Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Zalecenia dotyczące zasad programu Dell Threat Defense

Сводка: Dowiedz się więcej na temat zalecanych zasad i definicji zasad dla programu Dell Threat Defense.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Инструкции

Uwaga:

Program Dell Threat Defense używa zasad w celu:

  • Określenia sposobu obsługi zagrożeń
  • Określenia sposobu postępowania z plikami objętymi kwarantanną
  • Konfigurowania sterowania skryptami

Dotyczy produktów:

  • Dell Threat Defense

Aby uzyskać więcej informacji, kliknij opcję Zalecane zasady lub Definicje zasad.

Definicje zasad programu Threat Defense:

Operacje na plikach

Automatyczna kwarantanna z kontrolą wykonania dla niebezpiecznych

Te zasady określają, co dzieje się z plikami wykrytymi podczas ich uruchamiania. Domyślnie, nawet jeśli niebezpieczny plik zostanie wykryty w trakcie działania, zagrożenie zostaje zablokowane. Wartość Niebezpieczny charakteryzuje się skumulowanym wynikiem dla przenośnego pliku wykonywalnego, który przekracza 60 w systemie punktacji Advanced Threat Prevention, który jest oparty na ocenionych wskaźnikach zagrożeń.

Automatyczna kwarantanna z kontrolą wykonania dla nietypowych

Te zasady określają, co dzieje się z plikami wykrytymi podczas ich uruchamiania. Domyślnie, nawet jeśli nietypowy plik zostanie wykryty w trakcie działania, zagrożenie zostaje zablokowane. Nietypowy charakteryzuje się skumulowanym wynikiem dla przenośnego pliku wykonywalnego, który przekracza 0, ale nie przekracza 60 w systemie punktacji Advanced Threat Prevention. System punktacji opiera się na ocenionych wskaźnikach zagrożeń.

Włącz automatyczne usuwanie plików poddanych kwarantannie

Gdy pliki niebezpieczne lub nietypowe zostają poddane kwarantannie na podstawie ustawień kwarantanny na poziomie urządzenia, globalnych list kwarantanny lub przez zasady automatycznej kwarantanny, są one przechowywane w lokalnej pamięci podręcznej kwarantanny w urządzeniu lokalnym. Kiedy opcja Włącz automatyczne usuwanie plików objętych kwarantanną jest włączona, oznacza liczbę dni (minimum 14 dni, maksimum 365 dni), przez które plik jest przechowywany na urządzeniu lokalnym przed jego trwałym usunięciem. Gdy ta opcja jest włączona, można zmodyfikować liczbę dni.

Automatyczne przesyłanie

Oznacza zagrożenia, które nie były dostępne dla środowiska Threat Defense SaaS (oprogramowanie jako usługa) do dalszej analizy. Po oznaczeniu pliku jako potencjalnego zagrożenia przez model lokalny wykonywany jest skrót SHA256 dla przenośnego pliku wykonywalnego, który jest wysyłany do SaaS. Jeśli wysłany skrót SHA256 nie pasuje do zagrożenia i funkcja automatycznego przesyłania jest włączona, umożliwia to bezpieczne przesłanie zagrożenia do SaaS w celu dokonania oceny. Dane te są przechowywane bezpiecznie i nie są dostępne dla firmy Dell ani jej partnerów.

Lista bezpiecznych dla zasady

Lista bezpiecznych dla zasady zawiera pliki, które zostały uznane za bezpieczne w środowisku i zostały ręcznie uchylone poprzez przesłanie ich skrótów SHA256 i dodatkowych informacji do tej listy. Gdy na liście zostanie umieszczony skrót SHA256, po uruchomieniu pliku nie jest on oceniany przez lokalny model zagrożeń ani model zagrożeń w chmurze. Są to "bezwzględne" ścieżki plików.

Przykładowe wykluczenia:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Ustawienia ochrony

Zamykaj niebezpieczne uruchomione procesy i ich procesy podrzędne

Gdy włączona jest opcja Kill unsafe uruchomione procesy i ich procesy podrzędne , określa, czy zagrożenie generuje procesy podrzędne, czy też aplikacja przejęła inne procesy, które są aktualnie uruchomione w pamięci. Jeśli istnieje przekonanie, że proces został przejęty przez zagrożenie, zagrożenie główne i wszystkie procesy, które wygenerowało lub które obecnie posiada, są natychmiast przerywane.

