Dell Threat Defense utiliza políticas para lo siguiente:
Productos afectados:
Dell Threat Defense
No corresponde.
Para obtener más información, haga clic en Recommended Policies o Policy Definitions.
Se recomienda configurar las políticas en el Modo de aprendizaje o Modo de protección. El Modo de aprendizaje es la forma en que Dell recomienda probar Dell Threat Defense en un entorno. Esto es más eficaz cuando Dell Threat Defense se implementa en terminales con la imagen de la empresa estándar.
Es posible que se requieran más cambios en los servidores de aplicaciones, debido a una mayor cantidad de I/O en el disco de lo normal.
Una vez que el administrador haya abordado todas las alertas en la consola administrativa de Dell Threat Defense, Dell recomienda cambiar a las recomendaciones de políticas del Modo de protección. Dell recomienda un par de semanas o más de pruebas en el Modo de aprendizaje antes de cambiar a las políticas del Modo de protección.
Para obtener más información, haga clic en Application Server Recommendations, Learning Mode o Protect Mode.
En los modos de aprendizaje y de protección, los servidores de aplicaciones pueden experimentar un comportamiento sobrecargado y diferente en los sistemas operativos del cliente. En pocas ocasiones, la cuarentena automática (AQT) impedía la ejecución de algunos archivos hasta que se pudiera calcular una calificación. Esto se ha observado cuando una aplicación detecta el bloqueo de sus archivos como manipulación, o cuando un proceso puede no completarse con éxito en un plazo previsto.
Si la opción Watch For New Files está habilitada, podría ralentizar las operaciones del dispositivo. Cuando se genera un nuevo archivo, se realiza un análisis a este. Aunque este proceso es ligero, un gran volumen de archivos a la vez puede causar un impacto en el rendimiento.
Cambios de políticas sugeridos para sistemas operativos Windows Server:
Por lo general, junto con estas recomendaciones, también se sugiere contener los dispositivos que ejecutan sistemas operativos de servidor en zonas separadas. Para obtener más información sobre la generación de zonas, consulte Cómo administrar zonas en Dell Threat Defense.
Política | Configuración recomendada |
---|---|
Acciones de archivos | |
Cuarentena automática con control de ejecución para no seguro | Deshabilitado |
Cuarentena automática con control de ejecución para anómalo | Deshabilitado |
Habilitar la eliminación automática de los archivos en cuarentena | Deshabilitado |
Carga automática | Habilitado |
Lista segura de políticas | Dependiente del entorno |
Configuración de protección | |
Impedir el apagado del servicio desde el dispositivo | Deshabilitado |
Cerrar procesos en ejecución no seguros y los subprocesos | Deshabilitado |
Detección de amenazas de fondo | Deshabilitado |
Ejecutar una vez/ejecutar de forma periódica | N/A cuando la protección contra amenazas de fondo está configurada como Deshabilitada |
Buscar nuevos archivos | Deshabilitado |
Copiar muestras de archivos | Dependiente del entorno |
Configuración del agente | |
Habilitar la carga automática de archivos de registro | Dependiente del entorno |
Habilitar notificación en escritorio | Dependiente del entorno |
Control de scripts | |
Control de scripts | Habilitado |
Script activo y PowerShell 1370 y versiones anteriores | Alerta |
Script activo 1380 y versiones posteriores | Alerta |
PowerShell 1380 y versiones posteriores | Alerta |
Bloquear el uso de la consola de PowerShell | N/A cuando PowerShell se configura como Alerta |
Macros 1380 y versiones posteriores | Alerta |
Deshabilitar el script activo de control de script | Deshabilitado |
Deshabilitar PowerShell de control de script | Deshabilitado |
Deshabilitar macros de control de script | Deshabilitado |
Exclusiones de carpetas (incluye subcarpetas) | Dependiente del entorno |
Política | Configuración recomendada |
---|---|
Acciones de archivos | |
Cuarentena automática con control de ejecución para no seguro | Habilitado |
Cuarentena automática con control de ejecución para anómalo | Habilitado |
Habilitar la eliminación automática de los archivos en cuarentena | Dependiente del entorno |
Carga automática | Dependiente del entorno |
Lista segura de políticas | Dependiente del entorno |
Configuración de protección | |
Impedir el apagado del servicio desde el dispositivo | Habilitado |
Cerrar procesos en ejecución no seguros y los subprocesos | Habilitado |
Detección de amenazas de fondo | Habilitado |
Ejecutar una vez/ejecutar de forma periódica | Ejecutar una vez |
Buscar nuevos archivos | Habilitado |
Copiar muestras de archivos | Dependiente del entorno |
Configuración del agente | |
Habilitar la carga automática de archivos de registro | Dependiente del entorno |
Habilitar notificación en escritorio | Dependiente del entorno |
Control de scripts | |
Control de scripts | Habilitado |
Script activo y PowerShell 1370 y versiones anteriores | Bloquear |
Script activo 1380 y versiones posteriores | Bloquear |
PowerShell 1380 y versiones posteriores | Bloquear |
Bloquear el uso de la consola de PowerShell | Bloquear |
Macros 1380 y versiones posteriores | Bloquear |
Deshabilitar el script activo de control de script | Deshabilitado |
Deshabilitar PowerShell de control de script | Deshabilitado |
Deshabilitar macros de control de script | Deshabilitado |
Exclusiones de carpetas (incluye subcarpetas) | Dependiente del entorno |
En esta política, se determina lo que ocurre con los archivos detectados a medida que se ejecutan. La amenaza se bloquea de manera predeterminada, incluso cuando se detecta un archivo no seguro en estado de ejecución. La denominación No seguro se caracteriza por una puntuación acumulativa del archivo ejecutable portátil que supera los 60 en el sistema de puntuación de Advanced Threat Prevention, según los indicadores de amenazas que se evaluaron.
En esta política, se determina lo que ocurre con los archivos detectados a medida que se ejecutan. La amenaza se bloquea de manera predeterminada, incluso cuando se detecta un archivo anómalo en estado de ejecución. La denominación Anómalo se caracteriza por una puntuación acumulativa del archivo ejecutable portátil que supera el 0, pero no excede los 60, en el sistema de puntuación de Advanced Threat Prevention, según los indicadores de amenazas que se evaluaron.
Cuando los archivos no seguros o anómalos se ponen en cuarentena según las cuarentenas a nivel de dispositivo, las listas de cuarentena global o las políticas de cuarentena automática, estos se conservan en una caché de cuarentena local en un espacio aislado dentro del sistema local. Cuando la opción Enable auto-delete for quarantined files está activada, esta denota la cantidad de días (un mínimo de 14 días y un máximo de 365 días) que se conservará el archivo en el dispositivo local antes de eliminarlo de forma permanente. Cuando esta opción está habilitada, es posible realizar una modificación en la cantidad de días.
Marca las amenazas que el entorno de SaaS (software como servicio) de Threat Defense no detectó para un análisis más profundo. Cuando el modelo local marca un archivo como posible amenaza, se obtiene un hash SHA256 del archivo ejecutable portátil, el que se envía al SaaS. Si el algoritmo hash SHA256 enviado no se puede relacionar con una amenaza y la Carga automática está habilitada, se realizará una carga segura de la amenaza en el SaaS para evaluarla. Estos datos se almacenan de manera segura y Dell o sus socios no pueden acceder a ellos.
La Lista segura de políticas es una lista de archivos que se determinaron como seguros dentro del entorno y que se eximieron de forma manual mediante el envío del hash SHA256 y cualquier información adicional a esta lista. Cuando se coloca un hash SHA256 dentro de esta lista, cuando se ejecuta el archivo, los modelos de amenazas locales o en la nube no lo evalúan. Estas son rutas de acceso a archivos “absolutas”.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
Cuando se activa Kill unsafe running processes and their sub processes, se determina si una amenaza genera procesos secundarios o si la aplicación tomó el control de otros procesos que se ejecutan en la memoria en ese momento. Si se cree que una amenaza tomó el control de un proceso, se cierran de inmediato la amenaza principal y cualquier proceso que haya generado o que sea actualmente de su propiedad.
Cuando la opción Background Threat Detection está activada, se analiza todo el dispositivo en busca de cualquier archivo ejecutable portátil. Luego, se evalúa ese archivo con el modelo de amenazas local y se solicita una confirmación de la puntuación del archivo ejecutable con el SaaS basado en la nube según los indicadores de amenazas del archivo ejecutable. Dos opciones son posibles con Background Threat Detection: Run Once y Run Recurring. La opción Run Once realiza un análisis en segundo plano de todas las unidades físicas conectadas al dispositivo cuando Threat Defense se instala y activa. La opción Run Recurring realiza un análisis en segundo plano de todos los dispositivos conectados al dispositivo cuando Threat Defense se instala y activa, y repite el análisis cada nueve días (no configurable).
Cuando la opción Watch for New Files está habilitada, cualquier ejecutable portátil que se introduzca al dispositivo se evalúa de forma inmediata con los indicadores de amenazas que se muestran con el modelo local, y esta puntuación se confirmará en relación al SaaS alojado en la nube.
