Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Dell Threat Defense 原則建議

Résumé: 瞭解 Dell Threat Defense 的建議原則和原則定義。

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

注意:

Dell Threat Defense 使用原則以:

  • 定義解決威脅的方式
  • 判斷隔離檔案的處理方式
  • 設定指令檔控制

受影響的產品:

  • Dell Threat Defense

如需詳細資訊,請按一下 建議的原則原則定義

Threat Defense 原則定義:

檔案動作

針對不安全的執行控制進行自動隔離

此原則可決定在執行到偵測的檔案時該進行什麼動作。依預設,即使偵測到不安全的檔案正在執行,亦會封鎖威脅。在 Advanced Threat Prevention 的評分系統中,會根據威脅指示器進行評估,若可攜式可執行檔的累計分數超過 60,便代表不安全。

針對異常的執行控制進行自動隔離

此原則可決定在執行到偵測的檔案時該進行什麼動作。依預設,即使偵測到異常的檔案正在執行,亦會封鎖威脅。在 Advanced Threat Prevention 的評分系統中,可攜式可執行檔的累計分數會超過 0 但未超過 60,代表為異常。評分系統以經過評估的威脅指示器為依據。

啟用隔離檔案自動刪除

根據裝置層級隔離、全域隔離清單,或自動隔離原則隔離不安全或異常的檔案時,檔案會存放在本機裝置的本機沙箱隔離快取內。啟用自動刪除隔離檔案時,會表示將檔案在永久刪除檔案前保留在本機裝置上的天數 (最短 14 天,最長 365 天)。啟用此功能後,便可修改天數。

自動上傳

標記未出現在 Threat Defense SaaS (軟體即服務) 環境中的威脅,以供進一步分析。當本機模型將檔案標示為潛在威脅時,會擷取可攜式可執行檔的 SHA256 雜湊,並將其傳送至 SaaS。如果傳送的 SHA256 雜湊與威脅不相符,且已啟用自動上傳,則可將威脅安全上傳至 SaaS,以進行評估。此資料採用安全儲存,Dell 或其合作夥伴無法存取這些資料。

原則安全清單

原則安全清單是一份判定為環境中的安全檔案清單,並已將其 SHA256 雜湊和所有其他資訊提交至此清單,以手動放棄。當 SHA256 雜湊列於此清單中,在檔案執行時,本機或雲端威脅模型將不會針對其進行評估。這些是「絕對」檔案路徑。

排除範例:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

保護設定

終止不安全的執行程序及其副程序

啟用 終止不安全的執行程序及其副程序 時,這會判斷威脅是否正在產生副程序,或者應用程式是否已接管目前在記憶體內執行的其他程式。如果系統判斷該程序已遭到威脅接管,則會立即終止主要威脅及其已產生或目前擁有的任何程序。

背景威脅偵測

啟用背景威脅偵測後,將會掃描整個裝置的所有可攜式可執行檔,然後使用本機威脅模型評估該可執行檔,並要求雲端式 SaaS 根據可執行檔的威脅指示器確認其分數。背景威脅偵測有兩個選項:執行一次循環執行「執行一次」 會在安裝並啟動 Threat Defense 時,對連接至裝置的所有實體磁碟機執行背景掃描。「循環執行 」會在安裝並啟動 Threat Defense 時,對連接至裝置的所有裝置執行背景掃描。它每九天重複一次掃描(不可配置)。

觀察新檔案

啟用 「觀察新檔案 」後,系統會立即評估裝置中導入的任何可攜式可執行檔,並使用本機模型針對其威脅指示器進行評估,並根據雲端託管的 SaaS 確認分數。

複製檔案樣本

複製檔案樣本 可自動將在裝置上找到的任何威脅,自動傳送至 UNC 路徑定義的儲存庫。這僅建議用於內部威脅研究,或在環境中擁有安全的封裝威脅儲存庫情況。複製檔案範例儲存的所有檔案都使用密碼 infected

代理程式設定

啟用記錄檔自動上傳

啟用自動上傳記錄檔 後,端點會在夜間或檔案達到 100 MB 時,上傳其 Dell Threat Defense 的記錄檔。無論檔案大小如何,都會在夜間上傳記錄檔。所有移轉的記錄檔都會在退出網路之前加以壓縮。

啟用桌面通知

啟用桌面通知 可讓裝置使用者在有檔案標示為異常或不安全時,在裝置上出現提示。啟用此原則後,此選項位於端點的 Dell Threat Defense 系統匣圖示右鍵選單中。

