Zalecenia dotyczące zasad programu Dell Threat Defense

Zaleca się skonfigurowanie zasad w Trybie uczenia lub w Trybie chronionym. Tryb uczenia jest zalecany przez firmę Dell do testowania oprogramowania Dell Threat Defense w środowisku. Najbardziej efektywnym rozwiązaniem jest wdrożenie oprogramowania Dell Threat Defense na punktach końcowych przy użyciu standardowego obrazu dla danej firmy.

W przypadku serwerów aplikacji mogą być wymagane dodatkowe zmiany ze względu na większą niż normalnie liczbę operacji we/wy na dyskach.

Po rozwiązaniu przez administratora wszystkich alertów w konsoli administracyjnej programu Dell Threat Defense firma Dell zaleca przełączenie się do zalecanych zasad Trybu chronionego. Przed przełączeniem na zasady Trybu chronionego firma Dell zaleca kilkutygodniowe testowanie oprogramowania w Trybie uczenia.

Aby uzyskać więcej informacji, kliknij opcję Zalecenia dotyczące serwera aplikacji, Tryb uczenia lub Tryb chroniony.

Definicje zasad programu Threat Defense:

Operacje na plikach

Automatyczna kwarantanna z kontrolą wykonania dla niebezpiecznych

Ta zasada określa sposób postępowania z plikami wykrytymi podczas ich działania. Domyślnie, nawet jeśli niebezpieczny plik zostanie wykryty w trakcie działania, zagrożenie zostaje zablokowane. Pliki niebezpieczne to pliki o łącznym wyniku dla przenośnego pliku wykonywalnego powyżej 60 w ramach systemu oceny programu Advanced Threat Prevention opartego na wskaźnikach zagrożeń, które zostały ocenione.

Automatyczna kwarantanna z kontrolą wykonania dla nietypowych

Ta zasada określa sposób postępowania z plikami wykrytymi podczas ich działania. Domyślnie, nawet jeśli nietypowy plik zostanie wykryty w trakcie działania, zagrożenie zostaje zablokowane. Pliki nietypowe to pliki o łącznym wyniku dla przenośnego pliku wykonywalnego powyżej 0, ale poniżej 60 w ramach systemu oceny programu Advanced Threat Prevention opartego na wskaźnikach zagrożeń, które zostały ocenione.

Włącz automatyczne usuwanie plików poddanych kwarantannie

Gdy pliki niebezpieczne lub nietypowe zostają poddane kwarantannie na podstawie ustawień kwarantanny na poziomie urządzenia, globalnych list kwarantanny lub przez zasady automatycznej kwarantanny, są one przechowywane w lokalnej pamięci podręcznej kwarantanny w urządzeniu lokalnym. W przypadku włączenia automatycznego usuwania plików z kwarantanny opcja ta oznacza liczbę dni (minimalnie 14 dni, maksymalnie 365 dni), przez które pliki będą przechowywane w urządzeniu lokalnym przed ich trwałym usunięciem. Gdy ta opcja jest włączona, można zmodyfikować liczbę dni.

Automatyczne przesyłanie

Oznacza zagrożenia, które nie były dostępne dla środowiska Threat Defense SaaS (oprogramowanie jako usługa) do dalszej analizy. Po oznaczeniu pliku jako potencjalnego zagrożenia przez model lokalny wykonywany jest skrót SHA256 dla przenośnego pliku wykonywalnego, który jest wysyłany do SaaS. Jeśli wysłany skrót SHA256 nie pasuje do zagrożenia i funkcja automatycznego przesyłania jest włączona, umożliwia to bezpieczne przesłanie zagrożenia do SaaS w celu dokonania oceny. Dane te są przechowywane bezpiecznie i nie są dostępne dla firmy Dell ani jej partnerów.

Lista bezpiecznych dla zasady

Lista bezpiecznych dla zasady zawiera pliki, które zostały uznane za bezpieczne w środowisku i zostały ręcznie uchylone poprzez przesłanie ich skrótów SHA256 i dodatkowych informacji do tej listy. Gdy na liście zostanie umieszczony skrót SHA256, po uruchomieniu pliku nie jest on oceniany przez lokalny model zagrożeń ani model zagrożeń w chmurze. Są to „bezwzględne” ścieżki plików.

