Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Anbefalinger til Dell Threat Defense-politik

Résumé: Få mere at vide om anbefalede politikker og politikdefinitioner for Dell Threat Defense.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Bemærk:

Dell Threat Defense bruger politikker til at:

  • Definere, hvordan trusler håndteres
  • Bestemme, hvad der skal ske med filer, der er sat i karantæne
  • Konfigurere script-styring

Berørte produkter:

  • Dell Threat Defense

Klik på Anbefalede politikker eller Politikdefinitioner for at få flere oplysninger.

Politikdefinitioner i Threat Defense:

Filhandlinger

Automatisk karantæne med udførselskontrol for Usikker

Denne politik bestemmer, hvad der sker med filer, der registreres, mens de køres. Som standard, selv når en usikker fil registreres som kørende, blokeres truslen. Usikker er kendetegnet ved en kumulativ score for den bærbare eksekverbare fil, der overstiger 60 i Advanced Threat Preventions scoringssystem, der er baseret på trusselsindikatorer, der er blevet evalueret.

Automatisk karantæne med udførselskontrol for Unormal

Denne politik bestemmer, hvad der sker med filer, der registreres, mens de køres. Som standard, selv når en unormal fil registreres som kørende, blokeres truslen. Unormal er kendetegnet ved en kumulativ score for den bærbare eksekverbare fil, der overstiger 0, men ikke overstiger 60 i Advanced Threat Preventions scoringssystem. Pointsystemet er baseret på trusselsindikatorer, der er blevet evalueret.

Aktivér automatisk sletning for filer, der er sat i karantæne

Når usikre eller unormale filer sættes i karantæne baseret på karantæner på enhedsniveau, globale karantænelister eller politikker for automatisk karantæne, opbevares de i en lokal karantænecache i sandkassen på den lokale enhed. Når Aktivér automatisk sletning for filer i karantæne er aktiveret, angiver det antallet af dage (mindst 14 dage, maksimalt 365 dage) til at beholde filen på den lokale enhed, før filen slettes permanent. Når dette er aktiveret, bliver det muligt at ændre antallet af dage.

Upload automatisk

Markerer trusler, der ikke blev registreret af Threat Defense SaaS-miljøet (software as a Service), til yderligere analyse. Når en fil markeres som en potentiel trussel af den lokale model, tages der en SHA256-hash af den bærbare eksekverbare fil, og dette sendes op til SaaS. Hvis SHA256-hashen, der blev sendt, ikke kan matches med en trussel, og automatisk upload er aktiveret, kan truslen sikkert uploades til SaaS til evaluering. Disse data gemmes på en sikker måde og er ikke tilgængelig for Dell eller dennes partnere.

Liste over sikre politikker

Listen over sikre politikker er en liste over filer, der er fastlagt til at være sikre i miljøet, og som er manuelt blevet set bort fra ved at sende deres SHA256-hash og alle yderligere oplysninger til denne liste. Når en SHA256-hash placeres på denne liste, og filen køres, evalueres den ikke af de lokale trusselsmodeller eller cloud-trusselsmodellerne. Disse er "absolutte" filstier.

Eksempler på udelukkelse:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Indstillinger for beskyttelse

Afbryd usikre kørende processer og deres underprocesser

Når Dræb usikre kørende processer og deres underprocesser er aktiveret, bestemmer dette, om en trussel genererer underordnede processer, eller om applikationen har overtaget andre processer, der i øjeblikket kører i hukommelsen. Hvis der er en tro på, at en proces er blevet overtaget af en trussel, afsluttes den primære trussel og eventuelle processer, som den har genereret eller i øjeblikket ejer, straks.

Background Threat Detection

Når registrering af baggrundstrusler er aktiveret, scanner hele enheden for en bærbar eksekverbar fil og evaluerer den derefter eksekverbare fil med den lokale trusselsmodel og anmoder om bekræftelse af scoringen af den eksekverbare fil med den skybaserede SaaS baseret på trusselsindikatorerne for den eksekverbare fil. To muligheder er mulige med registrering af baggrundstrusler: Kør én gang , og kør tilbagevendende. Kør én gang udfører en baggrundsscanning af alle fysiske drev, der er tilsluttet enheden i det øjeblik, Threat Defense installeres og aktiveres. Kør tilbagevendende udfører en baggrundsscanning af alle enheder, der er tilsluttet enheden i det øjeblik, Threat Defense installeres og aktiveres. Den gentager scanningen hver niende dag (kan ikke konfigureres).

Hold øje med nye filer

Når Se efter nye filer er aktiveret, evalueres enhver bærbar eksekverbar, der introduceres til enheden, straks med de trusselindikatorer, den viser ved hjælp af den lokale model, og denne score bekræftes mod den skyhostede SaaS.

Kopiér fileksempler

Kopier fileksempler gør det muligt automatisk at deponere alle trusler, der findes på enheden, til et defineret lager baseret på UNC-sti. Dette anbefales kun til interne trusselsundersøgelser eller til at have et sikkert lager med pakkede trusler i miljøet. Alle filer, der gemmes af Copy File Samples , zippes med adgangskoden infected.

Agentindstillinger

Aktivér automatisk upload af logfiler

Aktivér automatisk upload af logfiler gør det muligt for slutpunkter at uploade deres logfiler til Dell Threat Defense hver nat ved midnat, eller når filen når 100 MB. Logfiler uploades hver nat uanset filstørrelse. Alle logfiler, der overføres, komprimeres, før de forlader netværket.

Aktivér skrivebordsmeddelelser

Aktivér skrivebordsmeddelelse giver enhedsbrugere mulighed for at tillade prompter på deres enhed, hvis en fil er markeret som unormal eller usikker. Dette er en indstilling i højrekliksmenuen på Dell Threat Defense-bakkeikonet på slutpunkter med denne politik aktiveret.

Script-styring

Script-styring

Scriptstyring fungerer via en hukommelsesfilterbaseret løsning til at identificere scripts, der kører på enheden, og forhindre dem, hvis politikken er indstillet til Bloker for den pågældende scripttype. Advarselsindstillinger for disse politikker noterer kun scripts, der ville være blevet blokeret i logfiler og på Dell Threat Defense-konsollen.

1370 og derunder

Disse politikker gælder for kunder før 1370, som var tilgængelige før juni 2016. Der reageres kun på aktive scripts og PowerShell-baserede scripts med disse versioner.

1380 og derover

Disse politikker gælder for klienter efter 1370, som var tilgængelige efter juni 2016.

Aktivt script

Aktive scripts omfatter ethvert script, der fortolkes af Windows-scriptværten, herunder JavaScript, VBScript, batchfiler og mange andre.

PowerShell

PowerShell-scripts omfatter ethvert script med flere linjer, der køres som en enkelt kommando. (Standardindstilling - Advarsel)

Bloker brug af PowerShell-konsol – (ikke til stede, når PowerShell er indstillet til advarsel)

I PowerShell v3 (introduceret i Windows 8.1) og nyere køres de fleste PowerShell-scripts som en enkeltlinjekommando. Selvom de kan indeholde flere linjer, køres de i rækkefølge. Dette kan omgå PowerShell-scriptfortolkeren. Bloker PowerShell-konsollen omgår dette ved at deaktivere muligheden for at få ethvert program til at starte PowerShell-konsollen. ISE (Integrated Scripting Environment) er ikke berørt af denne politik.

Makroer

Indstillingen Makro fortolker makroer, der findes i Office-dokumenter og PDF-filer, og blokerer skadelige makroer, der kan forsøge at downloade trusler.

Deaktiver script-styring

Disse politikker deaktiverer muligheden for endda at advare den scripttype, der er defineret inden for hver politik. Når den er deaktiveret, indsamles der ingen logfiler, og det er ikke muligt at detektere eller blokere potentielle trusler.

Aktivt script

Når afkrydsningsfeltet er markeret, forhindrer det indsamling af logfiler og blokerer eventuelle Active Script-baserede trusler. Aktive scripts omfatter ethvert script, der fortolkes af Windows-scriptværten, herunder JavaScript, VBScript, batchfiler og mange andre.

PowerShell

Når afkrydsningsfeltet er markeret, forhindrer det indsamling af logfiler og blokerer eventuelle potentielle PowerShell-baserede trusler. PowerShell-scripts omfatter ethvert script med flere linjer, der køres som en enkelt kommando.

Makroer

Når afkrydsningsfeltet er markeret, forhindrer det indsamling af logfiler og blokerer eventuelle makrobaserede trusler. Indstillingen Makro fortolker makroer, der findes i Office-dokumenter og PDF-filer, og blokerer skadelige makroer, der kan forsøge at downloade trusler.

Mappeundtagelser (omfatter undermapper)

Mappeundtagelser gør det muligt at definere mapper, som scripts kan køre i og som kan udelukkes. I dette afsnit anmodes der om udelukkelser i et relativt stiformat.

  • Mappestier kan være til et lokalt drev, et tilknyttet netværksdrev eller en UNC-sti (Universal Naming Convention).
  • Udeladelser af scriptmapper skal angive mappens eller undermappens relative sti.
  • Enhver angivet mappesti omfatter også eventuelle undermapper.
  • Udelukkelser med jokertegn skal bruge skråstreger i UNIX-typografien til Windows-computere. Eksempel: /windows/system*/.
  • Det eneste tegn, der kan bruges til wildcards, er *.
  • Mappeundtagelser med et wildcards skal have en skråstreg i slutningen af stien for at muliggøre adskillelse mellem en mappe og en fil.
    • Udelukkelse af mapper: /windows/system32/*/
    • Udelukkelse af filer: /windows/system32/*
  • Der skal tilføjes et wildcard for hvert mappeniveau. F.eks. /folder/*/script.vbs Kampe \folder\test\script.vbs eller \folder\exclude\script.vbs men virker ikke for \folder\test\001\script.vbs. Dette ville kræve enten /folder/*/001/script.vbs eller /folder/*/*/script.vbs.
  • Wildcards understøtter fuld og delvis udelukkelse.
    • Eksempel på fuldt jokertegn: /folder/*/script.vbs
    • Eksempel på delvist jokertegn: /folder/test*/script.vbs
  • Netværksstier understøttes også med wildcards.
    • //*/login/application
    • //abc*/logon/application

Korrekt (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Korrekt (Windows): \Cases\ScriptsAllowed
Ukorrekt: C:\Application\SubFolder\application.vbs
Ukorrekt: \Program Files\Dell\application.vbs

Eksempler på jokertegn:

/users/*/temp vil omfatte:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs vil omfatte:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

Informations supplémentaires

 

Vidéos

 

Produits concernés

Dell Threat Defense
Propriétés de l’article
Numéro d’article: 000124588
Type d’article: How To
Dernière modification: 07 nov. 2024
Version:  13
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.