Treceți la conținutul principal

Como as ameaças são gerenciadas no Dell Endpoint Security Suite Enterprise

Summary: Como as ameaças são gerenciadas pelo Dell Endpoint Security Suite Enterprise.

Acest articol se aplică pentru Acest articol nu se aplică pentru Acest articol nu este legat de un produs specific. Acest articol nu acoperă toate versiunile de produs existente.

Symptoms

Nota:

Produtos afetados:

  • Dell Endpoint Security Suite Enterprise

O componente Advanced Threat Protection Client do Dell Endpoint Security Suite Enterprise usa três fases na redução de ameaças:

  • Detecção: Como uma ameaça é localizada.
  • Análise: Como um arquivo é identificado como uma ameaça.
  • Correção: Como as ameaças são tratadas
Nota:

Cause

Não aplicável

Resolution

Fase de detecção
Figura 1: (Somente em inglês) Fase de detecção

Hash de arquivo: Inicialmente, o client do Advanced Threat Protection verifica se a soma de verificação do arquivo (conhecida como hash) foi identificada anteriormente como uma ameaça. O hash pode ser definido como:

  • Lista segura o arquivo
  • Colocar o arquivo em quarentena

Se um hash não estiver disponível, o Advanced Threat Protection detectará ameaças por meio de:

  • Controle de execução: Arquivos iniciados (executar)
  • Varredura de processos: Processos em execução e configurados para inicialização automática
  • Proteção de memória: Dados na memória
  • Detecção de ameaças em segundo plano: O Advanced Threat Protection é executado em segundo plano e verifica tudo.

Se uma ameaça for detectada, o Advanced Threat Protection será movido para a fase de análise.

Fase de análise
Figura 2: (Somente em inglês) Fase de análise

Depois que uma ameaça é detectada, o Advanced Threat Protection classifica:

Se uma ameaça foi encontrada durante a fase de detecção, uma pontuação de ameaça local é atribuída.

Se o endpoint estiver conectado eon-line, o valor de hash da ameaça será enviado para a nuvem. Se a pontuação de ameaça na nuvem for diferente da pontuação de ameaça local, a pontuação de ameaça na nuvem será retransportada para o endpoint e a pontuação de ameaças na nuvem substituirá a pontuação de ameaça local.

Nota: As pontuações globais de ameaças são escolhidas acima do local, pois refletem as informações mais atualizadas sobre o arquivo. Se a política de upload automático estiver ativada e o hash da ameaça for desconhecido na nuvem, a ameaça será carregada para o tenant da Cylance.

Se a política de upload automático estiver ativada, a ameaça será carregada para o tenant da Cylance.

Depois que uma pontuação de ameaça é atribuída, os dados recebem um atributo inseguro ou anormal e, em seguida, o Advanced Threat Protection passa para a fase de remediação.

Fase de remediação
Figura 3: (Somente em inglês) Fase de remediação

Depois que uma pontuação e uma classificação de ameaça forem atribuídas, o Advanced Threat Protection determinará:

A ameaça deve ser listada com segurança? Em caso afirmativa, o hash de arquivo é adicionado ao endpoint e nenhuma outra ação é tomada no arquivo.

Se a ameaça não estiver listada com segurança, o Advanced Threat Protection verificará se a política quarentena automática está ativada. Se a quarentena automática estiver ativada, a ameaça será colocada em quarentena.

Se a quarentena automática não estiver habilitada, uma verificação será feita para determinar se o arquivo foi configurado manualmente para quarentena pelo administrador do DDP. Se a ameaça for definida para quarentena, o hash do arquivo será adicionado ao banco de dados local do endpoint e, em seguida, o arquivo será colocado em quarentena.

Se a ameaça não for listada com segurança ou colocada em quarentena, um alerta será enviado ao console para visibilidade e possível ação da administração do DDP.


Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

 

Produse afectate

Dell Endpoint Security Suite Enterprise
Proprietăți articol
Article Number: 000126777
Article Type: Solution
Ultima modificare: 14 nov. 2023
Version:  9
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.