Ga naar hoofdinhoud
Uitloggen

Welkom bij Dell

Mijn account
  • Snel en eenvoudig bestellen
  • Bestellingen en de verzendstatus bekijken
  • Een lijst met producten maken en openen
Inloggen Een account maken Inloggen bij Premier Aanmelden voor partnerprogramma
Contact

Uw Dell.com-winkelwagentjes

Raccomandazioni per le policy di Dell Threat Defense

Samenvatting: Questo articolo contiene raccomandazioni per le policy di Dell Threat Defense.

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.
Bekijk andere hulpbronnen

Symptomen

Nota:

Dell Threat Defense utilizza le policy per:

  • Definire le modalità di gestione delle minacce.
  • Stabilire le operazioni da eseguire sui file in quarantena.
  • Configurare il controllo mediante script.

Prodotti interessati:

Dell Threat Defense

Oorzaak

Non applicabile.

Oplossing

Per ulteriori informazioni, cliccare su Policy consigliate o Definizioni delle policy.

Policy consigliate

Si consiglia di configurare le policy nella modalità di apprendimento o nella modalità di protezione. La modalità di apprendimento è quella consigliata da Dell per testare Dell Threat Defense in un ambiente. Risulta molto più efficace quando Dell Threat Defense è implementato sugli endpoint con l'immagine aziendale standard.

Potrebbero essere necessarie ulteriori modifiche per i server applicazioni, a causa di un I/O su disco superiore al normale.

Dopo che l'amministratore ha gestito tutti gli avvisi nella console di amministrazione di Threat Defense Dell, Dell consiglia di passare alle raccomandazioni per le policy nella modalità di protezione. Dell consiglia di svolgere test nella modalità di apprendimento per almeno un paio di settimane prima di passare alle policy della modalità di protezione.

Per ulteriori informazioni, cliccare su Raccomandazioni per i server applicazioni, Modalità di apprendimento o Modalità di protezione.

Nota: non tutte le raccomandazioni relative alle policy sono adeguate a ogni ambiente.
Raccomandazioni per i server applicazioni

In entrambe le modalità, di apprendimento e protezione, i server applicazioni possono mostrare un overhead più elevato e un comportamento dissimile dai sistemi operativi client. La quarantena automatica (AQT), in rari casi, ha impedito l'esecuzione di alcuni file finché non è stato possibile calcolare un punteggio. Questo comportamento viene riscontrato quando un'applicazione rileva il blocco dei file come una manomissione oppure quando un processo potrebbe non essere completato correttamente nell'intervallo di tempo previsto.

L'opzione "Watch For New Files", se abilitata, potrebbe rallentare le operazioni del sistema. I nuovi file generati vengono analizzati. Sebbene questo processo sia leggero, l'elevato volume di file elaborati contemporaneamente può incidere sulle prestazioni.

Modifiche delle policy consigliate per i sistemi operativi Windows Server:

  • Selezionare Enable per Background Threat Detection e quindi Run Once.
  • Verificare che l'opzione Execution Control sia impostata su Enabled.
  • Selezionare Disable per Watch For New Files.

Con queste raccomandazioni, si consiglia in genere di contenere i dispositivi che eseguono sistemi operativi server all'interno di zone separate. Per informazioni sulla generazione di zone, consultare Come gestire le zone in Dell Threat Defense.

