рекомендовані налаштування |
---|---|
Запобігти вимкненню служби з пристрою | Вимкнуто |
Призупинення небезпечних запущених процесів та їхніх підпроцесів | Вимкнуто |
Виявлення фонових загроз | Вимкнуто |
Запуск один раз/Повторюваний запуск | Не застосовується, якщо для фонового захисту від загроз установлено значення Вимкнено |
Слідкуйте за новими файлами | Вимкнуто |
Скопіюйте зразки файлів | Залежить від навколишнього середовища |
Політика | Рекомендовані налаштування |
---|---|
Увімкніть автоматичне завантаження файлів журналу | Залежить від навколишнього середовища |
Увімкніть сповіщення на робочому столі | Залежить від навколишнього середовища |
Політика | Рекомендовані налаштування |
---|---|
Керування сценарієм | Включений |
1370 і старіші Active Script і PowerShell | Оповіщення |
1380 і вище Активний скрипт | Оповіщення |
1380 і вище PowerShell | Оповіщення |
Блокування використання консолі PowerShell | Не застосовується, коли для PowerShell встановлено значення Alert |
1380 і вище Макроси | Оповіщення |
Вимкніть активний скрипт керування сценарієм | Вимкнуто |
Вимкніть керування сценарієм PowerShell | Вимкнуто |
Вимкніть макроси керування сценарієм | Вимкнуто |
Виключення папок (включно з вкладеними папками) | Залежить від навколишнього середовища |
Політика | Рекомендовані налаштування |
---|---|
Автоматичний карантин з контролем виконання для небезпечних | Включений |
Автоматичний карантин з контролем виконання для ненормальних | Включений |
Увімкнення автоматичного видалення файлів у карантині | Залежить від навколишнього середовища |
Автоматичне завантаження | Залежить від навколишнього середовища |
Список надійних полісів | Залежить від навколишнього середовища |
Політика | Рекомендовані налаштування |
---|---|
Запобігти вимкненню служби з пристрою | Включений |
Призупинення небезпечних запущених процесів та їхніх підпроцесів | Включений |
Виявлення фонових загроз | Включений |
Запуск один раз/Повторюваний запуск | Запустити один раз |
Слідкуйте за новими файлами | Включений |
Скопіюйте зразки файлів | Залежить від навколишнього середовища |
Політика | Рекомендовані налаштування |
---|---|
Увімкніть автоматичне завантаження файлів журналу | Залежить від навколишнього середовища |
Увімкніть сповіщення на робочому столі | Залежить від навколишнього середовища |
Політика | Рекомендовані налаштування |
---|---|
Керування сценарієм | Включений |
1370 і старіші Active Script і PowerShell | Блокувати |
1380 і вище Активний скрипт | Блокувати |
1380 і вище PowerShell | Блокувати |
Блокування використання консолі PowerShell | Блокувати |
1380 і вище Макроси | Блокувати |
Вимкніть активний скрипт керування сценарієм | Вимкнуто |
Вимкніть керування сценарієм PowerShell | Вимкнуто |
Вимкніть макроси керування сценарієм | Вимкнуто |
Виключення папок (включно з вкладеними папками) | Залежить від навколишнього середовища |
Ця політика визначає, що відбувається з файлами, які виявляються під час їх запуску. За замовчуванням, навіть коли небезпечний файл визначається як запущений, загроза блокується. Небезпечний характеризується сукупним балом для портативного виконуваного файла, який перевищує 60 балів у системі оцінювання Advanced Threat Prevention, яка базується на оцінених індикаторах загроз.
Ця політика визначає, що відбувається з файлами, які виявляються під час їх запуску. За замовчуванням, навіть коли аномальний файл визначається як запущений, загроза блокується. Відхилення від норми характеризується сукупним балом для портативного виконуваного файла, який перевищує 0, але не перевищує 60 балів у системі оцінювання Advanced Threat Prevention. Система нарахування балів ґрунтується на показниках загрози, які були оцінені.