La opción Copy Files Samples permite depositar de forma automática cualquier amenaza que se encuentre en el dispositivo dentro de un repositorio definido según la ruta de acceso UNC. Esto solo se recomienda para la investigación de amenazas interna o para mantener un repositorio seguro de las amenazas contenidas dentro del entorno. Todos los archivos almacenados en Copy File Samples se comprimen con la contraseña infected
.
La opción Enable Auto-Upload of log files permite que los terminales carguen los archivos de registro en Dell Threat Defense a la medianoche, o cuando el archivo alcance los 100 Mb. Los registros se cargan por la noche, sin importar el tamaño del archivo. Todos los registros que se transfieren se comprimen antes de que salgan de la red.
La opción Enable Desktop Notification permite que los usuarios del dispositivo habiliten los avisos en el dispositivo si un archivo se marca como anómalo o no seguro. Esta es una opción dentro del menú accesible haciendo clic con el botón secundario en el icono de la bandeja de Dell Threat Defense de los terminales con esta política habilitada.
El control de scripts funciona a través de una solución basada en filtro de memoria para identificar los scripts que se ejecutan en el dispositivo y evitarlos si la política está configurada en “Block for that script type”. La configuración de alertas de estas políticas solo nota scripts que se habrían bloqueado dentro de los registros y en la consola de Dell Threat Defense.
Estas políticas se aplican a los clientes anteriores a la versión 1370, que estaba disponible antes de junio del 2016. En estas versiones, solo se realizan acciones en los scripts activos y los scripts basados en PowerShell.
Estas políticas se aplican a los clientes posteriores a la versión 1370, que estaba disponible después de junio del 2016.
Los scripts activos incluyen cualquier script que se interprete mediante el host de script de Windows, incluidos JavaScript, VBScript, archivos por lotes y muchos otros.
Los scripts de PowerShell incluyen cualquier script de varias líneas que se ejecuta como un solo comando. (Configuración predeterminada: alerta)
En PowerShell v3 (presentado en Windows 8.1) y versiones posteriores, la mayoría de los scripts de PowerShell se ejecutan como un comando de una sola línea. Aunque pueden contener varias líneas, se ejecutan en orden. Esto puede omitir el intérprete de scripts de PowerShell. La opción Block PowerShell console funciona en torno a esto, ya que deshabilita la capacidad para que cualquier aplicación inicie la consola de PowerShell. Esta política no afecta al entorno de scripting integrado (ISE).
La configuración de Macro interpreta las macros que están presentes dentro de los documentos de Office y archivos PDF, y bloquea las macros maliciosas que puedan intentar descargar amenazas.
Estas políticas deshabilitan por completo la capacidad de incluso alertar sobre el tipo de script definido dentro de cada política. Cuando está deshabilitado, no se recolecta ningún registro y no se realiza ningún intento de detección o de bloqueo de posibles amenazas.
Cuando se selecciona esta opción, se impide la recopilación de registros y se bloquean todas las posibles amenazas basadas en scripts activos. Los scripts activos incluyen cualquier script que se interprete mediante el host de script de Windows, incluidos JavaScript, VBScript, archivos por lotes y muchos otros.
Cuando se selecciona esta opción, se impide la recopilación de registros y se bloquean todas las posibles amenazas basadas en Powershell. Los scripts de PowerShell incluyen cualquier script de varias líneas que se ejecuta como un solo comando.
Cuando se selecciona esta opción, se impide la recopilación de registros y se bloquean todas las posibles amenazas basadas en macros. La configuración de Macro interpreta las macros que están presentes dentro de los documentos de Office y archivos PDF, y bloquea las macros maliciosas que puedan intentar descargar amenazas.
Las exclusiones de carpetas permiten definir las carpetas en las que se pueden ejecutar los scripts y en los que se pueden excluir. En esta sección, se solicitan exclusiones en un formato de ruta de acceso relativa.
/windows/system*/
./windows/system32/*/
/windows/system32/*
/folder/*/script.vbs
coincide con \folder\test\script.vbs
o \folder\exclude\script.vbs
, pero no funciona para \folder\test\001\script.vbs
. Esto requeriría /folder/*/001/script.vbs
o /folder/*/*/script.vbs
./folder/*/script.vbs
/folder/test*/script.vbs
//*/login/application
//abc*/logon/application
Correcto (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correcto (Windows): \Cases\ScriptsAllowed
Incorrecto: C:\Application\SubFolder\application.vbs
Incorrecto: \Program Files\Dell\application.vbs
Ejemplos de comodín:
/users/*/temp
cubriría lo siguiente:
\users\john\temp
\users\jane\temp
/program files*/app/script*.vbs
cubriría lo siguiente:
\program files(x86)\app\script1.vbs
\program files(x64)\app\script2.vbs
program files(x64)\app\script3.vbs
Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.