Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Recommandations relatives aux stratégies de Dell Threat Defense

Résumé: Découvrez les stratégies recommandées et les définitions de politiques pour Dell Threat Defense.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Remarque :

Dell Threat Defense utilise des stratégies pour :

  • définir la manière dont les menaces sont traitées ;
  • déterminer les opérations effectuées sur les fichiers mis en quarantaine ;
  • configurer le contrôle des scripts.

Produits concernés :

  • Dell Threat Defense

Cliquez sur Règles recommandées ou Définitions de stratégies pour plus d’informations.

Définitions de stratégies Threat Defense :

Actions de fichier

Mise en quarantaine automatique avec contrôle d’exécution des fichiers dangereux

Cette règle détermine ce qu’il advient des fichiers détectés lors de leur exécution. Par défaut, même lorsqu’un fichier dangereux est détecté comme étant en cours d’exécution, la menace est bloquée. Non sécurisé se caractérise par un score cumulé pour l’exécutable portable supérieur à 60 dans le système de notation d’Advanced Threat Prevention, basé sur des indicateurs de menace évalués.

Mise en quarantaine automatique avec contrôle d’exécution des fichiers anormaux

Cette règle détermine ce qu’il advient des fichiers détectés lors de leur exécution. Par défaut, même lorsqu’un fichier anormal est détecté comme étant en cours d’exécution, la menace est bloquée. « Anormal » se caractérise par un score cumulé pour l’exécutable portable qui est supérieur à 0, mais ne dépasse pas 60 dans le système de notation d’Advanced Threat Prevention. Le système de notation est basé sur des indicateurs de menace qui ont été évalués.

Activer la suppression automatique pour les fichiers mis en quarantaine

Lorsque les fichiers dangereux ou anormaux sont mis en quarantaine au niveau de l’appareil, des listes de quarantaine globales ou des stratégies de mise en quarantaine automatique, ils sont conservés dans un cache de quarantaine en sandbox local sur l’appareil local. Lorsque l’option Activer la suppression automatique des fichiers mis en quarantaine est activée, elle indique le nombre de jours (minimum de 14 jours, maximum de 365 jours) pendant lesquels conserver le fichier sur l’appareil local avant de le supprimer définitivement. Lorsque cette option est activée, il est possible de modifier le nombre de jours.

Téléchargement automatique

Marque les menaces qui n’ont pas été détectées par l’environnement de logiciel en tant que service de Threat Defense pour une analyse plus approfondie. Lorsqu’un fichier est marqué comme menace potentielle par le modèle local, un hachage SHA256 est capturé du fichier exécutable portable, et est envoyé au logiciel en tant que service. Si le hachage SHA256 qui a été envoyé ne peut pas être mis en correspondance avec une menace, et si le téléchargement automatique est activé, cela permet un téléchargement sécurisé de la menace pour l’évaluation. Ces données sont stockées de manière sécurisée et ne sont pas accessibles par Dell ou ses partenaires.

Liste de sécurité de la stratégie

La liste de sécurité des stratégies est une liste de fichiers qui ont été jugés sûrs dans l’environnement et qui ont été exonérés manuellement en soumettant leur hachage SHA256 et toutes les informations supplémentaires. Lorsqu’un hachage SHA256 est placé dans cette liste, lorsque le fichier est exécuté, il n’est pas évalué par les modèles de menace locale ou Cloud. Il s’agit de chemins de fichiers « absolus ».

Exemples d’exclusions :
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Paramètres de protection

Arrêter les processus dangereux en cours d’exécution et leurs sous-processus

Lorsque l’option Supprimer les processus dangereux en cours d’exécution et leurs sous-processus est activée, cela détermine si une menace génère des processus enfants ou si l’application a pris le contrôle d’autres processus qui s’exécutent actuellement dans la mémoire. Si l’on pense qu’un processus a été pris en charge par une menace, la menace principale et tous les processus qu’elle a générés ou qu’elle possède actuellement sont immédiatement arrêtés.

