Dell Threat Defense utilizza le policy per:
Per ulteriori informazioni, cliccare su Recommended Policies o Policy Definitions.
Si consiglia di configurare le policy nella modalità di apprendimento o nella modalità di protezione. La modalità di apprendimento è il modo in cui Dell Technologies consiglia di testare Dell Threat Defense in un'ambiente. Risulta molto più efficace quando Dell Threat Defense è implementato sugli endpoint con l'immagine aziendale standard.
Potrebbero essere necessarie ulteriori modifiche per i server applicazioni, a causa di un I/O su disco superiore al normale.
Una volta risolti tutti gli avvisi nella console di amministrazione di Dell Threat Defense da parte dell'amministratore, Dell Technologies consiglia di passare ai suggerimenti per le policy della modalità Protect. Dell Technologies consiglia un paio di settimane o più di test in modalità di apprendimento prima di passare alle policy della modalità di protezione.
Per ulteriori informazioni, cliccare su Application Server Recommendations, Learning Mode o Protect Mode .
In entrambe le modalità, di apprendimento e protezione, i server applicazioni possono mostrare un overhead più elevato e un comportamento dissimile dai sistemi operativi client. La quarantena automatica (AQT), in rari casi, ha impedito l'esecuzione di alcuni file finché non è stato possibile calcolare un punteggio. Questo comportamento viene riscontrato quando un'applicazione rileva il blocco dei file come una manomissione oppure quando un processo potrebbe non essere completato correttamente nell'intervallo di tempo previsto.
L'opzione Watch For New Files abilitata potrebbe rallentare le operazioni del dispositivo. I nuovi file generati vengono analizzati. Sebbene questo processo sia leggero, l'elevato volume di file elaborati contemporaneamente può incidere sulle prestazioni.
Modifiche delle policy consigliate per i sistemi operativi Windows Server:
Con queste raccomandazioni, si consiglia in genere di contenere i dispositivi che eseguono sistemi operativi server all'interno di zone separate. Per informazioni sulla generazione di zone, consultare Come gestire le zone in Dell Threat Defense.
Policy | Impostazione consigliata |
---|---|
Quarantena automatica con controllo delle esecuzioni per file non sicuri | Disabled |
Quarantena automatica con controllo delle esecuzioni per file anomali | Disabled |
Abilita eliminazione automatica per i file in quarantena | Disabled |
Caricamento automatico | Enabled |
Elenco file sicuri | Dipendente dall'ambiente |
Policy | Impostazione consigliata |
---|---|
Prevent Service Shutdown from Device | Disabled |
Termina i processi non sicuri in esecuzione e i relativi sottoprocessi | Disabled |
Background Threat Detection | Disabled |
Esegui una volta/Esegui più volte | Non applicabile quando Background Threat Protection è impostato su Disabled |
Controlla nuovi file | Disabled |
Copia file campione | Dipendente dall'ambiente |
Policy | Impostazione consigliata |
---|---|
Abilita caricamento automatico dei file di registro | Dipendente dall'ambiente |
Abilita notifica desktop | Dipendente dall'ambiente |
Policy | Impostazione consigliata |
---|---|
Controllo mediante script | Enabled |
1370 and below - Active Script e PowerShell | Avviso |
1380 e superiori - Script attivo | Avviso |
1380 and above - PowerShell | Avviso |
Block PowerShell Console Usage | Non applicabile quando PowerShell è impostato su Alert |
1380 e superiori - Macro | Avviso |
Disabilita controllo mediante script - Script attivo | Disabled |
Disable Script Control PowerShell | Disabled |
Disabilita controllo mediante script - Macro | Disabled |
Esclusioni cartelle (include le sottocartelle) | Dipendente dall'ambiente |
Policy | Impostazione consigliata |
---|---|
Quarantena automatica con controllo delle esecuzioni per file non sicuri | Enabled |
Quarantena automatica con controllo delle esecuzioni per file anomali | Enabled |
Abilita eliminazione automatica per i file in quarantena | Dipendente dall'ambiente |
Caricamento automatico | Dipendente dall'ambiente |
Elenco file sicuri | Dipendente dall'ambiente |
Policy | Impostazione consigliata |
---|---|
Prevent Service Shutdown from Device | Enabled |
Termina i processi non sicuri in esecuzione e i relativi sottoprocessi | Enabled |
Background Threat Detection | Enabled |
Esegui una volta/Esegui più volte | Esegui una volta |
Controlla nuovi file | Enabled |
Copia file campione | Dipendente dall'ambiente |
Policy | Impostazione consigliata |
---|---|
Abilita caricamento automatico dei file di registro | Dipendente dall'ambiente |
Abilita notifica desktop | Dipendente dall'ambiente |
Policy | Impostazione consigliata |
---|---|
Controllo mediante script | Enabled |
1370 and below - Active Script e PowerShell | Blocco |
1380 e superiori - Script attivo | Blocco |
1380 and above - PowerShell | Blocco |
Block PowerShell Console Usage | Blocco |
1380 e superiori - Macro | Blocco |
Disabilita controllo mediante script - Script attivo | Disabled |
Disable Script Control PowerShell | Disabled |
Disabilita controllo mediante script - Macro | Disabled |
Esclusioni cartelle (include le sottocartelle) | Dipendente dall'ambiente |
Questo criterio determina cosa accade ai file rilevati durante l'esecuzione. Per impostazione predefinita la minaccia viene bloccata anche se un file non sicuro è rilevato come in esecuzione. Unsafe è caratterizzato da un punteggio cumulativo per l'eseguibile portatile superiore a 60 all'interno del sistema di punteggio di Advanced Threat Prevention basato su indicatori di minaccia valutati.
