Ga naar hoofdinhoud
  • Snel en eenvoudig bestellen
  • Bestellingen en de verzendstatus bekijken
  • Een lijst met producten maken en openen

Principrekommendationer för Dell Threat Defense

Samenvatting: Den här artikeln innehåller principrekommendationer för Dell Threat Defense.

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.

Symptomen

Obs!

Dell Threat Defense använder principer för att:

  • Definiera hur hot ska åtgärdas.
  • Ta reda på vad som görs med filer i karantän.
  • Konfigurera skriptkontroll.

Berörda produkter:

Dell Threat Defense


Oorzaak

Gäller ej.

Oplossing

Klicka på Rekommenderade principer eller principdefinitioner om du vill ha mer information.

Det rekommenderas att principer anges i Inlärningsläge eller Skyddsläge. Inlärningsläget är hur Dell rekommenderar att du testar Dell Threat Defense i en miljö. Detta är mest effektivt när Dell Threat Defense distribueras på slutpunkter med den standardmässiga företagsavbildningen.

Fler ändringar kan krävas för programservrar på grund av I/O som är högre än normalt för disk.

När alla varningar har åtgärdats av administratören i administrationskonsolen för Dell Threat Defense rekommenderar Dell att du växlar till principrekommendationerna för skyddsläge. Dell rekommenderar några veckors eller mer testning i inlärningsläge innan du växlar till skyddslägets principer.

Klicka på Application Server Recommendations(rekommendationer för programserver), Learning Mode (inlärningsläge) eller Protect Mode (skyddsläge ) för mer information.

Obs! Alla principrekommendationer passar inte alla miljöer.

I både inlärningslägena och skyddslägena kan programservrar se ytterligare belastning och olika beteende för klientoperativsystem. Automatisk karantän (AQT) har i sällsynta fall förhindrat att vissa filer körs tills en poäng kan beräknas. Detta har observerats när ett program upptäcker låsning av sina filer som manipulering, eller när en process inte slutförs korrekt inom förväntad tidsram.

Om "Håll utkik efter nya filer" är aktiverat kan enhetens åtgärder bli långsammare. När en ny fil genereras analyseras den. Även om den här processen är enkel kan en hög volym filer på en gång orsaka prestandapåverkan.

Föreslagna principändringar för Windows Server-operativsystem:

  • Aktivera Bakgrundsidentifiering av hot och kör det en gång.
  • Kontrollera att körningskontroll är aktiverat.
  • Inaktivera Håll utkik efter nya filer.

Med dessa rekommendationer föreslår det vanligtvis också att du innehåller enheter som kör serveroperativsystem i separata zoner. Information om hur du genererar zoner finns i Hantera zoner i Dell Threat Defense.

