Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Principrekommendationer för Dell Threat Defense

Résumé: Läs mer om rekommenderade policyer och policydefinitioner för Dell Threat Defense.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Obs!

Dell Threat Defense använder principer för att:

  • Definiera hur hot ska åtgärdas
  • Ta reda på vad som görs med filer i karantän
  • Konfigurera skriptkontroll

Berörda produkter:

  • Dell Threat Defense

Klicka på Rekommenderade principer eller Principdefinitioner om du vill ha mer information.

Principdefinitioner för Threat Defense:

Filåtgärder

Automatisk karantän med körningskontroll för osäkra

Den här principen avgör vad som händer med filer som identifieras när de körs. Som standard blockeras hotet även när en osäker fil identifieras som körs. Osäker kännetecknas av en kumulativ poäng för den portabla körbara filen som överskrider 60 i bedömningssystemet för Advanced Threat Prevention som baseras på hotindikatorer som har utvärderats.

Automatisk karantän med körningskontroll för onormala

Den här principen avgör vad som händer med filer som identifieras när de körs. Som standard blockeras hotet även när en onormal fil identifieras som körs. Onormal kännetecknas av en kumulativ poäng för den portabla körbara filen som överskrider 0 men inte överstiger 60 i bedömningssystemet för Advanced Threat Prevention. Poängsystemet baserar sig på hotindikatorer som har utvärderats.

Aktivera automatisk borttagning av filer i karantän

När osäkra eller onormala filer sätts i karantän baserat på karantäner på enhetsnivå, globala karantänlistor eller av principer för automatisk karantän lagras de i en lokal karantäncache i begränsat läge på den lokala enheten. När Aktivera automatisk borttagning för filer i karantän är aktiverat anger det antalet dagar (minst 14 dagar, högst 365 dagar) för att behålla filen på den lokala enheten innan filen tas bort permanent. När detta är aktiverat blir det möjligt att ändra antalet dagar.

Automatisk överföring

Markerar hot som inte har setts av Threat Defense SaaS-miljön (Software as a Service) för vidare analys. När en fil markeras som ett potentiellt hot av den lokala modellen tas en SHA256-hash från den portabla körbara filen och skickas upp till SaaS. Om den SHA256-hash som skickades inte kan matchas till ett hot och Automatisk överföring är aktiverat möjliggörs säker överföring av hotet till SaaS för utvärdering. Dessa data lagras på ett säkert sätt och kan inte kommas åt av Dell eller dess partners.

Principlista för säkra

Principlistan för säkra är en lista över filer som har identifierats som säkra i miljön och som har godkänts manuellt genom att deras SHA256-hash samt eventuell ytterligare information skickats till den här listan. När en SHA256-hash placeras i den här listan, när filen körs, utvärderas den inte av de lokala hotmodellerna eller molnhotmodellerna. Dessa är "absoluta" filsökvägar.

Exempel på undantag:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Skyddsinställningar

Avsluta osäkra processer som körs och deras underprocesser

När Kill unsafe running processes and their sub processes är aktiverat avgör detta om ett hot genererar underordnade processer eller om programmet har tagit över andra processer som för närvarande körs i minnet. Om det finns en tro på att en process har tagits över av ett hot avslutas det primära hotet och alla processer som det har genererat eller för närvarande äger omedelbart.

Bakgrundsidentifiering av hot

Hotidentifiering i bakgrunden, när den är aktiverad, söker igenom hela enheten efter en portabel körbar fil och utvärderar sedan den körbara filen med den lokala hotmodellen och begär bekräftelse för bedömningen av den körbara filen med molnbaserad SaaS baserat på hotindikatorerna för den körbara filen. Två alternativ är möjliga med Background Threat Detection: Kör en gång och kör återkommande. Run Once utför en bakgrundsgenomsökning av alla fysiska enheter som är anslutna till enheten samtidigt som Threat Defense installeras och aktiveras. Kör återkommande utför en bakgrundsgenomsökning av alla enheter som är anslutna till enheten i samma ögonblick som Threat Defense installeras och aktiveras. Genomsökningen upprepas var nionde dag (kan inte konfigureras).

Håll utkik efter nya filer

När Leta efter nya filer är aktiverat utvärderas alla portabla körbara filer som introduceras för enheten omedelbart med hotindikatorerna som visas med hjälp av den lokala modellen, och den här poängen bekräftas mot den molnbaserade SaaS.

Kopiera filexempel

Kopiera filexempel gör att alla hot som hittas på enheten automatiskt kan deponeras på en definierad lagringsplats baserat på UNC-sökväg. Detta rekommenderas endast för intern hotforskning eller för att förvara en säker lagringsplats med bevarade hot i miljön. Alla filer som lagras av Kopiera filexempel zippas med ett lösenord på infected.

Agentinställningar

Aktivera automatisk överföring av loggfiler

Aktivera automatisk överföring av loggfiler gör att slutpunkter kan ladda upp sina loggfiler för Dell Threat Defense varje natt vid midnatt eller när filen når 100 MB. Loggar laddas upp varje natt oavsett filstorlek. Alla loggar som överförs komprimeras innan de lämnar nätverket.