Modalità di apprendimento
Policy Impostazione consigliata
Azioni file  
Quarantena automatica con controllo delle esecuzioni per file non sicuri Disabilitati
Quarantena automatica con controllo delle esecuzioni per file anomali Disabilitati
Abilita eliminazione automatica per i file in quarantena Disabilitati
Caricamento automatico Enabled
Elenco file sicuri Dipendente dall'ambiente
Impostazioni di protezione  
Impedisci arresto del servizio dal dispositivo Disabilitati
Termina i processi non sicuri in esecuzione e i relativi sottoprocessi Disabilitati
Rilevamento delle minacce in background Disabilitati
Esegui una volta/Esegui più volte N/D quando l'opzione Protezione dalle minacce in background è impostata su Disabilitato
Controlla nuovi file Disabilitati
Copia file campione Dipendente dall'ambiente
Impostazioni agent  
Abilita caricamento automatico dei file di registro Dipendente dall'ambiente
Abilita notifica desktop Dipendente dall'ambiente
Controllo mediante script  
Controllo mediante script Enabled
1370 and below - Active Script e PowerShell Avviso
1380 e superiori - Script attivo Avviso
1380 and above - PowerShell Avviso
Block PowerShell Console Usage N/D se PowerShell è impostato su Alert
1380 e superiori - Macro Avviso
Disabilita controllo mediante script - Script attivo Disabilitati
Disable Script Control PowerShell Disabilitati
Disabilita controllo mediante script - Macro Disabilitati
Esclusioni cartelle (include le sottocartelle) Dipendente dall'ambiente
Modalità di protezione
Policy Impostazione consigliata
Azioni file  
Quarantena automatica con controllo delle esecuzioni per file non sicuri Enabled
Quarantena automatica con controllo delle esecuzioni per file anomali Enabled
Abilita eliminazione automatica per i file in quarantena Dipendente dall'ambiente
Caricamento automatico Dipendente dall'ambiente
Elenco file sicuri Dipendente dall'ambiente
Impostazioni di protezione  
Impedisci arresto del servizio dal dispositivo Enabled
Termina i processi non sicuri in esecuzione e i relativi sottoprocessi Enabled
Rilevamento delle minacce in background Enabled
Esegui una volta/Esegui più volte Esegui una volta
Controlla nuovi file Enabled
Copia file campione Dipendente dall'ambiente
Impostazioni agent  
Abilita caricamento automatico dei file di registro Dipendente dall'ambiente
Abilita notifica desktop Dipendente dall'ambiente
Controllo mediante script  
Controllo mediante script Enabled
1370 and below - Active Script e PowerShell Blocco
1380 e superiori - Script attivo Blocco
1380 and above - PowerShell Blocco
Block PowerShell Console Usage Blocco
1380 e superiori - Macro Blocco
Disabilita controllo mediante script - Script attivo Disabilitati
Disable Script Control PowerShell Disabilitati
Disabilita controllo mediante script - Macro Disabilitati
Esclusioni cartelle (include le sottocartelle) Dipendente dall'ambiente
Definizioni delle policy

Definizioni delle policy di Threat Defense:

Azioni file

Quarantena automatica con controllo delle esecuzioni per file non sicuri

Questa policy stabilisce che cosa accade ai file rilevati durante l'esecuzione. Per impostazione predefinita la minaccia viene bloccata anche se un file non sicuro è rilevato come in esecuzione. La classificazione di file non sicuro è caratterizzata da un punteggio cumulativo per l'eseguibile portatile che supera 60 nel sistema di punteggio di Advanced Threat Prevention in base agli indicatori di minaccia che sono stati valutati.

Quarantena automatica con controllo delle esecuzioni per file anomali

Questa policy stabilisce che cosa accade ai file rilevati durante l'esecuzione. Per impostazione predefinita la minaccia viene bloccata anche se un file anomalo è rilevato come in esecuzione. La classificazione di file anomalo è caratterizzata da un punteggio cumulativo per l'eseguibile portatile che supera 0 ma è inferiore a 60 nel sistema di punteggio di Advanced Threat Prevention in base agli indicatori di minaccia che sono stati valutati.

Abilita eliminazione automatica per i file in quarantena

Quando i file non sicuri o anomali vengono messi in quarantena in base alle quarantene a livello di dispositivo, agli elenchi di quarantena globale o alle policy di quarantena automatica, vengono conservati all'interno di una cache di quarantena locale in modalità sandbox sul dispositivo locale. Quando l'opzione Enable auto-delete for quarantined files è abilitata, indica il numero di giorni (minimo 14 giorni, massimo di 365 giorni) di conservazione del file sul dispositivo locale prima della sua eliminazione definitiva. Quando questa opzione è abilitata, è possibile modificare il numero di giorni.

Caricamento automatico

Contrassegna per ulteriori analisi le minacce che non sono state rilevate dall'ambiente SaaS (Software-as-a-Service) Threat Defense. Quando un file viene contrassegnato come potenziale minaccia dal modello locale, un hash SHA256 dell'eseguibile portatile viene estratto e inviato a SaaS. Se l'hash SHA256 inviato non può essere abbinato a una minaccia e se il caricamento automatico è abilitato, è possibile effettuare un caricamento sicuro della minaccia in SaaS per la valutazione. Questi dati vengono archiviati in modo sicuro e non sono accessibili da Dell o dai suoi partner.

Elenco file sicuri

Elenco file sicuri è un elenco dei file di cui è stata determinata la sicurezza all'interno dell'ambiente e che sono stati ignorati manualmente inviando il loro hash SHA256 ed eventuali informazioni aggiuntive in questo elenco. Se un hash SHA256 viene inserito all'interno di questo elenco, durante l'esecuzione del file non viene valutato dai modelli di minaccia locale o cloud. Questi percorsi file sono "assoluti".

Esclusioni di esempio:
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\

Impostazioni di protezione

Termina i processi non sicuri in esecuzione e i relativi sottoprocessi

L'opzione Kill unsafe running processes and their sub processes, se abilitata, stabilisce se una minaccia sta generando processi figlio o se l'applicazione ha assunto il comando di altri processi attualmente in esecuzione nella memoria. Se si ritiene che un processo sia stato acquisito da una minaccia, la minaccia principale e gli eventuali processi che ha generato o che attualmente possiede vengono immediatamente terminati.

Rilevamento delle minacce in background

L'opzione Background Threat Detection, se abilitata, esegue la scansione dell'intero dispositivo per individuare eventuali eseguibili portatili, quindi li valuta con il modello di minaccia locale e richiede la conferma del punteggio degli eseguibili con SaaS basato su cloud in base agli indicatori di minaccia degli eseguibili. Sono possibili due opzioni con Background Threat Detection: Run Once e Run Recurring. Run Once esegue una scansione in background di tutte le unità fisiche connesse al dispositivo nel momento in cui viene installato e attivato Threat Defense. Run Recurring esegue una scansione in background di tutti i dispositivi connessi al dispositivo nel momento in cui viene installato e attivato Threat Defense; la scansione viene ripetuta ogni nove giorni (non configurabile).

Controlla nuovi file

Se l'opzione Watch for New Files è abilitata, qualsiasi eseguibile portatile introdotto nel dispositivo viene immediatamente valutato con gli indicatori di minaccia da lui esposti tramite il modello locale; il punteggio viene confermato con SaaS in hosting sul cloud.

Copia file campione

Copy File Samples consente di depositare automaticamente qualsiasi minaccia rilevata sul dispositivo in un repository definito in base al percorso UNC. Questa scelta è consigliata solo per la ricerca interna sulle minacce o per conservare un repository sicuro di minacce in pacchetti all'interno dell'ambiente. Tutti i file archiviati da Copy File Samples vengono compressi con la password infected.

Impostazioni agent

Abilita caricamento automatico dei file di registro

Enable Auto-Upload of log files consente agli endpoint di eseguire l'upload dei relativi file di registro per Dell Threat Defense ogni sera a mezzanotte oppure quando il file raggiunge una dimensione di 100 MB. I registri vengono sottoposti ad upload ogni notte indipendentemente dalla dimensione del file. Tutti i registri trasferiti vengono compressi prima dell'uscita dalla rete.

Abilita notifica desktop

Enable Desktop Notification permette agli utenti dei dispositivi di consentire la visualizzazione di prompt sul loro dispositivo se un file viene contrassegnato come anomalo o non sicuro. Questa opzione è presente nel menu di scelta rapida dell'icona Dell Threat Defense nell'area di notifica sugli endpoint in cui è abilitata questa policy.

Controllo mediante script

Controllo mediante script

Script Control opera tramite una soluzione basata su filtri di memoria per identificare gli script in esecuzione sul dispositivo e vietarli se la policy per quel tipo di script è impostata su Block. Le impostazioni di avviso in queste policy segnalano gli script bloccati solo all'interno dei registri e nella console di Dell Threat Defense.

1370 e inferiori

Queste policy riguardano i client precedenti alla versione 1370, disponibili prima di giugno 2016. In queste versioni le azioni vengono eseguite solo sugli script attivi e sugli script basati su PowerShell.

1380 e superiori

Queste policy riguardano i client successivi alla versione 1370, disponibili dopo giugno 2016.

Script attivo

Gli script attivi includono tutti gli script interpretati da Windows Scripting Host, tra cui JavaScript, VBScript, file batch e molti altri ancora.

