Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Рекомендации по политикам Dell Threat Defense

Сводка: Узнайте о рекомендуемых политиках и определениях политик для Dell Threat Defense.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Инструкции

Примечание.

Dell Threat Defense использует политики для следующего:

  • определение способов устранения угроз;
  • определение действий с файлами, помещенными в карантин;
  • настройка управления сценариями.

Затронутые продукты:

  • Dell Threat Defense

Для получения дополнительной информации нажмите Рекомендуемые политики или Определения политик .

Определения политик Threat Defense

Действия с файлами

Автоматический карантин с контролем выполнения для небезопасных

Эта политика определяет, что происходит с файлами, которые обнаруживаются во время их запуска. По умолчанию: даже если небезопасный файл определяется как выполняющийся, угроза будет заблокирована. Небезопасный характеризуется совокупной оценкой переносимого исполняемого файла, превышающей 60 баллов в системе оценки Advanced Threat Prevention, основанной на оцененных индикаторах угроз.

Автоматический карантин с контролем выполнения для аномальных

Эта политика определяет, что происходит с файлами, которые обнаруживаются во время их запуска. По умолчанию: даже если аномальный файл определяется как выполняющийся, угроза будет заблокирована. «Аномальный» характеризуется совокупной оценкой для переносимого исполняемого файла, которая превышает 0, но не превышает 60 в системе оценки Advanced Threat Prevention. Система скоринга основана на показателях угроз, которые были оценены.

Включить автоудаление для файлов в карантине

Если небезопасные или аномальные файлы помещаются в карантин на основе карантина на уровне устройства, глобальных списков карантина или политик автоматического карантина, они будут храниться в локальном изолированном кэше карантина на локальном устройстве. Если параметр Включить автоматическое удаление для файлов, помещенных в карантин, указано количество дней (минимум 14 дней, максимум 365 дней), в течение которых файл должен храниться на локальном устройстве, прежде чем файл будет окончательно удален. Когда эта функция включена, можно менять количество дней.

Автоматическая выгрузка

Помечает угрозы, которые не были обнаружены SaaS-средой Threat Defense, для дальнейшего анализа. Когда файл помечен локальной моделью как потенциальная угроза, хэш SHA256 берется из переносимого исполняемого файла и отправляется в SaaS. Если отправленный хэш SHA256 не может быть сопоставлен с угрозой, и включена автоматическая отправка, это позволяет безопасно отправить угрозу в SaaS для оценки. Эти данные хранятся в безопасном месте и недоступны для компании Dell и ее партнеров.

Список безопасных политик

Список безопасных файлов в политике — это список файлов, которые были признаны безопасными в среде и были отклонены вручную путем отправки хэша SHA256 и любой дополнительной информации в этот список. Когда хэш SHA256 помещается в этот список, файл при запуске не будет оцениваться локальной или облачной моделью угроз. Это «абсолютные» пути к файлам.

Примеры исключений:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Protection Settings

Kill unsafe running processes and their sub processes

Если включен параметр Завершать небезопасные запущенные процессы и их подпроцессы , это определяет, порождает ли угроза дочерние процессы или приложение взяло на себя другие процессы, которые в данный момент выполняются в памяти. Если есть предположение, что процесс был захвачен угрозой, первичная угроза и все процессы, которые она породила или которыми она владеет в настоящее время, немедленно завершаются.

Background Threat Detection

При включении функции фонового обнаружения угроз все устройство сканируется на наличие любых портативных исполняемых файлов, а затем оценивается этот исполняемый файл с помощью локальной модели угроз и запрашивается подтверждение для оценки исполняемого файла с помощью облачного SaaS на основе индикаторов угроз исполняемого файла. При использовании функции фонового обнаружения угроз возможны два варианта: Запуск один раз и запуск повторения. Запустить один раз выполняет фоновое сканирование всех физических накопителей, подключенных к устройству, в момент установки и активации Threat Defense. Повторяющийся запуск выполняет фоновое сканирование всех устройств, подключенных к устройству, в момент установки и активации Threat Defense. Сканирование повторяется каждые девять дней (не настраивается).

Просмотр новых файлов

Если включена функция «Отслеживание новых файлов », любой портативный исполняемый файл, который появляется на устройстве, немедленно оценивается с помощью индикаторов угроз, которые отображаются с использованием локальной модели, и эта оценка подтверждается с помощью облачного SaaS.

Copy File Samples

Copy File Samples позволяет автоматически депонировать любые угрозы, обнаруженные на устройстве, в определенный репозиторий на основе UNC-пути. Это рекомендуется только для исследования внутренних угроз или для содержания безопасного репозитория запакованных угроз в среде. Все файлы, хранящиеся в Copy File Samples , заархивируются с паролем infected.

Agent Settings

Включить автоматическую отправку файлов журналов

Включение автоматической загрузки файлов журналов позволяет конечным точкам загружать свои файлы журналов для Dell Threat Defense каждую ночь в полночь или когда размер файла достигает 100 Мбайт. Журналы отправляются каждую ночь независимо от размера файла. Все переданные журналы сжимаются перед выходом из сети.