Przykładowe wykluczenia:

Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\

Ustawienia ochrony

Zamykaj niebezpieczne uruchomione procesy i ich procesy podrzędne

Kiedy funkcja Zamykaj niebezpieczne uruchomione procesy i ich procesy podrzędne jest włączona, określa, czy zagrożenie generuje procesy podrzędne, czy też aplikacja została przejęta przez inne procesy, które są aktualnie uruchomione w pamięci. Jeśli istnieje podejrzenie, że proces został przejęty przez zagrożenie, pierwotne zagrożenie i wszystkie procesy, które zostały wygenerowane przez ten proces lub aktualnie należące do tego procesu, zostają natychmiast przerwane.

Wykrywanie zagrożeń w tle

Kiedy opcja Wykrywanie zagrożeń w tle jest włączona, całe urządzenie jest skanowane w poszukiwaniu przenośnych plików wykonywalnych, a następnie wykonywana jest ocena tych plików przy użyciu lokalnego modelu zagrożeń i wysyłane jest żądanie potwierdzenia oceny pliku wykonywalnego przy życiu systemu SaaS w chmurze na podstawie wskaźników zagrożeń plików wykonywalnych. W przypadku wykrywania zagrożeń w tle dostępne są dwie opcje: Uruchom jednorazowo i Uruchom cyklicznie. Uruchamianie jednorazowe powoduje przeskanowanie w tle wszystkich fizycznych dysków podłączonych do urządzenia zaraz po zainstalowaniu i aktywowaniu programu Threat Defense. Uruchamianie cykliczne powoduje skanowanie w tle wszystkich urządzeń podłączonych do urządzenia w momencie zainstalowania i aktywowania programu Threat Defense, a następnie cyklicznie co dziewięć dni (ta wartość nie jest konfigurowalna).

Obserwuj nowe pliki

Gdy funkcja Obserwuj nowe pliki jest włączona, wszystkie przenośne pliki wykonywalne wprowadzone do urządzenia zostają natychmiast ocenione na podstawie wskaźników zagrożeń wyświetlanych przez model lokalny, a ocena zostaje potwierdzona względem SaaS w chmurze.

Kopiuj przykładowe pliki

Opcja Kopiuj przykładowe pliki umożliwia przekazywanie ewentualnych zagrożeń wykrytych w urządzeniu do określonego repozytorium na podstawie ścieżki UNC. Jest to zalecane tylko w przypadku wewnętrznego badania zagrożeń lub utrzymywania zabezpieczonego repozytorium zagrożeń w danym środowisku. Wszystkie pliki zapisane przez opcję Kopiuj przykładowe pliki są spakowane z hasłem infected.

Ustawienia agenta

Włącz automatyczne przesyłanie plików dziennika

Opcja Włącz automatyczne przesyłanie plików dziennika umożliwia punktom końcowym przesyłanie ich plików dzienników Dell Threat Defense o północy, a także wtedy, gdy plik osiągnie wielkość 100 MB. Dzienniki są przesyłane w porze nocnej niezależnie od rozmiaru pliku. Wszystkie przesyłane dzienniki zostają skompresowane przed przesłaniem do sieci.

Włącz powiadomienia na pulpicie

Opcja Włącz powiadomienia na pulpicie umożliwia użytkownikom urządzeń zezwalanie na wyświetlanie monitów w urządzeniu, jeśli plik jest oflagowany jako nietypowy lub niebezpieczny. Ta opcja jest dostępna w menu rozwijanym po kliknięciu prawym przyciskiem myszy ikony zasobnika Dell Threat Defense w punktach końcowych z włączoną tą zasadą.

Kontrola skryptu

Kontrola skryptu

Funkcja Kontrola skryptu działa za pośrednictwem rozwiązania opartego na filtrze pamięci w celu identyfikacji skryptów uruchamianych w urządzeniu i zapobieganiu ich działaniu, jeśli zasada jest ustawiona na wartość Blokuj dla danego typu skryptu. Ustawienia alertów dla tych zasad zawierają tylko skrypty, które zostałyby zablokowane w dziennikach i konsoli Dell Threat Defense.

1370 i poniżej

Zasady te mają zastosowanie do klientów starszych niż 1370, które były dostępne przed czerwcem 2016 roku. W przypadku tych wersji obsługiwane są tylko skrypty aktywne i skrypty PowerShell.

1380 i powyżej

Zasady te mają zastosowanie do klientów nowszych niż 1370, które były dostępne po czerwcu 2016 roku.

Aktywny skrypt

Aktywne skrypty obejmują wszelkie skrypty rozpoznawane przez hosta skryptów Windows, w tym JavaScript, VBScript, pliki wsadowe i wiele innych.