指令檔控制

指令檔控制

指令檔控制 會透過記憶體篩選器式的解決方案運作,以識別裝置上執行的指令檔腳本,將原則設為「封鎖」,便可避免對該指令檔類型進行此動作。這些原則上的警示設定只會在記錄檔和 Dell Threat Defense 主控台記錄遭到封鎖的指令檔。

1370 及更舊版本

這些原則適用於 1370 之前的用戶端,該用戶端在 2016 年 6 月之前提供。這些版本上只會執行使用中指令檔和 PowerShell 型指令檔。

1380 及更新

這些原則適用於 1370 之後的用戶端,該用戶端在 2016 年 6 月之後提供。

使用中的指令檔

使用中的指令檔包含由 Windows Script Host 解譯的所有指令檔,包括 JavaScript、VBScript、批次檔和其他許多類型。

PowerShell

PowerShell 指令檔包含以單一命令執行的所有多行指令檔。(預設設定 - 警示)

封鎖使用 PowerShell 主控台 - (PowerShell 設為「警示」時不可用)

在 PowerShell v3 (於 Windows 8.1 推出) 和更新版本中,大部分的 PowerShell 指令檔都是以單一行命令執行,雖然它們可能包含多個行,但會依序執行。這可以略過 PowerShell 指令檔解譯器。封鎖使用 PowerShell 主控台可藉由停用讓任何應用程式啟動 PowerShell 主控台,以解決此問題。整合指令碼式環境 (ISE) 不受此原則的影響。

巨集

巨集設定會解譯存在於 Office 文件和 PDF 中的巨集,並封鎖可能嘗試下載威脅的惡意巨集。

停用指令檔控制

這些原則會完全停用控制每個原則中定義的指令檔類型,甚至包括發出警示。停用時,不會收集紀錄,也不會嘗試偵測或封鎖潛在威脅。

使用中的指令檔

檢查時,會避免收集記錄檔,並封鎖任何潛在的使用中指令檔式威脅。使用中的指令檔包含由 Windows Script Host 解譯的所有指令檔,包括 JavaScript、VBScript、批次檔和其他許多類型。

PowerShell

檢查時,會避免收集記錄檔,並封鎖任何潛在的 PowerShell 式威脅。PowerShell 指令檔包含以單一命令執行的所有多行指令檔。

巨集

檢查時,會避免收集記錄檔,並封鎖任何潛在的 巨集 式威脅。巨集設定會解譯存在於 Office 文件和 PDF 中的巨集,並封鎖可能嘗試下載威脅的惡意巨集。

資料夾排除 (包括子資料夾)

資料夾排除能讓您定義排除可執行指令檔的資料夾。本區段會要求以相對路徑格式表示的排除項目。

  • 資料夾路徑可以是至本機磁碟機、對應的網路磁碟機,或通用命名慣例 (UNC) 路徑。
  • 指令檔資料夾排除必須指定資料夾或子資料夾的相對路徑。
  • 任何指定的資料夾路徑也包含任何子資料夾。
  • 萬用字元排除項目必須使用適用於 Windows 電腦的 UNIX 式正斜線。範例: /windows/system*/
  • 萬用字元唯一支援的字元是 *。
  • 有萬用字元的資料夾排除項目必須在路徑結尾有斜線,才能區分資料夾和檔案。
    • 資料夾排除: /windows/system32/*/
    • 檔案排除: /windows/system32/*
  • 每個層級的資料夾深度都必須新增萬用字元。例如: /folder/*/script.vbs 火柴 \folder\test\script.vbs\folder\exclude\script.vbs 但不適用於 \folder\test\001\script.vbs。這需要 /folder/*/001/script.vbs/folder/*/*/script.vbs
  • 萬用字元支援完整和部分排除項目。
    • 完整萬用字元範例: /folder/*/script.vbs
    • 部分萬用字元範例: /folder/test*/script.vbs
  • 網路路徑也支援萬用字元。
    • //*/login/application
    • //abc*/logon/application

正確 (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
正確 (Windows): \Cases\ScriptsAllowed
不正確: C:\Application\SubFolder\application.vbs
不正確: \Program Files\Dell\application.vbs

萬用字元範例:

/users/*/temp 將涵蓋:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs 將涵蓋:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

Informations supplémentaires

 

Vidéos

 

Produits concernés

Dell Threat Defense
Propriétés de l’article
Numéro d’article: 000124588
Type d’article: How To
Dernière modification: 07 Nov 2024
Version:  13
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.