Wykrywanie zagrożeń w tle

Funkcja wykrywania zagrożeń w tle, jeśli jest włączona, skanuje całe urządzenie w poszukiwaniu przenośnego pliku wykonywalnego, a następnie ocenia ten plik wykonywalny przy użyciu lokalnego modelu zagrożeń i żąda potwierdzenia oceny pliku wykonywalnego w chmurowym SaaS na podstawie wskaźników zagrożeń pliku wykonywalnego. W przypadku wykrywania zagrożeń w tle dostępne są dwie opcje: Uruchom raz i uruchom cyklicznie. Opcja Uruchom jednorazowo przeprowadza skanowanie w tle wszystkich dysków fizycznych podłączonych do urządzenia w momencie instalacji i aktywacji funkcji Threat Defense. Uruchom cyklicznie wykonuje skanowanie w tle wszystkich urządzeń podłączonych do urządzenia w momencie zainstalowania i aktywacji funkcji Threat Defense. Skanowanie jest powtarzane co dziewięć dni (brak możliwości skonfigurowania).

Obserwuj nowe pliki

Po włączeniu funkcji Obserwuj nowe pliki każdy przenośny plik wykonywalny wprowadzony do urządzenia jest natychmiast oceniany przy użyciu wskaźników zagrożeń wyświetlanych przy użyciu modelu lokalnego, a ten wynik jest potwierdzany względem hostowanego w chmurze SaaS.

Kopiuj przykładowe pliki

Kopiowanie próbek plików umożliwia automatyczne deponowanie wszelkich zagrożeń znalezionych na urządzeniu w zdefiniowanym repozytorium na podstawie ścieżki UNC. Jest to zalecane tylko w przypadku wewnętrznego badania zagrożeń lub utrzymywania zabezpieczonego repozytorium zagrożeń w danym środowisku. Wszystkie pliki przechowywane przez funkcję kopiowania próbek plików są skompresowane przy użyciu hasła infected.

Ustawienia agenta

Włącz automatyczne przesyłanie plików dziennika

Opcja Włącz automatyczne przesyłanie plików dziennika umożliwia punktom końcowym przesyłanie plików dziennika do programu Dell Threat Defense co noc o północy lub gdy rozmiar pliku osiągnie 100 MB. Dzienniki są przesyłane w porze nocnej niezależnie od rozmiaru pliku. Wszystkie przesyłane dzienniki zostają skompresowane przed przesłaniem do sieci.

Włącz powiadomienia na pulpicie

Opcja Włącz powiadomienia na pulpicie umożliwia użytkownikom urządzeń zezwalanie na monity na swoich urządzeniach, jeśli plik jest oznaczony jako nieprawidłowy lub niebezpieczny. Ta opcja jest dostępna w menu rozwijanym po kliknięciu prawym przyciskiem myszy ikony zasobnika Dell Threat Defense w punktach końcowych z włączoną tą zasadą.

Kontrola skryptu

Kontrola skryptu

Funkcja kontroli skryptów działa za pośrednictwem rozwiązania opartego na filtrze pamięci w celu identyfikowania skryptów uruchomionych na urządzeniu i zapobiegania im, jeśli zasady są ustawione na Blokuj dla tego typu skryptu. Ustawienia alertów dla tych zasad zawierają tylko skrypty, które zostałyby zablokowane w dziennikach i konsoli Dell Threat Defense.

1370 i poniżej

Zasady te mają zastosowanie do klientów starszych niż 1370, które były dostępne przed czerwcem 2016 roku. W przypadku tych wersji obsługiwane są tylko skrypty aktywne i skrypty PowerShell.

1380 i powyżej

Zasady te mają zastosowanie do klientów nowszych niż 1370, które były dostępne po czerwcu 2016 roku.

Aktywny skrypt

Aktywne skrypty obejmują wszelkie skrypty rozpoznawane przez hosta skryptów Windows, w tym JavaScript, VBScript, pliki wsadowe i wiele innych.

PowerShell

Skrypty programu PowerShell obejmują skrypty wielowierszowe uruchamiane jako pojedyncze polecenie. (Ustawienie domyślne — Alert)

Zablokuj korzystanie z konsoli PowerShell — (niedostępne, jeśli dla programu PowerShell wybrano ustawienie Alert)

W programie PowerShell w wersji 3 (wprowadzonej w systemie Windows 8.1) i nowszych większość skryptów programu PowerShell jest uruchamiana jako polecenia jednowierszowe, chociaż mogą one zawierać wiele wierszy, które są uruchamiane kolejno. Może to spowodować pominięcie interpretera skryptu programu PowerShell. Zablokowanie konsoli PowerShell to obejście tego problemu poprzez uniemożliwienie uruchamiania dowolnej aplikacji przy użyciu konsoli programu PowerShell. Zasada ta nie wpływa na środowisko Integrated Scripting Environment (ISE).

