Dell Threat Defense – Richtlinienempfehlungen

Es wird empfohlen, dass Richtlinien im Lernmodus oder im Schutzmodus eingerichtet werden. Im Lernmodus wird empfohlen, Dell Threat Defense in einer Umgebung zu testen. Dies ist am effektivsten, wenn Dell Threat Defense auf Endpunkten mit dem standardmäßigen Unternehmens-Image bereitgestellt wird.

Zusätzliche Änderungen sind möglicherweise für Anwendungsserver erforderlich, weil mehr Festplatten-E/A-Daten als gewöhnlich erforderlich sind.

Nachdem alle Warnmeldungen in der Administrationskonsole von Dell Threat Defense durch den Administrator behoben wurden, empfiehlt Dell, zu den empfohlenen Richtlinien für den Schutzmodus zu wechseln. Dell empfiehlt vor der Umstellung auf die Schutzmodusrichtlinien einige Wochen oder mehr an Tests im Lernmodus durchzuführen.

Klicken Sie auf Anwendungsserver-Empfehlungen, Lernmodus oder Schutzmodus, um weitere Informationen zu erhalten.

Richtliniendfinitionen für Threat Defense:

Dateiaktionen

Automatische Quarantäne mit Ausführungssteuerung für "unsicher"

Mit dieser Richtlinie wird festgelegt, was mit den Dateien geschieht, die bei der Ausführung erkannt werden. Standardmäßig wird die Bedrohung gesperrt, selbst wenn eine nicht sichere Datei als ausgeführt erkannt wird. Die Einstufung „Unsafe“ (unsicher) erfolgt durch eine kumulative Punktzahl über 60 für die Portable Executable im Bewertungssystem von Advanced Threat Prevention, basierend auf den bewerteten Bedrohungsindikatoren.

Automatische Quarantäne mit Ausführungssteuerung für "ungewöhnlich"

Mit dieser Richtlinie wird festgelegt, was mit den Dateien geschieht, die bei der Ausführung erkannt werden. Standardmäßig wird die Bedrohung gesperrt, selbst wenn eine ungewöhnliche Datei als ausgeführt erkannt wird. Die Einstufung „Abnormal“ (ungewöhnlich) entsteht durch eine kumulative Punktzahl über 0, aber unter 60, für die Portable Executable im Bewertungssystem von Advanced Threat Prevention, basierend auf den bewerteten Bedrohungsindikatoren.

Automatisches Löschen für in Quarantäne gestellte Dateien aktivieren

Werden unsichere oder ungewöhnliche Dateien auf Geräteebene in Quarantäne verschoben, entweder durch globale Quarantänelisten oder gemäß automatischen Quarantäne-Richtlinien, werden sie in einem Sandbox-Quarantäne-Cache auf dem lokalen Gerät gespeichert. Wenn die Option „Enable auto-delete for quarantined files“ zum automatischen Löschen von in Quarantäne gestellten Dateien aktiviert ist, wird die Anzahl der Tage (mindestens 14, maximal 365) für die Aufbewahrung der Datei auf dem lokalen System angegeben, bevor die Datei dauerhaft gelöscht wird. Wenn diese Option aktiviert ist, kann die Anzahl der Tage geändert werden.

Automatischer Upload

Markiert Bedrohungen, die von der Threat Defense SaaS-Umgebung (Software-as-a-Service) nicht erkannt wurden, für weitere Analysen. Wenn eine Datei als potenzielle Bedrohung durch das lokale Modell markiert wird, wird ein SHA256-Hash der Portable Executable erstellt und diese wird an die SaaS gesendet. Wenn der SHA256-Hash, der gesendet wurde, nicht einer Bedrohung zugeordnet werden kann und der automatische Upload aktiviert ist, ermöglicht dies das sichere Hochladen der Bedrohung an die SaaS zur Evaluierung. Diese Daten werden sicher gespeichert und können nicht von Dell oder ihren Partnern abgerufen werden.

Sichere Liste der Richtlinie

Die "sichere Liste für Richtlinien" ist eine Liste der Dateien, die in der Umgebung als sicher festgelegt und manuell eingestuft wurden, indem ihr SHA256-Hash und alle zusätzlichen Informationen in diese Liste übermittelt wurden. Wenn ein SHA256-Hash in diese Liste eingefügt wird, wird er, wenn die Datei ausgeführt wird, nicht durch die lokalen oder die Cloud-Bedrohungsmodelle ausgewertet. Dies sind „absolute“ Dateipfade.