Questo criterio determina cosa accade ai file rilevati durante l'esecuzione. Per impostazione predefinita la minaccia viene bloccata anche se un file anomalo è rilevato come in esecuzione. Anomalo è caratterizzato da un punteggio cumulativo per l'eseguibile portatile superiore a 0 ma non superiore a 60 all'interno del sistema di punteggio di Advanced Threat Prevention. Il sistema di punteggio si basa su indicatori di minaccia che sono stati valutati.
Quando i file non sicuri o anomali vengono messi in quarantena in base alle quarantene a livello di dispositivo, agli elenchi di quarantena globale o alle policy di quarantena automatica, vengono conservati all'interno di una cache di quarantena locale in modalità sandbox sul dispositivo locale. Quando l'opzione Enable auto-delete for quarantined files è abilitata, indica il numero di giorni (minimo 14 giorni, massimo 365 giorni) per conservare il file sul dispositivo locale prima di eliminarlo definitivamente. Quando questa opzione è abilitata, è possibile modificare il numero di giorni.
Contrassegna per ulteriori analisi le minacce che non sono state rilevate dall'ambiente SaaS (Software-as-a-Service) Threat Defense. Quando un file viene contrassegnato come potenziale minaccia dal modello locale, un hash SHA256 dell'eseguibile portatile viene estratto e inviato a SaaS. Se l'hash SHA256 inviato non può essere abbinato a una minaccia e se il caricamento automatico è abilitato, è possibile effettuare un caricamento sicuro della minaccia in SaaS per la valutazione. Questi dati vengono archiviati in modo sicuro e non sono accessibili da Dell o dai suoi partner.
Elenco file sicuri è un elenco dei file di cui è stata determinata la sicurezza all'interno dell'ambiente e che sono stati ignorati manualmente inviando il loro hash SHA256 ed eventuali informazioni aggiuntive in questo elenco. Se un hash SHA256 viene inserito all'interno di questo elenco, durante l'esecuzione del file non viene valutato dai modelli di minaccia locale o cloud. Si tratta di percorsi file "assoluti".
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Quando l'opzione Kill unsafe running processes and their sub processes è abilitata, determina se una minaccia sta generando processi figlio o se l'applicazione ha assunto il controllo di altri processi attualmente in esecuzione all'interno della memoria. Se si ritiene che un processo sia stato preso in consegna da una minaccia, la minaccia primaria e tutti i processi che ha generato o attualmente possiede vengono immediatamente terminati.
Il rilevamento delle minacce in background, se abilitato, esegue la scansione dell'intero dispositivo alla ricerca di eventuali eseguibili portatili, quindi valuta l'eseguibile con il modello di minaccia locale e richiede conferma per il punteggio dell'eseguibile con SaaS basato su cloud in base agli indicatori di minaccia dell'eseguibile. Con Background Threat Detection sono disponibili due opzioni: Esegui una volta ed esegui ricorrente. Una volta esegue una scansione in background di tutte le unità fisiche collegate al dispositivo nel momento in cui Threat Defense viene installato e attivato. Run Recurring esegue una scansione in background di tutti i dispositivi connessi al dispositivo nel momento in cui Threat Defense viene installato e attivato. Ripete la scansione ogni nove giorni (non configurabile).
Quando l'opzione Watch for New Files è abilitata, qualsiasi eseguibile portatile introdotto nel dispositivo viene immediatamente valutato con gli indicatori di minaccia visualizzati utilizzando il modello locale e questo punteggio viene confermato rispetto al SaaS ospitato nel cloud.