Коли небезпечні або ненормальні файли потрапляють у карантин на основі карантину на рівні пристрою, глобальних списків карантину або політик автоматичного карантину, вони зберігаються в локальному ізольованому карантинному кеші на локальному пристрої. Якщо ввімкнено параметр Увімкнути автоматичне видалення для файлів у карантині, він позначає кількість днів (мінімум 14 днів, максимум 365 днів), протягом яких файл зберігався на локальному пристрої перед остаточним видаленням файлу. Коли це увімкнено, стає можливою можливість змінювати кількість днів.
Позначає загрози, які не були помічені середовищем Threat Defense SaaS (Software as a Service) для подальшого аналізу. Коли файл позначається локальною моделлю як потенційна загроза, з портативного виконуваного файлу береться хеш SHA256, який відправляється в SaaS. Якщо надісланий хеш SHA256 не може бути зіставлений із загрозою, і ввімкнено автоматичне завантаження, це дозволяє безпечно завантажити загрозу в SaaS для оцінки. Ці дані надійно зберігаються та недоступні для Dell та її партнерів.
Список безпечних політик – це список файлів, які було визначено як безпечні в середовищі та які було видалено вручну, надіславши їхній хеш SHA256 та будь-яку додаткову інформацію до цього списку. Коли хеш SHA256 розміщується в цьому списку, коли файл запускається, він не оцінюється локальною або хмарною моделлю загроз. Це «абсолютні» шляхи до файлів.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Коли ввімкнено функцію Kill небезпечно запущених процесів та їхніх підпроцесів , це визначає, чи загроза генерує дочірні процеси, чи програма взяла на себе інші процеси, які наразі виконуються в пам'яті. Якщо є припущення, що процес був захоплений загрозою, основна загроза та будь-які процеси, які вона створила або якими вона наразі володіє, негайно припиняються.
Функція виявлення фонових загроз, коли її ввімкнено, сканує весь пристрій на наявність будь-якого портативного виконуваного файла, а потім оцінює цей виконуваний файл за допомогою локальної моделі загроз і запитує підтвердження для оцінювання виконуваного файлу в хмарному SaaS на основі індикаторів загрози виконуваного файлу. За допомогою функції виявлення фонових загроз можливі два варіанти: Запустіть один раз і виконайте повторювані. Run Once виконує фонове сканування всіх фізичних дисків, які підключені до пристрою в момент встановлення та активації Threat Defense. Функція «Повторюваний запуск » виконує фонове сканування всіх пристроїв, підключених до пристрою, у момент встановлення та активації Threat Protection. Сканування повторюється кожні дев'ять днів (не налаштовується).
Коли ввімкнено функцію «Стежити за новими файлами », будь-який портативний виконуваний файл, який представлено на пристрої, негайно оцінюється за показниками загрози, які він відображає за допомогою локальної моделі, і ця оцінка підтверджується порівняно з SaaS, розміщеним у хмарі.
Copy File Samples дозволяє автоматично депонувати будь-які загрози, знайдені на пристрої, у визначене сховище на основі шляху UNC. Це рекомендується лише для внутрішнього дослідження загроз або для зберігання безпечного сховища упакованих загроз у середовищі. Усі файли, які зберігаються за допомогою Copy File Samples , архівуються з паролем infected
.
Увімкнення автоматичного завантаження файлів журналів дозволяє кінцевим точкам завантажувати свої файли журналів для Dell Threat Defense щоночі опівночі або коли файл досягає 100 МБ. Журнали завантажуються щоночі незалежно від розміру файлу. Усі передані журнали стискаються перед виходом із мережі.
Увімкнення сповіщень на робочому столі дає змогу користувачам пристрою дозволяти запити на своєму пристрої, якщо файл позначено як ненормальний або небезпечний. Ця опція міститься в меню правої кнопки миші піктограми в треї Dell Threat Defense на кінцевих точках з увімкненою цією політикою.