Beispiel-Ausschlüsse:

Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\

Schutzeinstellungen

Unsichere laufende Prozesse und ihre Unterprozesse beenden

Wenn „Kill unsafe running processes and their sub processes“ zum Beenden unsicherer laufender Prozesse und ihre Unterprozesse aktiviert ist, wird festgelegt, ob eine Bedrohung untergeordnete Prozesse erzeugt, oder ob die Anwendung andere Prozesse übernommen hat, die derzeit im Speicher ausgeführt werden. Wenn die Annahme besteht, dass ein Prozess von einer Bedrohung übernommen wurde, werden die primäre Bedrohung und alle Prozesse, die sie erzeugt hat oder derzeit besitzt, unverzüglich beendet.

Hintergrunderkennung von Bedrohungen

Wenn die Hintergrunderkennung von Bedrohungen aktiviert ist, wird das gesamte System auf alle Portable Executable-Dateien hin gescannt, diese gemäß dem lokalen Bedrohungsmodell bewertet und eine Bestätigung für die Bewertung der ausführbaren Datei bei der cloudbasierten SaaS basierend auf den Bedrohungsindikatoren der ausführbaren Datei angefordert. Mit Background Threat Detection sind zwei Optionen möglich: „Run Once“ und „Run Recurring“. „Run Once“ führt eine Hintergrundüberprüfung aller physischen Laufwerke durch, die mit dem System verbunden sind, sobald Threat Defense installiert und aktiviert ist. Mit „Run Recurring“ werden alle verbundenen Geräte im Hintergrund gescannt, sobald Threat Defense installiert und aktiviert ist, und der Scan wird alle neun Tage (derzeit nicht konfigurierbar) wiederholt.

Auf neue Dateien überwachen

Wenn die Option „Watch for New Files“ aktiviert ist, werden alle Portable Executable-Dateien, die dem System hinzugefügt werden, sofort anhand der Bedrohungsindikatoren bewertet, die über das lokale Modell angezeigt werden. Diese Bewertung wird mit der in der Cloud gehosteten SaaS abgeglichen.

Dateibeispiele kopieren

Anhand der kopierten Dateibeispiele können alle Bedrohungen, die auf dem Gerät gefunden werden, automatisch in einem definierten Repository basierend auf einem UNC-Pfad hinterlegt werden. Dies wird nur für die interne Bedrohungsforschung oder für die Verwaltung eines sicheren Repositorys von gepackten Bedrohungen in der Umgebung empfohlen. Alle Dateien, die durch „Copy File Samples“ gespeichert werden, werden in eine .zip-Datei mit dem Passwort infected gepackt.

Agent-Einstellungen

Automatisches Hochladen von Protokolldateien aktivieren

Das automatische Hochladen von Protokolldateien ermöglicht es Endpunkten, ihre Protokolldateien für Dell Threat Defense jede Nacht um Mitternacht hochzuladen, oder wenn die Datei 100 MB erreicht. Protokolle werden unabhängig von der Dateigröße nächtlich hochgeladen. Alle Protokolle, die übertragen werden, werden komprimiert, bevor sie aus dem Netzwerk versendet werden.

Desktopbenachrichtigung aktivieren

Mit der Option „Enable Desktop Notification“ können GerätenutzerInnen Benachrichtigungen auf ihrem Gerät zulassen, wenn eine Datei als ungewöhnlich oder unsicher gekennzeichnet wird. Dies ist eine Option im Kontextmenü des Dell Threat Defense Benachrichtigungsfeldsymbols auf Endpunkten, auf denen diese Richtlinie aktiviert ist.

Skriptkontrolle

Skriptkontrolle

Die Skriptkontrolle arbeitet mit einer speicherfilterbasierten Lösung, um Skripte zu identifizieren, die auf dem Gerät ausgeführt werden, und um das zu verhindern, wenn die Policy für den Skripttyp auf „Block“ gesetzt ist. In den Warnmeldungseinstellungen für diese Policys werden nur Skripte aufgelistet, die in den Protokollen und auf der Dell Threat Defense-Konsole gesperrt worden wären.

1370 und niedriger

Diese Policys gelten für Clients vor Version 1370, die vor Juni 2016 verfügbar waren. Nur Active Scripts und PowerShell-basierte Skripte werden mit diesen Versionen verarbeitet.

1380 und höher

Diese Richtlinien gelten für Clients nach Version 1370, die ab Juni 2016 verfügbar waren.

Active Script

Active Scripts umfasst alle Skripts, die vom Windows Skript-Host interpretiert werden, einschließlich JavaScript, VBScript, Batchdateien und vielem mehr.