Включить уведомление на рабочем столе

Включение уведомлений на рабочем столе позволяет пользователям устройств разрешать отправку запросов, если файл помечен как ненормальный или небезопасный. Этот пункт содержится в контекстном меню значка Dell Threat Defense на панели задач конечных устройств с включенной политикой.

Script Control

Script Control

Управление сценариями работает с помощью решения на основе фильтра памяти для выявления сценариев, выполняемых на устройстве, и предотвращения их, если для этого типа сценариев задано значение «Block». Настройки оповещений в этих политиках содержат только те сценарии, которые были заблокированы в журналах и на консоли Dell Threat Defense.

1370 и ниже

Эти политики применяются к клиентам до версии 1370, которые были выпущены до июня 2016 года. С этими версиями работают только сценарии на основе Active Script и PowerShell.

1380 и выше

Эти политики применяются к клиентам версии 1370 и выше, которые были выпущены после июня 2016 года.

Active Script

Сценарии Active Script включают любой сценарий, интерпретируемый хостом сценариев Windows, включая JavaScript, VBScript, пакетные файлы и многое другое.

PowerShell

Сценарии PowerShell включают любой многострочный сценарий, который выполняется как одна команда. (Настройка по умолчанию — «Оповещение»)

Блокировать использование консоли PowerShell (отсутствует, если для PowerShell установлено значение «Оповещение»)

В PowerShell v3 (начиная с Windows 8.1) и более поздних версиях большинство сценариев PowerShell выполняются как одна команда; хотя они могут содержать несколько строк, они выполняются в порядке очереди. Это может обойти интерпретатор сценария PowerShell. Блокировка консоли PowerShell позволяет обойти такое поведение, отключая для любого приложения возможность запуска консоли PowerShell. Эта политика не влияет на интегрированную среду сценариев (ISE).

Macros

Параметр «Макрос» интерпретирует макросы, содержащиеся в документах Office и PDF, и блокирует вредоносные макросы, которые могут попытаться скачать угрозы.

Отключить управление сценариями

Эти политики полностью запрещают даже оповещение о типе сценария, определенном в каждой политике. Если эта функция отключена, сбор журналов не выполняется и попытки обнаружения или блокировки потенциальных угроз не предпринимаются.

Active Script

Если этот флажок установлен, предотвращает сбор журналов и блокирует любые потенциальные угрозы на основе активных сценариев. Сценарии Active Script включают любой сценарий, интерпретируемый хостом сценариев Windows, включая JavaScript, VBScript, пакетные файлы и многое другое.

PowerShell

Если этот флажок установлен, предотвращает сбор журналов и блокирует любые потенциальные угрозы на основе PowerShell. Сценарии PowerShell включают любой многострочный сценарий, который выполняется как одна команда.

Macros

Если этот флажок установлен, предотвращает сбор журналов и блокирует любые потенциальные угрозы на основе макросов. Параметр «Макрос» интерпретирует макросы, содержащиеся в документах Office и PDF, и блокирует вредоносные макросы, которые могут попытаться скачать угрозы.

Folder Exclusions (includes subfolders)

Исключения папок позволяют определять папки, в которых могут выполняться сценарии, доступные для исключения. В этом разделе исключения запрашиваются в формате относительного пути.

  • Пути к папкам могут быть на локальных дисках, подключенных сетевых дисках или являться универсальным путем именования (UNC).
  • Исключения папок сценариев должны указывать относительный путь к папке или подпапке.
  • Любой указанный путь к папке также включает любые подпапки.
  • В исключениях с подстановочными знаками для компьютеров Windows должны использоваться косые черты в стиле UNIX. Пример. /windows/system*/.
  • Из подстановочных знаков поддерживается только символ *.
  • Исключения папок с подстановочным знаком должны иметь косую черту в конце пути, чтобы различать папки и файлы.
    • Исключение папки: /windows/system32/*/
    • Исключение файла: /windows/system32/*
  • Для каждого уровня глубины папки необходимо добавлять подстановочный знак. Например: /folder/*/script.vbs спички \folder\test\script.vbs или \folder\exclude\script.vbs но не работает для \folder\test\001\script.vbs. Для этого потребуется либо /folder/*/001/script.vbs или /folder/*/*/script.vbs.
  • Подстановочные знаки поддерживают полное и частичное исключение.
    • Пример полного подстановочного знака: /folder/*/script.vbs
    • Пример частичного подстановочного знака: /folder/test*/script.vbs
  • Сетевые пути также поддерживаются подстановочными знаками.
    • //*/login/application
    • //abc*/logon/application

Правильный (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Правильный (Windows): \Cases\ScriptsAllowed
Неправильно: C:\Application\SubFolder\application.vbs
Неправильно: \Program Files\Dell\application.vbs

Примеры подстановочных знаков:

/users/*/temp охватывает:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs охватывает:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Дополнительная информация

 

Видео

 

Затронутые продукты

Dell Threat Defense
Свойства статьи
Номер статьи: 000124588
Тип статьи: How To
Последнее изменение: 04 Nov 2024
Версия:  12
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.