PowerShell

Gli script PowerShell includono tutti gli script di più righe eseguiti come un comando singolo (impostazione predefinita - Alert).

Block PowerShell Console Usage - Non presente quando PowerShell è impostato su Alert.

In PowerShell v3 (introdotto in Windows 8.1) e versioni successive, la maggior parte degli script PowerShell viene eseguita come comando a riga singola; qualora contengano più righe, vengono eseguiti in ordine. In questo modo è possibile bypassare l'interprete di script di PowerShell. Block PowerShell console risolve questo problema impedendo a qualsiasi applicazione di avviare la console PowerShell. L'ambiente di scripting integrato (ISE, Integrated Scripting Environment) non è influenzato da questa policy.

Macro

L'impostazione Macro interpreta le macro presenti all'interno di documenti Office e PDF e blocca le macro malevole che potrebbero tentare di scaricare minacce.

Disabilita controllo mediante script

Queste policy disabilitano completamente la possibilità di inviare avvisi per il tipo di script definito all'interno di ciascuna policy. Se l'opzione è disabilitata, non viene effettuata alcuna registrazione e non vengono effettuati tentativi di rilevare o bloccare le potenziali minacce.

Script attivo

Quando l'opzione è selezionata, impedisce la raccolta dei registri e blocca le potenziali minacce basate su script attivi. Gli script attivi includono tutti gli script interpretati da Windows Scripting Host, tra cui JavaScript, VBScript, file batch e molti altri ancora.

PowerShell

Quando l'opzione è selezionata, impedisce la raccolta dei registri e blocca le potenziali minacce basate su PowerShell. Gli script PowerShell includono tutti gli script di più righe eseguiti come un comando singolo

Macro

Quando l'opzione è selezionata, impedisce la raccolta dei registri e blocca le potenziali minacce basate su macro. L'impostazione Macro interpreta le macro presenti all'interno di documenti Office e PDF e blocca le macro malevole che potrebbero tentare di scaricare minacce.

Esclusioni cartelle (include le sottocartelle)

Esclusioni cartelle consente di definire le cartelle in cui possono essere eseguiti gli script e che possono quindi essere escluse. Questa sezione richiede di specificare le esclusioni in un formato con percorso relativo.

  • I percorsi delle cartelle possono essere puntare a un'unità locale, un'unità di rete mappata o un percorso UNC (Universal Naming Convention).
  • Le esclusioni delle cartelle di script devono specificare il percorso relativo della cartella o della sottocartella.
  • Qualsiasi percorso di cartella specificato include anche le eventuali sottocartelle.
  • Per le esclusioni con caratteri jolly, è necessario utilizzare le barre in avanti in stile UNIX nei computer Windows. Esempio: /windows/system*/.
  • L'unico carattere jolly supportato è *.
  • Per le esclusioni delle cartelle con un carattere jolly. è necessario utilizzare una barra alla fine del percorso per fare distinzione tra una cartella e un file.
    • Esclusione di cartelle: /windows/system32/*/
    • Esclusione di file: /windows/system32/*
  • È necessario aggiungere un carattere jolly per ogni livello di profondità di cartella. Ad esempio, /folder/*/script.vbs corrisponde a \folder\test\script.vbs o \folder\exclude\script.vbs, ma non a \folder\test\001\script.vbs. Quest'ultimo richiede /folder/*/001/script.vbs o /folder/*/*/script.vbs.
  • I caratteri jolly supportano esclusioni complete e parziali.
    • Esempio di carattere jolly completo: /folder/*/script.vbs
    • Esempio di carattere jolly parziale: /folder/test*/script.vbs
  • Sono supportati anche i percorsi di rete con caratteri jolly.
    • //*/login/application
    • //abc*/logon/application

Corretto (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Corretto (Windows): \Cases\ScriptsAllowed
Errato: C:\Application\SubFolder\application.vbs
Errato: \Program Files\Dell\application.vbs

Esempi con carattere jolly:

/users/*/temp copre:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs copre:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Extra informatie

 

Video's

 

Getroffen producten

Dell Threat Defense
Artikeleigenschappen
Artikelnummer: 000124588
Artikeltype: Solution
Laatst aangepast: 20 dec. 2022
Versie:  11
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.