PowerShell

PowerShell-Skripte umfassen alle mehrzeiligen Skripte, die mit einem einzigen Befehl ausgeführt werden. (Standardeinstellung – Warnmeldung)

PowerShell-Konsolennutzung sperren – (nicht vorhanden, wenn PowerShell auf „Warnung“ eingestellt ist)

In PowerShell Version 3 (unter Windows 8.1 eingeführt) und höher werden die meisten PowerShell-Skripte als einzeiliger Befehl ausgeführt. Obwohl sie mehrere Zeilen enthalten können, werden sie in der angegebenen Reihenfolge ausgeführt. Dies kann den PowerShell-Skript-Interpreter umgehen. Die Konsole zum Sperren von PowerShell funktioniert in diesem Fall, indem verhindert wird, dass eine beliebige Anwendung die PowerShell-Konsole startet. Die integrierte Scripting-Umgebung (Integrated Scripting Environment, ISE) wird von dieser Richtlinie nicht beeinflusst.

Makros

Die Makroeinstellung interpretiert Makros, die in Office-Dokumenten und PDF-Dateien vorhanden sind, und sperrt schädliche Makros, die möglicherweise versuchen, Bedrohungen herunterzuladen.

Skriptkontrolle deaktivieren

Diese Richtlinien deaktivieren vollständig die Fähigkeit, eine Warnmeldung zu den in jeder Richtlinie definierten Skripttypen zu erstellen. Wenn diese Option deaktiviert ist, werden keine Protokolle erfasst, und es wird kein Versuch unternommen, potenzielle Bedrohungen zu erkennen oder zu sperren.

Active Script

Wenn diese Option aktiviert ist, wird die Erfassung von Protokollen verhindert und alle potenziellen Active-Script-basierten Bedrohungen werden gesperrt. Active Scripts umfasst alle Skripts, die vom Windows Skript-Host interpretiert werden, einschließlich JavaScript, VBScript, Batchdateien und vielem mehr.

PowerShell

Wenn diese Option aktiviert ist, wird die Erfassung von Protokollen verhindert und alle potenziellen PowerShell-basierten Bedrohungen werden gesperrt. PowerShell-Skripte umfassen alle mehrzeiligen Skripte, die mit einem einzigen Befehl ausgeführt werden.

Makros

Wenn diese Option aktiviert ist, wird die Erfassung von Protokollen verhindert und alle potenziellen makrobasierten Bedrohungen werden gesperrt. Die Makroeinstellung interpretiert Makros, die in Office-Dokumenten und PDF-Dateien vorhanden sind, und sperrt schädliche Makros, die möglicherweise versuchen, Bedrohungen herunterzuladen.

Ausgeschlossene Ordner (mit Unterordnern)

Das Ausschließen von Ordnern ermöglicht das Festlegen von Ordnern, in denen Skripte ausgeführt werden können. In diesem Abschnitt werden Ausnahmen in einem relativen Pfadformat angefordert.

• Bei Ordnerpfaden kann es sich um Pfade zu einem lokalen Laufwerk oder einem zugewiesenen Netzlaufwerk oder um UNC-Pfade handeln.
• Ausgeschlossene Skriptordner müssen den relativen Pfad für den Ordner oder Unterordner angeben.
• Alle angegebenen Ordnerpfade umfassen auch sämtliche Unterordner.
• Für Platzhalterausschlüsse müssen Schrägstriche im UNIX-Stil für Windows-Computer verwendet werden. Beispiel: /windows/system*/.
• Das einzige für Platzhalter unterstützte Zeichen ist *.
• Pfade für Ausschlüsse von Ordnern mit einem Platzhalter müssen zur Unterscheidung zwischen einem Ordner und eine Datei mit einem Schrägstrich enden.
  • Ausschluss von Ordnern: /windows/system32/*/
  • Ausschluss von Dateien: /windows/system32/*
• Ein Platzhalter muss für jede Ebene der Ordnertiefe hinzugefügt werden. Beispiel: /folder/*/script.vbs entspricht \folder\test\script.vbs oder \folder\exclude\script.vbs, funktioniert aber nicht für \folder\test\001\script.vbs. Hierfür ist entweder /folder/*/001/script.vbs oder /folder/*/*/script.vbs erforderlich.
• Platzhalter unterstützen vollständige und teilweise Ausschlüsse.
  • Beispiel für vollständigen Platzhalter: /folder/*/script.vbs
  • Beispiel für partiellen Platzhalter: /folder/test*/script.vbs
• Netzwerkpfade werden ebenfalls mit Platzhaltern unterstützt.
  • //*/login/application
  • //abc*/logon/application

Richtig (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Richtig (Windows): \Cases\ScriptsAllowed
Falsch: C:\Application\SubFolder\application.vbs
Falsch: \Program Files\Dell\application.vbs

Platzhalterbeispiele:

/users/*/temp würde Folgendes abdecken:

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs würde Folgendes abdecken:

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs