Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Рекомендації Dell щодо політики захисту від загроз

Résumé: Дізнайтеся про рекомендовані політики та визначення політик для Dell Threat Defense.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Примітка:

Dell Threat Defense використовує політики для:

  • Визначте, як реагувати на загрози
  • Визначте, що робиться з файлами в карантині
  • Налаштування керування сценарієм

Продукти, на які вплинули:

  • Захист від загроз Dell

Натисніть Рекомендовані політики або Визначення політик для отримання додаткової інформації.

Визначення політики захисту від загроз:

Дії з файлом

Автоматичний карантин з контролем виконання для небезпечних

Ця політика визначає, що відбувається з файлами, які виявляються під час їх запуску. За замовчуванням, навіть коли небезпечний файл визначається як запущений, загроза блокується. Небезпечний характеризується сукупним балом для портативного виконуваного файла, який перевищує 60 балів у системі оцінювання Advanced Threat Prevention, яка базується на оцінених індикаторах загроз.

Автоматичний карантин з контролем виконання для ненормальних

Ця політика визначає, що відбувається з файлами, які виявляються під час їх запуску. За замовчуванням, навіть коли аномальний файл визначається як запущений, загроза блокується. Відхилення від норми характеризується сукупним балом для портативного виконуваного файла, який перевищує 0, але не перевищує 60 балів у системі оцінювання Advanced Threat Prevention. Система нарахування балів ґрунтується на показниках загрози, які були оцінені.

Увімкнення автоматичного видалення файлів у карантині

Коли небезпечні або ненормальні файли потрапляють у карантин на основі карантину на рівні пристрою, глобальних списків карантину або політик автоматичного карантину, вони зберігаються в локальному ізольованому карантинному кеші на локальному пристрої. Якщо ввімкнено параметр Увімкнути автоматичне видалення для файлів у карантині, він позначає кількість днів (мінімум 14 днів, максимум 365 днів), протягом яких файл зберігався на локальному пристрої перед остаточним видаленням файлу. Коли це увімкнено, стає можливою можливість змінювати кількість днів.

Автоматичне завантаження

Позначає загрози, які не були помічені середовищем Threat Defense SaaS (Software as a Service) для подальшого аналізу. Коли файл позначається локальною моделлю як потенційна загроза, з портативного виконуваного файлу береться хеш SHA256, який відправляється в SaaS. Якщо надісланий хеш SHA256 не може бути зіставлений із загрозою, і ввімкнено автоматичне завантаження, це дозволяє безпечно завантажити загрозу в SaaS для оцінки. Ці дані надійно зберігаються та недоступні для Dell та її партнерів.

Список надійних полісів

Список безпечних політик – це список файлів, які було визначено як безпечні в середовищі та які було видалено вручну, надіславши їхній хеш SHA256 та будь-яку додаткову інформацію до цього списку. Коли хеш SHA256 розміщується в цьому списку, коли файл запускається, він не оцінюється локальною або хмарною моделлю загроз. Це «абсолютні» шляхи до файлів.

Приклади винятків:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Налаштування захисту

Призупинення небезпечних запущених процесів та їхніх підпроцесів

Коли ввімкнено функцію Kill небезпечно запущених процесів та їхніх підпроцесів , це визначає, чи загроза генерує дочірні процеси, чи програма взяла на себе інші процеси, які наразі виконуються в пам'яті. Якщо є припущення, що процес був захоплений загрозою, основна загроза та будь-які процеси, які вона створила або якими вона наразі володіє, негайно припиняються.

Виявлення фонових загроз

Функція виявлення фонових загроз, коли її ввімкнено, сканує весь пристрій на наявність будь-якого портативного виконуваного файла, а потім оцінює цей виконуваний файл за допомогою локальної моделі загроз і запитує підтвердження для оцінювання виконуваного файлу в хмарному SaaS на основі індикаторів загрози виконуваного файлу. За допомогою функції виявлення фонових загроз можливі два варіанти: Запустіть один раз і виконайте повторювані. Run Once виконує фонове сканування всіх фізичних дисків, які підключені до пристрою в момент встановлення та активації Threat Defense. Функція «Повторюваний запуск » виконує фонове сканування всіх пристроїв, підключених до пристрою, у момент встановлення та активації Threat Protection. Сканування повторюється кожні дев'ять днів (не налаштовується).

Слідкуйте за новими файлами

Коли ввімкнено функцію «Стежити за новими файлами », будь-який портативний виконуваний файл, який представлено на пристрої, негайно оцінюється за показниками загрози, які він відображає за допомогою локальної моделі, і ця оцінка підтверджується порівняно з SaaS, розміщеним у хмарі.

Скопіюйте зразки файлів

Copy File Samples дозволяє автоматично депонувати будь-які загрози, знайдені на пристрої, у визначене сховище на основі шляху UNC. Це рекомендується лише для внутрішнього дослідження загроз або для зберігання безпечного сховища упакованих загроз у середовищі. Усі файли, які зберігаються за допомогою Copy File Samples , архівуються з паролем infected.

Налаштування агента

Увімкніть автоматичне завантаження файлів журналу

Увімкнення автоматичного завантаження файлів журналів дозволяє кінцевим точкам завантажувати свої файли журналів для Dell Threat Defense щоночі опівночі або коли файл досягає 100 МБ. Журнали завантажуються щоночі незалежно від розміру файлу. Усі передані журнали стискаються перед виходом із мережі.

Увімкніть сповіщення на робочому столі

Увімкнення сповіщень на робочому столі дає змогу користувачам пристрою дозволяти запити на своєму пристрої, якщо файл позначено як ненормальний або небезпечний. Ця опція міститься в меню правої кнопки миші піктограми в треї Dell Threat Defense на кінцевих точках з увімкненою цією політикою.

Керування сценарієм

Керування сценарієм

Контроль сценаріїв працює за допомогою рішення на основі фільтра пам'яті, щоб виявляти сценарії, які виконуються на пристрої, і запобігати їм, якщо для цього типу сценаріїв встановлено політику Блок. Налаштування сповіщень у цих політиках вказують лише на сценарії, які були б заблоковані в журналах і на консолі Dell Threat Defense.

1370 і нижче

Ці правила застосовуються до клієнтів до 1370 і які були доступні до червня 2016 року. У цих версіях працюють лише активні сценарії та сценарії на основі PowerShell.

1380 і вище

Ці правила поширюються на клієнтів після 1370, які були доступні після червня 2016 року.

Активний сценарій

Активні сценарії включають будь-який сценарій, який інтерпретується хостом сценаріїв Windows, включаючи JavaScript, VBScript, пакетні файли та багато інших.

Технологія PowerShell

Сценарії PowerShell включають будь-який багаторядковий сценарій, який виконується як одна команда. (Налаштування за замовчуванням - Alert)

Блокувати використання консолі PowerShell – (не відсутнє, коли для PowerShell встановлено значення Alert)

У PowerShell v3 (запроваджено у Windows 8.1) і пізніших версіях більшість сценаріїв PowerShell виконуються як однорядкова команда; Хоча вони можуть містити кілька рядків, вони виконуються по порядку. Це може обійти інтерпретатор скриптів PowerShell. Консоль Block PowerShell вирішує цю проблему, відключаючи можливість запуску будь-якої програми на консолі PowerShell. Ця політика не впливає на інтегроване середовище сценаріїв (ISE).

Макроси

Настройка макросу інтерпретує макроси, наявні в документах Office і PDF-файлах, і блокує шкідливі макроси, які можуть намагатися завантажити загрози.

Вимкніть керування сценарієм

Ці політики повністю вимикають можливість навіть сповіщати про тип скрипту, визначений у кожній політиці. Якщо цей параметр вимкнено, журнали не збираються, а спроби виявити або заблокувати потенційні загрози не виконуються.

Активний сценарій

Якщо цей параметр увімкнено, запобігає збиранню журналів і блокує будь-які потенційні загрози на основі активного сценарію. Активні сценарії включають будь-який сценарій, який інтерпретується хостом сценаріїв Windows, включаючи JavaScript, VBScript, пакетні файли та багато інших.

Технологія PowerShell

Якщо цей параметр увімкнено, запобігає збиранню журналів і блокує будь-які потенційні загрози на основі PowerShell. Сценарії PowerShell включають будь-який багаторядковий сценарій, який виконується як одна команда.

Макроси

Якщо цей параметр увімкнено, запобігає збиранню журналів і блокує будь-які потенційні загрози на основі макросів. Настройка макросу інтерпретує макроси, наявні в документах Office і PDF-файлах, і блокує шкідливі макроси, які можуть намагатися завантажити загрози.

Виключення папок (включно з вкладеними папками)

За допомогою параметра «Виключення папок» можна визначати папки, в яких можуть виконуватися сценарії та які можна виключити. Цей розділ просить про виключення у форматі відносного шляху.

  • Шляхи до папок можуть бути до локального диска, зіставленого мережевого диска або шляху до універсальної угоди іменування (UNC).
  • У виключеннях папок сценаріїв має бути вказано відносний шлях до папки або підпапки.
  • Будь-який вказаний шлях до папки також включає будь-які вкладені папки.
  • Для виключень із символів узагальнення для комп'ютерів із Windows потрібно використовувати прямі похилі риски в стилі UNIX. Приклад: /windows/system*/.
  • Єдиний символ, який підтримується для символів узагальнення, це *.
  • Виключення папок із символом узагальнення повинні мати скісну риску в кінці шляху, щоб розрізняти папку та файл.
    • Виключення папки: /windows/system32/*/
    • Виключення файлу: /windows/system32/*
  • Для кожного рівня глибини папки потрібно додавати символ узагальнення. Наприклад /folder/*/script.vbs Матчі \folder\test\script.vbs або \folder\exclude\script.vbs але не працює на \folder\test\001\script.vbs. Для цього потрібно або /folder/*/001/script.vbs або /folder/*/*/script.vbs.
  • Символи узагальнення підтримують повні та часткові виключення.
    • Приклад повного символу узагальнення: /folder/*/script.vbs
    • Приклад часткового узагальнення: /folder/test*/script.vbs
  • Мережеві шляхи також підтримуються з символами узагальнення.
    • //*/login/application
    • //abc*/logon/application

Правильно (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Правильна (Windows): \Cases\ScriptsAllowed
Неправильне: C:\Application\SubFolder\application.vbs
Неправильне: \Program Files\Dell\application.vbs

Приклади символів узагальнення:

/users/*/temp охопить:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs охопить:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Щоб зв'язатися зі службою підтримки, зверніться до номерів телефонів міжнародної підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову статистику та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.

Informations supplémentaires

 

Produits concernés

Dell Threat Defense
Propriétés de l’article
Numéro d’article: 000124588
Type d’article: How To
Dernière modification: 07 nov. 2024
Version:  13
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.