Aktivera skrivbordsvarning

Aktivera skrivbordsaviseringar gör det möjligt för enhetsanvändare att tillåta uppmaningar på sin enhet om en fil är markerad som onormal eller osäker. Det här är ett alternativ i högerklicksmenyn för Dell Threat Defense-ikonen på slutpunkter med den här principen aktiverad.

Skriptkontroll

Skriptkontroll

Skriptkontroll fungerar via en minnesfilterbaserad lösning för att identifiera skript som körs på enheten och förhindra dem om principen är inställd på Blockera för den skripttypen. Varningsinställningarna för dessa policyer avser endast skript som skulle ha blockerats i loggar och i Dell Threat Defense-konsolen.

1370 och tidigare

Dessa policyer gäller för kunder före 1370, som var tillgängliga före juni 2016. Endast aktiva skript och PowerShell-baserade skript åtgärdas med dessa versioner.

1380 och senare

Dessa principer gäller för klienter efter 1370, som var tillgängliga efter juni 2016.

Aktivt skript

Aktiva skript omfattar alla skript som tolkas av Windows Script Host, inklusive JavaScript, VBScript, batchfiler och många andra.

PowerShell

PowerShell-skript innehåller alla flerradsskript som körs som ett enda kommando. (Standardinställning – varning)

Blockera PowerShell-konsolanvändning – (finns inte när PowerShell är inställt på Avisering)

I PowerShell v3 (introducerades i Windows 8.1) och senare körs de flesta PowerShell-skript som ett enradskommando. Även om de kan innehålla flera rader körs de i ordning. Detta kan kringgå PowerShell-skripttolken. Blockera PowerShell-konsolen kringgår detta genom att inaktivera möjligheten att låta ett program starta PowerShell-konsolen. Integrated Scripting Environment (ISE) påverkas inte av den här principen.

Makron

Makroinställningen tolkar makron som finns i Office-dokument och PDF-filer och blockerar skadliga makron som kan försöka ladda ned hot.

Avaktivera skriptkontroll

Dessa principer avaktiverar helt möjligheten att ens varna om den skripttyp som definieras i varje princip. När funktionen är avaktiverad samlas ingen loggning in, och det utförs inga försök att upptäcka eller blockera potentiella hot.

Aktivt skript

När det här alternativet är markerat förhindras insamling av loggar och eventuella Active Script-baserade hot blockeras. Aktiva skript omfattar alla skript som tolkas av Windows Script Host, inklusive JavaScript, VBScript, batchfiler och många andra.

PowerShell

När det här alternativet är markerat förhindras insamling av loggar och eventuella PowerShell-baserade hot blockeras. PowerShell-skript innehåller alla flerradsskript som körs som ett enda kommando.

Makron

När det här alternativet är markerat förhindras insamling av loggar och eventuella makrobaserade hot blockeras. Makroinställningen tolkar makron som finns i Office-dokument och PDF-filer och blockerar skadliga makron som kan försöka ladda ned hot.

Mappundantag (inklusive undermappar)

Mappundantag gör det möjligt att definiera vilka mappar som skript kan köras i som kan uteslutas. I det här avsnittet uppmanas undantag i ett relativt sökvägsformat.

  • Mappsökvägar kan vara till en lokal enhet, en mappad nätverksenhet eller en UNC-sökväg (Universal Naming Convention).
  • Undantag för skriptmappar måste ange den relativa sökvägen till mappen eller undermappen.
  • En angiven mappsökväg omfattar även undermappar.
  • Undantag med jokertecken måste använda snedstreck i UNIX-format för Windows-datorer. Exempel: /windows/system*/.
  • Det enda tecken som stöds för jokertecken är *.
  • Mappundantag med jokertecken måste ha ett snedstreck i slutet av sökvägen för att särskilja en mapp och en fil.
    • Mappundantag: /windows/system32/*/
    • Uteslutning av filer: /windows/system32/*
  • Ett jokertecken måste läggas till för varje mappdjupsnivå. Till exempel /folder/*/script.vbs tändstickor \folder\test\script.vbs eller \folder\exclude\script.vbs men fungerar inte för \folder\test\001\script.vbs. Detta skulle kräva antingen /folder/*/001/script.vbs eller /folder/*/*/script.vbs.
  • Jokertecken har stöd för fullständiga och partiella undantag.
    • Exempel på fullständigt jokertecken: /folder/*/script.vbs
    • Exempel på partiella jokertecken: /folder/test*/script.vbs
  • Nätverkssökvägar stöds även med jokertecken.
    • //*/login/application
    • //abc*/logon/application

Rätt (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Rätt (Windows): \Cases\ScriptsAllowed
Felaktig: C:\Application\SubFolder\application.vbs
Felaktig: \Program Files\Dell\application.vbs

Exempel på jokertecken:

/users/*/temp skulle omfatta följande:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs skulle omfatta följande:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Informations supplémentaires

 

Vidéos

 

Produits concernés

Dell Threat Defense
Propriétés de l’article
Numéro d’article: 000124588
Type d’article: How To
Dernière modification: 07 Nov 2024
Version:  13
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.