Détection des menaces en arrière-plan

Lorsqu’elle est activée, la détection des menaces en arrière-plan analyse l’ensemble de l’appareil à la recherche de tout fichier exécutable portable, puis évalue cet exécutable à l’aide du modèle de menace local et demande la confirmation de l’évaluation de l’exécutable avec le SaaS basé sur le cloud en fonction des indicateurs de menace de l’exécutable. Deux options sont possibles avec la détection des menaces en arrière-plan : Run Once et Run Recurring. Run Once effectue une analyse en arrière-plan de tous les disques physiques connectés à l’appareil au moment où Threat Defense est installé et activé. L’option Run Recurring effectue une analyse en arrière-plan de tous les appareils connectés à l’appareil dès que Threat Defense est installé et activé. Il répète l’analyse tous les neuf jours (non configurable).

Rechercher les nouveaux fichiers

Lorsque l’option Rechercher les nouveaux fichiers est activée, tout fichier exécutable portable introduit sur l’appareil est immédiatement évalué avec les indicateurs de menace qu’il affiche à l’aide du modèle local, et ce score est confirmé par rapport au SaaS hébergé dans le Cloud.

Copier les exemples de fichiers

La copie d’échantillons de fichiers permet de placer automatiquement toutes les menaces détectées sur l’appareil dans un référentiel défini en fonction du chemin UNC. Cela est recommandé uniquement pour la recherche de menaces internes ou pour conserver un référentiel sécurisé des menaces réunies au sein de l’environnement. Tous les fichiers stockés par Copy File Samples sont compressés avec un mot de passe de infected.

Paramètres de l’agent

Activer le téléchargement automatique des journaux

L’option Activer le chargement automatique des fichiers journaux permet aux points de terminaison de télécharger leurs fichiers journaux pour Dell Threat Defense tous les soirs à minuit ou lorsque le fichier atteint 100 Mo. Les journaux sont téléchargés la nuit, quelle que soit la taille du fichier. Tous les journaux transférés sont compressés avant de sortir du réseau.

Activer les notifications de bureau

L’option Activer les notifications de bureau permet aux utilisateurs d’autoriser les invites sur leur appareil si un fichier est marqué comme anormal ou dangereux. Cette option est disponible dans le menu contextuel de l’icône de la barre d’état système Dell Threat Defense sur les points de terminaison pour lesquels cette stratégie est activée.

Contrôle des scripts

Contrôle des scripts

Le contrôle des scripts fonctionne via une solution basée sur un filtre de mémoire pour identifier les scripts en cours d’exécution sur le périphérique et les empêcher si la stratégie est définie sur Bloquer pour ce type de script. Les paramètres d’alerte de ces stratégies ne notent que les scripts qui auraient été bloqués dans les journaux et sur la console Dell Threat Defense.

Version 1370 et versions antérieures

Ces stratégies s’appliquent aux clients antérieurs à la version 1370, qui étaient disponibles avant juin 2016. Seuls les scripts basés sur Active Script et sur PowerShell sont traités avec ces versions.

Version 1380 et versions supérieures

Ces stratégies’appliquent aux clients de versions ultérieures à la version 1370, disponibles après juin 2016.

Active Script

Les scripts Active Script comprennent tous ceux qui sont interprétés par l’hôte de script Windows, notamment JavaScript, VBScript, les fichiers batch et bien d’autres.

PowerShell

Les scripts PowerShell comprennent n’importe quel script multiligne exécuté en tant que commande unique. (Paramètre par défaut - Alert)

Block PowerShell Console Usage – (non présent lorsque PowerShell est défini sur Alert)

Dans PowerShell v3 (introduit dans Windows 8.1) et versions supérieures, la plupart des scripts PowerShell sont exécutés sous forme de commande à une seule ligne. Bien qu’ils puissent contenir plusieurs lignes, ils sont exécutés dans l’ordre. Cela peut contourner l’interpréteur de script PowerShell. Bloquer la console PowerShell permet de contourner ce problème en désactivant la possibilité de lancer une application à partir de la console PowerShell. L’environnement de script intégré (ISE) n’est pas affecté par cette stratégie.