Makra

Ustawienie Makro umożliwia interpretowanie makr znajdujących się w dokumentach pakietu Office i plikach PDF oraz blokowanie złośliwych makr, które mogą próbować pobierać zagrożenia.

Wyłącz opcję sterowania skryptami

Te zasady umożliwiają całkowite wyłączenie alertu dla typu skryptu zdefiniowanego w ramach każdej zasady. Kiedy ta opcja jest wyłączona, nie są gromadzone żadne dane i nie będą podejmowane żadne próby wykrycia ani blokowania potencjalnych zagrożeń.

Aktywny skrypt

Kiedy ta opcja jest zaznaczona, zapobiega gromadzeniu dzienników i blokuje wszelkie potencjalne zagrożenia oparte na aktywnych skryptach. Aktywne skrypty obejmują wszelkie skrypty rozpoznawane przez hosta skryptów Windows, w tym JavaScript, VBScript, pliki wsadowe i wiele innych.

PowerShell

Gdy ta opcja jest zaznaczona, zapobiega zbieraniu dzienników i blokuje wszelkie potencjalne zagrożenia oparte na programie PowerShell. Skrypty programu PowerShell obejmują skrypty wielowierszowe uruchamiane jako pojedyncze polecenie.

Makra

Zaznaczenie tej opcji uniemożliwia gromadzenie dzienników i blokuje wszelkie potencjalne zagrożenia oparte na makrach. Ustawienie Makro umożliwia interpretowanie makr znajdujących się w dokumentach pakietu Office i plikach PDF oraz blokowanie złośliwych makr, które mogą próbować pobierać zagrożenia.

Wykluczenia folderów (wraz z podfolderami)

Wykluczenia folderów umożliwiają określenie folderów, w których można uruchamiać skrypty. W tej sekcji należy określić wykluczenia w formacie ścieżki względnej.

  • Ścieżki folderów mogą odnosić się do dysku lokalnego, zmapowanego dysku sieciowego lub ścieżki UNC.
  • Wykluczenia folderów skryptów muszą określać względną ścieżkę do folderu lub podfolderu.
  • Wszystkie określone ścieżki folderów obejmują również wszystkie podfoldery.
  • W wykluczeniach symboli wieloznacznych w komputerach z systemem Windows należy używać prawych ukośników w stylu systemu UNIX. Przykład: /windows/system*/.
  • Jedyny znak obsługiwany w przypadku symboli wieloznacznych to *.
  • Aby odróżnić folder i plik, w wykluczeniach folderów z symbolem wieloznacznym na końcu ścieżki musi być ukośnik.
    • Wykluczenie folderu: /windows/system32/*/
    • Wykluczenie pliku: /windows/system32/*
  • Do każdego poziomu folderu należy dodać symbol wieloznaczny. Na przykład: /folder/*/script.vbs Pasuje \folder\test\script.vbs lub \folder\exclude\script.vbs ale nie dziala dla \folder\test\001\script.vbs. Wymagałoby to /folder/*/001/script.vbs lub /folder/*/*/script.vbs.
  • Symbole wieloznaczne obsługują pełne i częściowe wykluczenia.
    • Przykład pełnego symbolu wieloznacznego: /folder/*/script.vbs
    • Przykład częściowego symbolu wieloznacznego: /folder/test*/script.vbs
  • Obsługa symboli wieloznacznych obejmuje również ścieżki sieciowe.
    • //*/login/application
    • //abc*/logon/application

Prawidłowa (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Prawidłowa (system Windows): \Cases\ScriptsAllowed
Niepoprawnie: C:\Application\SubFolder\application.vbs
Niepoprawnie: \Program Files\Dell\application.vbs

Przykłady symboli wieloznacznych:

/users/*/temp obejmować:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs obejmować:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

Дополнительная информация

 

Видео

 

Затронутые продукты

Dell Threat Defense
Свойства статьи
Номер статьи: 000124588
Тип статьи: How To
Последнее изменение: 04 Nov 2024
Версия:  12
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.