Copia campioni di file consente di depositare automaticamente qualsiasi minaccia rilevata sul dispositivo in un repository definito in base al percorso UNC. Questa scelta è consigliata solo per la ricerca interna sulle minacce o per conservare un repository sicuro di minacce in pacchetti all'interno dell'ambiente. Tutti i file archiviati da Copia campioni di file vengono compressi con una password di infected
.
L'opzione Abilita caricamento automatico dei file di registro consente agli endpoint di eseguire l'upload dei relativi file di registro per Dell Threat Defense ogni notte a mezzanotte o quando il file raggiunge i 100 MB. I registri vengono sottoposti ad upload ogni notte indipendentemente dalla dimensione del file. Tutti i registri trasferiti vengono compressi prima dell'uscita dalla rete.
L'opzione Enable Desktop Notification consente agli utenti del dispositivo di consentire all'utente del dispositivo di visualizzare un prompt sul proprio dispositivo se un file è contrassegnato come anomalo o non sicuro. Questa opzione è presente nel menu di scelta rapida dell'icona Dell Threat Defense nell'area di notifica sugli endpoint in cui è abilitata questa policy.
Script Control funziona attraverso una soluzione basata su filtri di memoria per identificare gli script in esecuzione sul dispositivo e impedirne la prevenzione se la policy è impostata su Block per quel tipo di script. Le impostazioni di avviso in queste policy segnalano gli script bloccati solo all'interno dei registri e nella console di Dell Threat Defense.
Queste policy riguardano i client precedenti alla versione 1370, disponibili prima di giugno 2016. In queste versioni le azioni vengono eseguite solo sugli script attivi e sugli script basati su PowerShell.
Queste policy riguardano i client successivi alla versione 1370, disponibili dopo giugno 2016.
Gli script attivi includono tutti gli script interpretati da Windows Scripting Host, tra cui JavaScript, VBScript, file batch e molti altri ancora.
Gli script PowerShell includono tutti gli script di più righe eseguiti come un comando singolo (impostazione predefinita - Alert).
In PowerShell v3 (introdotto in Windows 8.1) e versioni successive, la maggior parte degli script PowerShell viene eseguita come comando a riga singola; qualora contengano più righe, vengono eseguiti in ordine. In questo modo è possibile bypassare l'interprete di script di PowerShell. Block PowerShell console risolve questo problema impedendo a qualsiasi applicazione di avviare la console PowerShell. L'ambiente di scripting integrato (ISE, Integrated Scripting Environment) non è influenzato da questa policy.
L'impostazione Macro interpreta le macro presenti all'interno di documenti Office e PDF e blocca le macro malevole che potrebbero tentare di scaricare minacce.
Queste policy disabilitano completamente la possibilità di inviare avvisi per il tipo di script definito all'interno di ciascuna policy. Se l'opzione è disabilitata, non viene effettuata alcuna registrazione e non vengono effettuati tentativi di rilevare o bloccare le potenziali minacce.
Se questa opzione è selezionata, impedisce la raccolta di registri e blocca eventuali minacce basate su Active Script. Gli script attivi includono tutti gli script interpretati da Windows Scripting Host, tra cui JavaScript, VBScript, file batch e molti altri ancora.
Se questa opzione è selezionata, impedisce la raccolta di registri e blocca qualsiasi potenziale minaccia basata su PowerShell. Gli script PowerShell includono tutti gli script di più righe eseguiti come un comando singolo
Se questa opzione è selezionata, impedisce la raccolta di registri e blocca eventuali minacce basate su macro. L'impostazione Macro interpreta le macro presenti all'interno di documenti Office e PDF e blocca le macro malevole che potrebbero tentare di scaricare minacce.
Esclusioni cartelle consente di definire le cartelle in cui possono essere eseguiti gli script e che possono quindi essere escluse. Questa sezione richiede di specificare le esclusioni in un formato con percorso relativo.
/windows/system*/
./windows/system32/*/
/windows/system32/*
/folder/*/script.vbs
Corrisponde \folder\test\script.vbs
oppure \folder\exclude\script.vbs
ma non funziona per \folder\test\001\script.vbs
. A tal fine è necessario /folder/*/001/script.vbs
oppure /folder/*/*/script.vbs
./folder/*/script.vbs
/folder/test*/script.vbs
//*/login/application
//abc*/logon/application
Corretto (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Corretto (Windows): \Cases\ScriptsAllowed
Errato: C:\Application\SubFolder\application.vbs
Errato: \Program Files\Dell\application.vbs
Esempi con carattere jolly:
/users/*/temp
riguarderebbe:
\users\john\temp
\users\jane\temp
/program files*/app/script*.vbs
riguarderebbe:
\program files(x86)\app\script1.vbs
\program files(x64)\app\script2.vbs
program files(x64)\app\script3.vbs
Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.