Politik Rekommenderad inställning
Filåtgärder  
Automatisk karantän med körningskontroll för osäkra Disabled (avaktiverad)
Automatisk karantän med körningskontroll för onormala Disabled (avaktiverad)
Aktivera automatisk borttagning av filer i karantän Disabled (avaktiverad)
Automatisk överföring Aktiverad
Principlista för säkra Miljöberoende
Skyddsinställningar  
Förhindra att tjänsten stängs av från enheten Disabled (avaktiverad)
Avsluta osäkra processer som körs och deras underprocesser Disabled (avaktiverad)
Bakgrundsidentifiering av hot Disabled (avaktiverad)
Kör en gång/kör återkommande Ej tillämpligt när Bakgrundsidentifiering av hot är angett till Avaktiverat
Håll utkik efter nya filer Disabled (avaktiverad)
Kopiera filexempel Miljöberoende
Agentinställningar  
Aktivera automatisk överföring av loggfiler Miljöberoende
Aktivera skrivbordsvarning Miljöberoende
Skriptkontroll  
Skriptkontroll Aktiverad
1370 och tidigare aktivt skript och PowerShell Varning
1380 och senare aktivt skript Varning
1380 och senare PowerShell Varning
Blockera PowerShell-konsolanvändning Ej tillämpligt när PowerShell är inställt på Alert
1380 och senare makron Varning
Avaktivera skriptkontroll – aktiva skript Disabled (avaktiverad)
Avaktivera Skriptkontroll PowerShell Disabled (avaktiverad)
Avaktivera skriptkontroll – makron Disabled (avaktiverad)
Mappundantag (inklusive undermappar) Miljöberoende
Politik Rekommenderad inställning
Filåtgärder  
Automatisk karantän med körningskontroll för osäkra Aktiverad
Automatisk karantän med körningskontroll för onormala Aktiverad
Aktivera automatisk borttagning av filer i karantän Miljöberoende
Automatisk överföring Miljöberoende
Principlista för säkra Miljöberoende
Skyddsinställningar  
Förhindra att tjänsten stängs av från enheten Aktiverad
Avsluta osäkra processer som körs och deras underprocesser Aktiverad
Bakgrundsidentifiering av hot Aktiverad
Kör en gång/kör återkommande Kör en gång
Håll utkik efter nya filer Aktiverad
Kopiera filexempel Miljöberoende
Agentinställningar  
Aktivera automatisk överföring av loggfiler Miljöberoende
Aktivera skrivbordsvarning Miljöberoende
Skriptkontroll  
Skriptkontroll Aktiverad
1370 och tidigare aktivt skript och PowerShell Blockera
1380 och senare aktivt skript Blockera
1380 och senare PowerShell Blockera
Blockera PowerShell-konsolanvändning Blockera
1380 och senare makron Blockera
Avaktivera skriptkontroll – aktiva skript Disabled (avaktiverad)
Avaktivera Skriptkontroll PowerShell Disabled (avaktiverad)
Avaktivera skriptkontroll – makron Disabled (avaktiverad)
Mappundantag (inklusive undermappar) Miljöberoende

Principdefinitioner för Threat Defense:

Filåtgärder

Automatisk karantän med körningskontroll för osäkra

Den här principen avgör vad som händer med de filer som identifieras när de körs. Som standard blockeras hotet även om en osäker fil identifieras som körande. Osäker karakteriseras av en ackumulerad poäng för den portabla körbara fil som överstiger 60 i poängsättningssystemet i Advanced Threat Prevention som baseras på de hotindikatorer som har utvärderats.

Automatisk karantän med körningskontroll för onormala

Den här principen avgör vad som händer med de filer som identifieras när de körs. Som standard blockeras hotet även om en onormal fil identifieras som att den körs. Onormal karakteriseras av en ackumulerad poäng för den portabla körbara fil som överstiger 0, men inte mer än 60 i poängsättningssystemet i Advanced Threat Prevention som baseras på de hotindikatorer som har utvärderats.

Aktivera automatisk borttagning av filer i karantän

När osäkra eller onormala filer placeras i karantän baserat på karantäner på enhetsnivå, globala karantänlistor eller principer för automatisk karantän hålls de i en lokal sandbox-cache med sandbox-karantän på den lokala enheten. När Aktivera automatisk borttagning av filer i karantän är aktiverat anges det antal dagar (minst 14 dagar, högst 365 dagar) som filen ska sparas på den lokala enheten innan den tas bort permanent. När detta är aktiverat går det att ändra antalet dagar.

Automatisk överföring

Markerar hot som inte har setts av Threat Defense SaaS-miljön (Software as a Service) för vidare analys. När en fil markeras som ett potentiellt hot av den lokala modellen tas en SHA256-hash från den portabla körbara filen och den skickas upp till SaaS. Om den SHA256-hash som skickades inte kan matchas till ett hot och Automatisk överföring är aktiverat möjliggörs säker överföring av hotet till SaaS för utvärdering. Dessa data lagras på ett säkert sätt och kan inte kommas åt av Dell eller dess partners.

