Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Recomendações de política do Dell Threat Defense

Résumé: Saiba mais sobre as políticas recomendadas e definições de políticas para o Dell Threat Defense.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Nota:

O Dell Threat Defense usa políticas para:

  • Definir como as ameaças são tratadas
  • Determinar o que é feito com arquivos em quarentena
  • Configurar controle de script

Produtos afetados:

  • Dell Threat Defense

Clique em Políticas recomendadas ou Definições de política para obter mais informações.

Definições das políticas do Threat Defense:

Ações do arquivo

Quarentena automática com controle de execução para arquivos desprotegidos

Essa política determina o que acontece com os arquivos detectados durante a execução. Por padrão, mesmo quando a execução de um arquivo não seguro é detectada, a ameaça é bloqueada. Unsafe é caracterizada por uma pontuação cumulativa para o executável portátil que excede 60 dentro do sistema de pontuação do Advanced Threat Prevention com base nos indicadores de ameaças que foram avaliados.

Quarentena automática com controle de execução para arquivos anormais

Essa política determina o que acontece com os arquivos detectados durante a execução. Por padrão, mesmo quando a execução de um arquivo anormal é detectada, a ameaça é bloqueada. Anormal é caracterizada por uma pontuação cumulativa para o executável portátil que excede 0, mas não excede 60 no sistema de pontuação do Advanced Threat Prevention. O sistema de pontuação é baseado em indicadores de ameaça que foram avaliados.

Ativar exclusão automática de arquivos em quarentena

Quando arquivos não seguros ou anormais são colocados em quarentena no nível do dispositivo, em listas de quarentena globais ou conforme as políticas de quarentena automática, eles são mantidos dentro de um cache de quarentena isolado no sistema local. Quando a opção Habilitar exclusão automática para arquivos em quarentena está ativada, ela indica o número de dias (mínimo de 14 dias, máximo de 365 dias) para manter o arquivo no dispositivo local antes de excluí-lo permanentemente. Quando ativada, a capacidade de modificar o número de dias se torna possível.

Upload automático

Marca as ameaças que não foram vistas pelo ambiente Threat Defense SaaS (Software como serviço) para análise posterior. Quando um arquivo é marcado como uma possível ameaça pelo modelo local, um hash SHA256 é retirado do executável portátil e enviado para o SaaS. Se o hash SHA256 que foi enviado não puder ser correspondido a uma ameaça e o Upload automático estiver ativado, isso permitirá um upload seguro da ameaça para o SaaS para fins de avaliação. Esses dados são armazenados de forma segura e não podem ser acessados pela Dell ou seus parceiros.

Lista segura de políticas

A Lista segura de políticas contém arquivos que foram considerados seguros dentro do ambiente e que foram excluídos manualmente enviando seu hash SHA256 e quaisquer informações adicionais para esta lista. Se um hash SHA256 for colocado nessa lista, assim que o arquivo for executado, ele não será avaliado pelos modelos de ameaça locais ou na nuvem. Esses são caminhos de arquivo "absolutos".

Exemplo de exclusões:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Configurações de proteção

Eliminar processos desprotegidos em execução e seus subprocessos

Quando a opção Kill unsafe running processes and their sub processes está ativada, isso determina se uma ameaça está gerando processos filhos ou se o aplicativo assumiu o controle de outros processos que estão em execução atualmente na memória. Se houver a crença de que um processo foi tomado por uma ameaça, a ameaça primária e quaisquer processos que ela tenha gerado ou que ela possua atualmente serão imediatamente encerrados.

Detecção de ameaças em segundo plano

A Detecção de ameaças em segundo plano, quando ativada, verifica todo o dispositivo em busca de qualquer executável portátil e, em seguida, avalia esse executável com o modelo de ameaça local e solicita confirmação para a pontuação do executável com o SaaS baseado em nuvem com base nos indicadores de ameaça do executável. Duas opções são possíveis com a Detecção de ameaças em segundo plano: Executar uma vez e executar regularmente. A opção Run Once executa uma verificação em segundo plano de todas as unidades físicas conectadas ao dispositivo no momento em que o Threat Defense é instalado e ativado. A execução recorrente executa uma verificação em segundo plano de todos os dispositivos conectados ao dispositivo no momento em que o Threat Defense é instalado e ativado. Ele repete a varredura a cada nove dias (não configurável).

Procurar novos arquivos

Quando a opção Procurar novos arquivos está ativada, qualquer executável portátil introduzido no dispositivo é imediatamente avaliado com os indicadores de ameaça exibidos usando o modelo local, e essa pontuação é confirmada em relação ao SaaS hospedado na nuvem.

Copiar amostras de arquivo

As amostras de arquivo de cópia permitem que todas as ameaças encontradas no dispositivo sejam automaticamente depositadas em um repositório definido com base no caminho UNC. Isso só é recomendado para pesquisas de ameaças internas ou para manter um repositório seguro de ameaças compactadas dentro do ambiente. Todos os arquivos armazenados pelo Copy File Samples são compactados com uma senha de infected.

Configurações do agente

Ativar upload automático de arquivos de log

Ativar o carregamento automático de arquivos de log permite que os endpoints carreguem seus arquivos de log do Dell Threat Defense à noite à meia-noite ou quando o arquivo atingir 100 MB. Os logs são carregados todas as noites, independentemente do tamanho do arquivo. Todos os logs transferidos são compactados antes de saírem da rede.