Контроль сценаріїв працює за допомогою рішення на основі фільтра пам'яті, щоб виявляти сценарії, які виконуються на пристрої, і запобігати їм, якщо для цього типу сценаріїв встановлено політику Блок. Налаштування сповіщень у цих політиках вказують лише на сценарії, які були б заблоковані в журналах і на консолі Dell Threat Defense.
Ці правила застосовуються до клієнтів до 1370 і які були доступні до червня 2016 року. У цих версіях працюють лише активні сценарії та сценарії на основі PowerShell.
Ці правила поширюються на клієнтів після 1370, які були доступні після червня 2016 року.
Активні сценарії включають будь-який сценарій, який інтерпретується хостом сценаріїв Windows, включаючи JavaScript, VBScript, пакетні файли та багато інших.
Сценарії PowerShell включають будь-який багаторядковий сценарій, який виконується як одна команда. (Налаштування за замовчуванням - Alert)
У PowerShell v3 (запроваджено у Windows 8.1) і пізніших версіях більшість сценаріїв PowerShell виконуються як однорядкова команда; Хоча вони можуть містити кілька рядків, вони виконуються по порядку. Це може обійти інтерпретатор скриптів PowerShell. Консоль Block PowerShell вирішує цю проблему, відключаючи можливість запуску будь-якої програми на консолі PowerShell. Ця політика не впливає на інтегроване середовище сценаріїв (ISE).
Настройка макросу інтерпретує макроси, наявні в документах Office і PDF-файлах, і блокує шкідливі макроси, які можуть намагатися завантажити загрози.
Ці політики повністю вимикають можливість навіть сповіщати про тип скрипту, визначений у кожній політиці. Якщо цей параметр вимкнено, журнали не збираються, а спроби виявити або заблокувати потенційні загрози не виконуються.
Якщо цей параметр увімкнено, запобігає збиранню журналів і блокує будь-які потенційні загрози на основі активного сценарію. Активні сценарії включають будь-який сценарій, який інтерпретується хостом сценаріїв Windows, включаючи JavaScript, VBScript, пакетні файли та багато інших.
Якщо цей параметр увімкнено, запобігає збиранню журналів і блокує будь-які потенційні загрози на основі PowerShell. Сценарії PowerShell включають будь-який багаторядковий сценарій, який виконується як одна команда.
Якщо цей параметр увімкнено, запобігає збиранню журналів і блокує будь-які потенційні загрози на основі макросів. Настройка макросу інтерпретує макроси, наявні в документах Office і PDF-файлах, і блокує шкідливі макроси, які можуть намагатися завантажити загрози.
За допомогою параметра «Виключення папок» можна визначати папки, в яких можуть виконуватися сценарії та які можна виключити. Цей розділ просить про виключення у форматі відносного шляху.
/windows/system*/
./windows/system32/*/
/windows/system32/*
/folder/*/script.vbs
Матчі \folder\test\script.vbs
або \folder\exclude\script.vbs
але не працює на \folder\test\001\script.vbs
. Для цього потрібно або /folder/*/001/script.vbs
або /folder/*/*/script.vbs
./folder/*/script.vbs
/folder/test*/script.vbs
//*/login/application
//abc*/logon/application
Правильно (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Правильна (Windows): \Cases\ScriptsAllowed
Неправильне: C:\Application\SubFolder\application.vbs
Неправильне: \Program Files\Dell\application.vbs
Приклади символів узагальнення:
/users/*/temp
охопить:
\users\john\temp
\users\jane\temp
/program files*/app/script*.vbs
охопить:
\program files(x86)\app\script1.vbs
\program files(x64)\app\script2.vbs
program files(x64)\app\script3.vbs
Щоб зв'язатися зі службою підтримки, зверніться до номерів телефонів міжнародної підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову статистику та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.