Principlista för säkra

Principlistan för säkra är en lista över filer som har identifierats som säkra i miljön och som har godkänts manuellt genom att deras SHA256-hash samt eventuell ytterligare information skickats till den här listan. När en SHA256-hash placeras i den här listan utvärderas den inte av de lokala modellerna eller molnhotsmodellerna när filen körs. Det här är "Absolut"-filsökvägar.

Exempel på undantag:
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\

Skyddsinställningar

Avsluta osäkra processer som körs och deras underprocesser

När Avsluta osäkra processer som körs och deras underprocesser är aktiverade avgör detta om ett hot genererar underordnade processer eller om programmet har tagit över andra processer som för närvarande körs i minnet. Om det antas att en process har tagits över av ett hot avslutas omedelbart det primära hotet och alla processer som det har genererat eller för närvarande äger.

Bakgrundsidentifiering av hot

När Background Threat Detection är aktiverat söker du igenom hela enheten efter en portabel körbar fil och utvärderar sedan den körbara filen med den lokala hotmodellen och begär bekräftelse om poängsättning av den körbara filen med den molnbaserade SaaS baserat på hotindikatorerna för den körbara filen. Två alternativ är möjliga med Background Threat Detection: Kör en gång och kör återkommande. Kör en gång utför en bakgrundssökning av alla fysiska enheter som är anslutna till enheten då Threat Defense installeras och aktiveras. Kör återkommande utför en bakgrundssökning av alla anslutna enheter till enheten då Threat Defense installeras och aktiveras, och upprepar sökningen var nionde dag (kan inte konfigureras).

Håll utkik efter nya filer

När Håll utkik efter nya filer är aktiverat utvärderas alla portabla körbara filer som införs till enheten omedelbart med de hotindikatorer som visas med den lokala modellen, och den här poängen bekräftas mot den molnbaserade SaaS.

Kopiera filexempel

Kopiera filexempel gör att alla hot som hittas på enheten automatiskt kan spärras till ett definierat datalager baserat på UNC-sökvägen. Detta rekommenderas endast för intern hotforskning eller för att förvara en säker lagringsplats med bevarade hot i miljön. Alla filer som lagras av Kopiera filexempel komprimeras med lösenordet infected.

Agentinställningar

Aktivera automatisk överföring av loggfiler

Aktivera automatisk överföring av loggfiler gör det möjligt för slutpunkter att ladda upp sina loggfiler för Dell Threat Defense vid tolvslaget på natten eller när filen når 100 MB. Loggar överförs varje natt oavsett filstorlek. Alla loggar som överförs komprimeras innan de förs ut ur nätverket.

Aktivera skrivbordsvarning

Aktivera skrivbordsavisering gör det möjligt för enhetsanvändare att få meddelanden på sin enhet om en fil är markerad som onormal eller osäker. Det här är ett alternativ i högerklicksmenyn för Dell Threat Defense-ikonen på slutpunkter med den här principen aktiverad.

Skriptkontroll

Skriptkontroll

Skriptkontroll fungerar genom en minnesfilterbaserad lösning för att identifiera skript som körs på enheten och förhindra dem om principen är inställd på Blockera för den skripttypen. Varningsinställningar för de här principerna anger bara skript som skulle ha blockerats i loggar och i Dell Threat Defense-konsolen.

1370 och tidigare

Dessa principer gäller för klienter före 1370, som var tillgängliga före juni 2016. Endast skript som baseras på aktiva skript och PowerShell åtgärdas med dessa versioner.

1380 och senare

Dessa principer gäller för klienter efter 1370, som var tillgängliga efter juni 2016.

Aktivt skript

Aktiva skript omfattar alla skript som tolkas av Windows Script Host, inklusive JavaScript, VBScript, kommandofiler och många andra.