Ativar notificação da área de trabalho

Habilitar notificação da área de trabalho permite que os usuários do dispositivo permitam prompts em seus dispositivos se um arquivo for marcado como anormal ou inseguro. Essa é uma opção no menu do botão direito do mouse do ícone da bandeja do Dell Threat Defense em endpoints com esta política ativada.

Script Control

Script Control

O Script Control opera por meio de uma solução baseada em filtro de memória para identificar scripts que estão sendo executados no dispositivo e impedi-los se a política estiver definida como Bloquear para esse tipo de script. As configurações de alerta nessas políticas só observam scripts que foram bloqueados nos logs e no console do Dell Threat Defense.

1370 e abaixo

Essas políticas se aplicam a clients com versões anteriores à 1370, que estavam disponíveis antes de junho de 2016. Somente scripts baseados em Active Scripts e Powershell são executados com essas versões.

1380 e acima

Essas políticas se aplicam a clientes posteriores a 1370, que estavam disponíveis depois de junho de 2016.

Active Script

Active Scripts incluem qualquer script interpretado pelo host de script do Windows, incluindo JavaScript, VBScript, arquivos em lotes e muitos outros.

Powershell

Os scripts Powershell incluem quaisquer scripts de várias linhas que sejam executados como um único comando. (Configuração padrão – Alert)

Block PowerShell Console Usage (indisponível quando o PowerShell está definido como Alert)

No Powershell v3 (introduzido no Windows 8.1) e nas versões posteriores, a maioria dos scripts Powershell são executados como um comando de linha única; embora possam conter várias linhas, eles são executados na ordem. Com isso, o interpretador de scripts Powershell poderá ser ignorado. A opção Block PowerShell console pode ser usada como alternativa, pois incapacita a abertura de qualquer aplicativo no console do Powershell. O ISE (Integrated Scripting Environment) não é afetado por essa política.

Macros

A configuração Macro interpreta as macros presentes nos documentos do Office e em PDFs e bloqueia macros mal-intencionadas que podem tentar fazer download de ameaças.

Desativar Script Control

Essas políticas incapacitam totalmente qualquer alerta no tipo de script definido dentro de cada política. Quando desativado, nenhum registro é coletado e nenhuma tentativa de detectar ou bloquear possíveis ameaças é executada.

Active Script

Quando marcada, impede a coleta de logs e bloqueia possíveis ameaças baseadas em Active Script. Active Scripts incluem qualquer script interpretado pelo host de script do Windows, incluindo JavaScript, VBScript, arquivos em lotes e muitos outros.

Powershell

Quando marcada, impede a coleta de logs e bloqueia possíveis ameaças baseadas no PowerShell. Os scripts Powershell incluem quaisquer scripts de várias linhas que sejam executados como um único comando.

Macros

Quando marcada, impede a coleta de logs e bloqueia possíveis ameaças baseadas em macros. A configuração Macro interpreta as macros presentes nos documentos do Office e em PDFs e bloqueia macros mal-intencionadas que podem tentar fazer download de ameaças.

Exclusões de pasta (inclui subpastas)

As exclusões de pasta permitem definir pastas em que os scripts podem ser executados e podem ser excluídos. Essa seção pede exclusões em um formato de caminho relativo.

  • Os caminhos das pastas podem ser um caminho de convenção de nomenclatura universal (UNC), de uma unidade de rede mapeada ou uma unidade local.
  • As exclusões de pastas de script devem especificar o caminho relativo da pasta ou subpasta.
  • Qualquer caminho de pasta especificado também inclui as subpastas.
  • As exclusões de caracteres curinga devem usar barras no estilo Unix para computadores com Windows. Exemplo: /windows/system*/.
  • O único caractere aceito para caracteres curinga é *.
  • As exclusões de pasta com um caractere curinga devem ter uma barra no final do caminho para diferenciar entre uma pasta e um arquivo.
    • Exclusão de pastas: /windows/system32/*/
    • Exclusão de arquivos: /windows/system32/*
  • É necessário adicionar um caractere curinga para cada nível de detalhamento de pasta. Por exemplo, /folder/*/script.vbs Corresponde \folder\test\script.vbs ou \folder\exclude\script.vbs mas não funciona para \folder\test\001\script.vbs. Isso exigiria /folder/*/001/script.vbs ou /folder/*/*/script.vbs.
  • Os caracteres curinga oferecem suporte a exclusões completas e parciais.
    • Exemplo de caractere curinga completo: /folder/*/script.vbs
    • Exemplo de caractere curinga parcial: /folder/test*/script.vbs
  • Os caminhos de rede também são compatíveis com caracteres curinga.
    • //*/login/application
    • //abc*/logon/application

Correto (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correto (Windows): \Cases\ScriptsAllowed
Incorreto: C:\Application\SubFolder\application.vbs
Incorreto: \Program Files\Dell\application.vbs

Exemplos de caractere curinga:

/users/*/temp abrangeria:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs abrangeria:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Informations supplémentaires

 

Vidéos

 

Produits concernés

Dell Threat Defense
Propriétés de l’article
Numéro d’article: 000124588
Type d’article: How To
Dernière modification: 07 Nov 2024
Version:  13
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.