PowerShell

Skrypty programu PowerShell obejmują skrypty wielowierszowe uruchamiane jako pojedyncze polecenie. (Ustawienie domyślne — Alert)

Zablokuj korzystanie z konsoli PowerShell — (niedostępne, jeśli dla programu PowerShell wybrano ustawienie Alert)

W programie PowerShell w wersji 3 (wprowadzonej w systemie Windows 8.1) i nowszych większość skryptów programu PowerShell jest uruchamiana jako polecenia jednowierszowe, chociaż mogą one zawierać wiele wierszy, które są uruchamiane kolejno. Może to spowodować pominięcie interpretera skryptu programu PowerShell. Zablokowanie konsoli PowerShell to obejście tego problemu poprzez uniemożliwienie uruchamiania dowolnej aplikacji przy użyciu konsoli programu PowerShell. Zasada ta nie wpływa na środowisko Integrated Scripting Environment (ISE).

Makra

Ustawienie Makro umożliwia interpretowanie makr znajdujących się w dokumentach pakietu Office i plikach PDF oraz blokowanie złośliwych makr, które mogą próbować pobierać zagrożenia.

Wyłącz opcję sterowania skryptami

Te zasady umożliwiają całkowite wyłączenie alertu dla typu skryptu zdefiniowanego w ramach każdej zasady. Kiedy ta opcja jest wyłączona, nie są gromadzone żadne dane i nie będą podejmowane żadne próby wykrycia ani blokowania potencjalnych zagrożeń.

Aktywny skrypt

Jeśli to pole wyboru jest zaznaczone, zapobiega gromadzeniu dzienników i blokuje wszystkie potencjalne zagrożenia oparte na aktywnych skryptach. Aktywne skrypty obejmują wszelkie skrypty rozpoznawane przez hosta skryptów Windows, w tym JavaScript, VBScript, pliki wsadowe i wiele innych.

PowerShell

Jeśli to pole wyboru jest zaznaczone, zapobiega gromadzeniu dzienników i blokuje wszystkie potencjalne zagrożenia oparte na skryptach PowerShell. Skrypty programu PowerShell obejmują skrypty wielowierszowe uruchamiane jako pojedyncze polecenie.

Makra

Jeśli to pole wyboru jest zaznaczone, zapobiega gromadzeniu dzienników i blokuje wszystkie potencjalne zagrożenia oparte na makrach. Ustawienie Makro umożliwia interpretowanie makr znajdujących się w dokumentach pakietu Office i plikach PDF oraz blokowanie złośliwych makr, które mogą próbować pobierać zagrożenia.

Wykluczenia folderów (wraz z podfolderami)

Wykluczenia folderów umożliwiają określenie folderów, w których można uruchamiać skrypty. W tej sekcji należy określić wykluczenia w formacie ścieżki względnej.

• Ścieżki folderów mogą odnosić się do dysku lokalnego, zmapowanego dysku sieciowego lub ścieżki UNC.
• Wykluczenia folderów skryptów muszą określać względną ścieżkę do folderu lub podfolderu.
• Wszystkie określone ścieżki folderów obejmują również wszystkie podfoldery.
• W wykluczeniach symboli wieloznacznych w komputerach z systemem Windows należy używać prawych ukośników w stylu systemu UNIX. Przykład: /windows/system*/.
• Jedyny znak obsługiwany w przypadku symboli wieloznacznych to *.
• Aby odróżnić folder i plik, w wykluczeniach folderów z symbolem wieloznacznym na końcu ścieżki musi być ukośnik.
  • Wykluczenie folderu: /windows/system32/*/
  • Wykluczenie pliku: /windows/system32/*
• Do każdego poziomu folderu należy dodać symbol wieloznaczny. Na przykład zapis /folder/*/script.vbs odpowiada zapisowi \folder\test\script.vbs lub \folder\exclude\script.vbs, ale nie odpowiada zapisowi \folder\test\001\script.vbs. Wymaga to zapisu /folder/*/001/script.vbs lub /folder/*/*/script.vbs.
• Symbole wieloznaczne obsługują pełne i częściowe wykluczenia.
  • Przykład pełnego symbolu wieloznacznego: /folder/*/script.vbs
  • Przykład częściowego symbolu wieloznacznego: /folder/test*/script.vbs
• Obsługa symboli wieloznacznych obejmuje również ścieżki sieciowe.
  • //*/login/application
  • //abc*/logon/application

Prawidłowa (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Prawidłowa (system Windows): \Cases\ScriptsAllowed
Niepoprawnie: C:\Application\SubFolder\application.vbs
Niepoprawnie: \Program Files\Dell\application.vbs

Przykłady symboli wieloznacznych:

/users/*/temp obejmuje:

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs obejmuje:

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs