Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Raccomandazioni per le policy di Dell Threat Defense

Résumé: Ulteriori informazioni sulle policy consigliate e le definizioni di policy per Dell Threat Defense.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Nota:

Dell Threat Defense utilizza le policy per:

  • Definire le modalità di gestione delle minacce
  • Stabilire le operazioni da eseguire sui file in quarantena
  • Configurare il controllo mediante script

Prodotti interessati:

  • Dell Threat Defense

Per ulteriori informazioni, cliccare su Recommended Policies o Policy Definitions.

Definizioni delle policy di Threat Defense:

Azioni file

Quarantena automatica con controllo delle esecuzioni per file non sicuri

Questo criterio determina cosa accade ai file rilevati durante l'esecuzione. Per impostazione predefinita la minaccia viene bloccata anche se un file non sicuro è rilevato come in esecuzione. Unsafe è caratterizzato da un punteggio cumulativo per l'eseguibile portatile superiore a 60 all'interno del sistema di punteggio di Advanced Threat Prevention basato su indicatori di minaccia valutati.

Quarantena automatica con controllo delle esecuzioni per file anomali

Questo criterio determina cosa accade ai file rilevati durante l'esecuzione. Per impostazione predefinita la minaccia viene bloccata anche se un file anomalo è rilevato come in esecuzione. Anomalo è caratterizzato da un punteggio cumulativo per l'eseguibile portatile superiore a 0 ma non superiore a 60 all'interno del sistema di punteggio di Advanced Threat Prevention. Il sistema di punteggio si basa su indicatori di minaccia che sono stati valutati.

Abilita eliminazione automatica per i file in quarantena

Quando i file non sicuri o anomali vengono messi in quarantena in base alle quarantene a livello di dispositivo, agli elenchi di quarantena globale o alle policy di quarantena automatica, vengono conservati all'interno di una cache di quarantena locale in modalità sandbox sul dispositivo locale. Quando l'opzione Enable auto-delete for quarantined files è abilitata, indica il numero di giorni (minimo 14 giorni, massimo 365 giorni) per conservare il file sul dispositivo locale prima di eliminarlo definitivamente. Quando questa opzione è abilitata, è possibile modificare il numero di giorni.

Caricamento automatico

Contrassegna per ulteriori analisi le minacce che non sono state rilevate dall'ambiente SaaS (Software-as-a-Service) Threat Defense. Quando un file viene contrassegnato come potenziale minaccia dal modello locale, un hash SHA256 dell'eseguibile portatile viene estratto e inviato a SaaS. Se l'hash SHA256 inviato non può essere abbinato a una minaccia e se il caricamento automatico è abilitato, è possibile effettuare un caricamento sicuro della minaccia in SaaS per la valutazione. Questi dati vengono archiviati in modo sicuro e non sono accessibili da Dell o dai suoi partner.

Elenco file sicuri

Elenco file sicuri è un elenco dei file di cui è stata determinata la sicurezza all'interno dell'ambiente e che sono stati ignorati manualmente inviando il loro hash SHA256 ed eventuali informazioni aggiuntive in questo elenco. Se un hash SHA256 viene inserito all'interno di questo elenco, durante l'esecuzione del file non viene valutato dai modelli di minaccia locale o cloud. Si tratta di percorsi file "assoluti".

Esclusioni di esempio:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Protection Settings

Termina i processi non sicuri in esecuzione e i relativi sottoprocessi

Quando l'opzione Kill unsafe running processes and their sub processes è abilitata, determina se una minaccia sta generando processi figlio o se l'applicazione ha assunto il controllo di altri processi attualmente in esecuzione all'interno della memoria. Se si ritiene che un processo sia stato preso in consegna da una minaccia, la minaccia primaria e tutti i processi che ha generato o attualmente possiede vengono immediatamente terminati.

Background Threat Detection

Il rilevamento delle minacce in background, se abilitato, esegue la scansione dell'intero dispositivo alla ricerca di eventuali eseguibili portatili, quindi valuta l'eseguibile con il modello di minaccia locale e richiede conferma per il punteggio dell'eseguibile con SaaS basato su cloud in base agli indicatori di minaccia dell'eseguibile. Con Background Threat Detection sono disponibili due opzioni: Esegui una volta ed esegui ricorrente. Una volta esegue una scansione in background di tutte le unità fisiche collegate al dispositivo nel momento in cui Threat Defense viene installato e attivato. Run Recurring esegue una scansione in background di tutti i dispositivi connessi al dispositivo nel momento in cui Threat Defense viene installato e attivato. Ripete la scansione ogni nove giorni (non configurabile).

Controlla nuovi file

Quando l'opzione Watch for New Files è abilitata, qualsiasi eseguibile portatile introdotto nel dispositivo viene immediatamente valutato con gli indicatori di minaccia visualizzati utilizzando il modello locale e questo punteggio viene confermato rispetto al SaaS ospitato nel cloud.

Copia file campione

Copia campioni di file consente di depositare automaticamente qualsiasi minaccia rilevata sul dispositivo in un repository definito in base al percorso UNC. Questa scelta è consigliata solo per la ricerca interna sulle minacce o per conservare un repository sicuro di minacce in pacchetti all'interno dell'ambiente. Tutti i file archiviati da Copia campioni di file vengono compressi con una password di infected.

Impostazioni agent

Abilita caricamento automatico dei file di registro

L'opzione Abilita caricamento automatico dei file di registro consente agli endpoint di eseguire l'upload dei relativi file di registro per Dell Threat Defense ogni notte a mezzanotte o quando il file raggiunge i 100 MB. I registri vengono sottoposti ad upload ogni notte indipendentemente dalla dimensione del file. Tutti i registri trasferiti vengono compressi prima dell'uscita dalla rete.