Macros

Le paramètre Macro interprète les macros qui sont présentes dans les documents Office et les fichiers PDF et bloque les macros malveillantes susceptibles de tenter de télécharger des menaces.

Désactiver le contrôle des scripts

Ces stratégies désactivent entièrement la capacité à alerter sur le type de script défini au sein de chaque stratégie. Lorsque cette option est désactivée, aucune consignation n’est collectée et aucune tentative de détection ou de blocage des menaces potentielles n’est effectuée.

Active Script

Lorsque cette option est cochée, elle empêche la collecte des journaux et bloque les menaces potentielles basées sur Active Script. Les scripts Active Script comprennent tous ceux qui sont interprétés par l’hôte de script Windows, notamment JavaScript, VBScript, les fichiers batch et bien d’autres.

PowerShell

Lorsque cette option est cochée, elle empêche la collecte des journaux et bloque les menaces potentielles basées sur PowerShell. Les scripts PowerShell comprennent n’importe quel script multiligne exécuté en tant que commande unique.

Macros

Lorsque cette option est cochée, elle empêche la collecte de journaux et bloque les menaces potentielles basées sur les macros. Le paramètre Macro interprète les macros qui sont présentes dans les documents Office et les fichiers PDF et bloque les macros malveillantes susceptibles de tenter de télécharger des menaces.

Exclusions de dossiers (y compris les sous-dossiers)

Les exclusions de dossiers permettent de définir les dossiers exclus dans lesquels des scripts peuvent être exécutés. Cette section demande les exclusions dans un format de chemin relatif.

  • Les chemins de dossiers peuvent mener à un lecteur local, un lecteur réseau mappé ou un chemin de convention de dénomination universelle (UNC).
  • Les exclusions de dossier de scripts doivent spécifier le chemin relatif du dossier ou du sous-dossier.
  • N’importe quel chemin de dossier spécifié inclut également tous les sous-dossiers.
  • Les exclusions de caractères génériques doivent utiliser la barre oblique de style Unix pour les ordinateurs Windows. Exemple : /windows/system*/.
  • Le seul caractère pris en charge pour les caractères génériques est *.
  • Les exclusions de dossiers avec un caractère générique doivent contenir une barre oblique à la fin du chemin d’accès afin de différencier les dossiers des fichiers.
    • Exclusion de dossier : /windows/system32/*/
    • Exclusions de fichiers : /windows/system32/*
  • Un caractère générique doit être ajouté pour chaque niveau de dossier. Par exemple : /folder/*/script.vbs allumettes \folder\test\script.vbs ou \folder\exclude\script.vbs mais ne fonctionne pas pour \folder\test\001\script.vbs. Pour ce faire, il faudrait soit /folder/*/001/script.vbs ou /folder/*/*/script.vbs.
  • Les caractères génériques prennent en charge les exclusions complètes et partielles.
    • Exemple de caractère générique complet : /folder/*/script.vbs
    • Exemple de caractère générique partiel : /folder/test*/script.vbs
  • Les chemins d’accès réseau avec des caractères génériques sont également pris en charge.
    • //*/login/application
    • //abc*/logon/application

Correct (Mac) : /Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows) : \Cases\ScriptsAllowed
Incorrect : C:\Application\SubFolder\application.vbs
Incorrect : \Program Files\Dell\application.vbs

Exemples de caractères génériques :

/users/*/temp couvrirait :

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs couvrirait :

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Informations supplémentaires

 

Vidéos

 

Produits concernés

Dell Threat Defense
Propriétés de l’article
Numéro d’article: 000124588
Type d’article: How To
Dernière modification: 07 nov. 2024
Version:  13
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.