PowerShell

PowerShell-skript innehåller alla skript med flera rader som körs som ett enda kommando. (Standardinställning – Varning)

Blockera PowerShell-konsolanvändning – (finns inte när PowerShell är inställt på Varning)

I PowerShell v3 (introducerades i Windows 8.1) och senare körs de flesta PowerShell-skript som ett enkelradskommando; även om de kan innehålla flera rader körs de i ordning. Det kan kringgå PowerShell-skripttolken. Blockera PowerShell-konsolen kringgår detta genom att avaktivera möjligheten att ha program som startar PowerShell-konsolen. Integrated Scripting Environment (ISE) påverkas inte av den här principen.

Makron

Makroinställningen tolkar makron som finns i Office-dokument och PDF-filer och blockerar skadliga makron som kan försöka ladda ner hot.

Avaktivera skriptkontroll

Dessa principer avaktiverar helt möjligheten att ens varna om den skripttyp som definieras i varje princip. När funktionen är avaktiverad samlas ingen loggning in, och det utförs inga försök att upptäcka eller blockera potentiella hot.

Aktivt skript

När det här alternativet är markerat förhindras insamling av loggar och alla potentiella hot som baseras på aktiva skript blockeras. Aktiva skript omfattar alla skript som tolkas av Windows Script Host, inklusive JavaScript, VBScript, kommandofiler och många andra.

PowerShell

När det här alternativet är markerat förhindras insamling av loggar och alla potentiella PowerShell-baserade hot blockeras. PowerShell-skript innehåller alla skript med flera rader som körs som ett enda kommando.

Makron

När det här alternativet är markerat förhindras insamling av loggar och alla potentiella hot baserade på makron blockeras. Makroinställningen tolkar makron som finns i Office-dokument och PDF-filer och blockerar skadliga makron som kan försöka ladda ner hot.

Mappundantag (inklusive undermappar)

Mappundantag gör det möjligt att definiera vilka mappar som skript kan köras i som kan uteslutas. I det här avsnittet uppmanas du att ange undantag i ett format för relativ sökväg.

  • Mappsökvägar kan vara till en lokal enhet, en mappad nätverksenhet eller en UNC-sökväg (Universal Naming Convention).
  • Skriptmappundantag måste ange den relativa sökvägen för mappen eller undermappen.
  • En angiven mappsökväg omfattar även undermappar.
  • Jokerteckenundantag måste använda snedstreck i UNIX-format för Windows-datorer. Example: /windows/system*/.
  • Det enda tecken som stöds för jokertecken är *.
  • Mappundantag med jokertecken måste ha ett snedstreck i slutet av sökvägen för att särskilja en mapp och en fil.
    • Mappundantag: /windows/system32/*/
    • Filundantag: /windows/system32/*
  • Ett jokertecken måste läggas till för varje mappdjupsnivå. Till exempel /folder/*/script.vbs matchningar \folder\test\script.vbs eller \folder\exclude\script.vbs men inte fungerar för \folder\test\001\script.vbs. Det kräver antingen /folder/*/001/script.vbs eller /folder/*/*/script.vbs.
  • Jokertecken har stöd för fullständiga och partiella undantag.
    • Exempel med jokertecken för fullständigt jokertecken: /folder/*/script.vbs
    • Exempel med jokertecken för partiell matchning: /folder/test*/script.vbs
  • Nätverkssökvägar stöds även med jokertecken.
    • //*/login/application
    • //abc*/logon/application

Korrekt (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Korrekt (Windows): \Cases\ScriptsAllowed
Felaktig: C:\Application\SubFolder\application.vbs
Felaktig: \Program Files\Dell\application.vbs

Exempel på jokertecken:

/users/*/temp omfattar:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs omfattar:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Extra informatie

 

Video's

 

Getroffen producten

Dell Threat Defense
Artikeleigenschappen
Artikelnummer: 000124588
Artikeltype: Solution
Laatst aangepast: 20 dec. 2022
Versie:  11
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.