Abilita notifica desktop

L'opzione Enable Desktop Notification consente agli utenti del dispositivo di consentire all'utente del dispositivo di visualizzare un prompt sul proprio dispositivo se un file è contrassegnato come anomalo o non sicuro. Questa opzione è presente nel menu di scelta rapida dell'icona Dell Threat Defense nell'area di notifica sugli endpoint in cui è abilitata questa policy.

Controllo mediante script

Controllo mediante script

Script Control funziona attraverso una soluzione basata su filtri di memoria per identificare gli script in esecuzione sul dispositivo e impedirne la prevenzione se la policy è impostata su Block per quel tipo di script. Le impostazioni di avviso in queste policy segnalano gli script bloccati solo all'interno dei registri e nella console di Dell Threat Defense.

1370 e inferiori

Queste policy riguardano i client precedenti alla versione 1370, disponibili prima di giugno 2016. In queste versioni le azioni vengono eseguite solo sugli script attivi e sugli script basati su PowerShell.

1380 e superiori

Queste policy riguardano i client successivi alla versione 1370, disponibili dopo giugno 2016.

Script attivo

Gli script attivi includono tutti gli script interpretati da Windows Scripting Host, tra cui JavaScript, VBScript, file batch e molti altri ancora.

PowerShell

Gli script PowerShell includono tutti gli script di più righe eseguiti come un comando singolo (impostazione predefinita - Alert).

Block PowerShell Console Usage - Non presente quando PowerShell è impostato su Alert.

In PowerShell v3 (introdotto in Windows 8.1) e versioni successive, la maggior parte degli script PowerShell viene eseguita come comando a riga singola; qualora contengano più righe, vengono eseguiti in ordine. In questo modo è possibile bypassare l'interprete di script di PowerShell. Block PowerShell console risolve questo problema impedendo a qualsiasi applicazione di avviare la console PowerShell. L'ambiente di scripting integrato (ISE, Integrated Scripting Environment) non è influenzato da questa policy.

Macro

L'impostazione Macro interpreta le macro presenti all'interno di documenti Office e PDF e blocca le macro malevole che potrebbero tentare di scaricare minacce.

Disabilita controllo mediante script

Queste policy disabilitano completamente la possibilità di inviare avvisi per il tipo di script definito all'interno di ciascuna policy. Se l'opzione è disabilitata, non viene effettuata alcuna registrazione e non vengono effettuati tentativi di rilevare o bloccare le potenziali minacce.

Script attivo

Se questa opzione è selezionata, impedisce la raccolta di registri e blocca eventuali minacce basate su Active Script. Gli script attivi includono tutti gli script interpretati da Windows Scripting Host, tra cui JavaScript, VBScript, file batch e molti altri ancora.

PowerShell

Se questa opzione è selezionata, impedisce la raccolta di registri e blocca qualsiasi potenziale minaccia basata su PowerShell. Gli script PowerShell includono tutti gli script di più righe eseguiti come un comando singolo

Macro

Se questa opzione è selezionata, impedisce la raccolta di registri e blocca eventuali minacce basate su macro. L'impostazione Macro interpreta le macro presenti all'interno di documenti Office e PDF e blocca le macro malevole che potrebbero tentare di scaricare minacce.

Esclusioni cartelle (include le sottocartelle)

Esclusioni cartelle consente di definire le cartelle in cui possono essere eseguiti gli script e che possono quindi essere escluse. Questa sezione richiede di specificare le esclusioni in un formato con percorso relativo.

  • I percorsi delle cartelle possono essere quelli di un'unità locale, un'unità di rete mappata o un percorso UNC (Universal Naming Convention).
  • Le esclusioni delle cartelle di script devono specificare il percorso relativo della cartella o della sottocartella.
  • Qualsiasi percorso di cartella specificato include anche le eventuali sottocartelle.
  • Per le esclusioni con caratteri jolly, è necessario utilizzare le barre in avanti in stile UNIX nei computer Windows. Esempio: /windows/system*/.
  • L'unico carattere jolly supportato è *.
  • Per le esclusioni delle cartelle con un carattere jolly. è necessario utilizzare una barra alla fine del percorso per fare distinzione tra una cartella e un file.
    • Esclusione cartella: /windows/system32/*/
    • Esclusione file: /windows/system32/*
  • È necessario aggiungere un carattere jolly per ogni livello di profondità di cartella. Esempio: /folder/*/script.vbs Corrisponde \folder\test\script.vbs oppure \folder\exclude\script.vbs ma non funziona per \folder\test\001\script.vbs. A tal fine è necessario /folder/*/001/script.vbs oppure /folder/*/*/script.vbs.
  • I caratteri jolly supportano esclusioni complete e parziali.
    • Esempio di carattere jolly completo: /folder/*/script.vbs
    • Esempio di carattere jolly parziale: /folder/test*/script.vbs
  • Sono supportati anche i percorsi di rete con caratteri jolly.
    • //*/login/application
    • //abc*/logon/application

Corretto (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Corretto (Windows): \Cases\ScriptsAllowed
Errato: C:\Application\SubFolder\application.vbs
Errato: \Program Files\Dell\application.vbs

Esempi con carattere jolly:

/users/*/temp riguarderebbe:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs riguarderebbe:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Informations supplémentaires

 

Vidéos

 

Produits concernés

Dell Threat Defense
Propriétés de l’article
Numéro d’article: 000124588
Type d’article: How To
Dernière modification: 07 Nov 2024
Version:  13
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.