Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Dell Threat Defense – Richtlinienempfehlungen

Сводка: Erfahren Sie mehr über empfohlene Policies und Policy-Definitionen für Dell Threat Defense.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Инструкции

Hinweis:

Dell Threat Defense verwendet Richtlinien für Folgendes:

  • Festlegen, wie auf Bedrohungen reagiert wird
  • Festlegen, was mit unter Quarantäne gestellten Dateien geschieht
  • Konfigurieren der Skriptsteuerung

Betroffene Produkte:

  • Dell Threat Defense

Klicken Sie auf Empfohlene Policies oder Richtliniendefinitionen , um weitere Informationen zu erhalten.

Richtliniendfinitionen für Threat Defense:

Dateiaktionen

Automatische Quarantäne mit Ausführungssteuerung für "unsicher"

Diese Richtlinie legt fest, was mit Dateien geschieht, die während der Ausführung erkannt werden. Standardmäßig wird die Bedrohung gesperrt, selbst wenn eine nicht sichere Datei als ausgeführt erkannt wird. "Unsicher" ist gekennzeichnet durch eine kumulative Bewertung für die portable ausführbare Datei von mehr als 60 innerhalb des Bewertungssystems von Advanced Threat Prevention, das auf ausgewerteten Bedrohungsindikatoren basiert.

Automatische Quarantäne mit Ausführungssteuerung für "ungewöhnlich"

Diese Richtlinie legt fest, was mit Dateien geschieht, die während der Ausführung erkannt werden. Standardmäßig wird die Bedrohung gesperrt, selbst wenn eine ungewöhnliche Datei als ausgeführt erkannt wird. "Abnormal" ist gekennzeichnet durch eine kumulative Bewertung für die portable ausführbare Datei, die 0, aber 60 innerhalb des Bewertungssystems von Advanced Threat Prevention nicht überschreitet. Das Scoring-System basiert auf ausgewerteten Bedrohungsindikatoren.

Automatisches Löschen für in Quarantäne gestellte Dateien aktivieren

Werden unsichere oder ungewöhnliche Dateien auf Geräteebene in Quarantäne verschoben, entweder durch globale Quarantänelisten oder gemäß automatischen Quarantäne-Richtlinien, werden sie in einem Sandbox-Quarantäne-Cache auf dem lokalen Gerät gespeichert. Wenn Automatisches Löschen für isolierte Dateien aktivieren aktiviert ist, gibt dies die Anzahl der Tage (mindestens 14 Tage, maximal 365 Tage) an, um die Datei auf dem lokalen Gerät zu behalten, bevor die Datei endgültig gelöscht wird. Wenn diese Option aktiviert ist, kann die Anzahl der Tage geändert werden.

Automatischer Upload

Markiert Bedrohungen, die von der Threat Defense SaaS-Umgebung (Software-as-a-Service) nicht erkannt wurden, für weitere Analysen. Wenn eine Datei als potenzielle Bedrohung durch das lokale Modell markiert wird, wird ein SHA256-Hash der Portable Executable erstellt und diese wird an die SaaS gesendet. Wenn der SHA256-Hash, der gesendet wurde, nicht einer Bedrohung zugeordnet werden kann und der automatische Upload aktiviert ist, ermöglicht dies das sichere Hochladen der Bedrohung an die SaaS zur Evaluierung. Diese Daten werden sicher gespeichert und können nicht von Dell oder ihren Partnern abgerufen werden.

Sichere Liste der Richtlinie

Die "sichere Liste für Richtlinien" ist eine Liste der Dateien, die in der Umgebung als sicher festgelegt und manuell eingestuft wurden, indem ihr SHA256-Hash und alle zusätzlichen Informationen in diese Liste übermittelt wurden. Wenn ein SHA256-Hash in diese Liste eingefügt wird, wird er, wenn die Datei ausgeführt wird, nicht durch die lokalen oder die Cloud-Bedrohungsmodelle ausgewertet. Hierbei handelt es sich um "absolute" Dateipfade.

Beispiel-Ausschlüsse:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Schutzeinstellungen

Unsichere laufende Prozesse und ihre Unterprozesse beenden

Wenn die Option Unsichere laufende Prozesse und ihre Unterprozesse beenden aktiviert ist, wird ermittelt, ob eine Bedrohung untergeordnete Prozesse erzeugt oder ob die Anwendung andere Prozesse übernommen hat, die derzeit im Arbeitsspeicher ausgeführt werden. Wenn die Annahme besteht, dass ein Prozess von einer Bedrohung übernommen wurde, werden die primäre Bedrohung und alle Prozesse, die sie erzeugt hat oder derzeit besitzt, sofort beendet.

Hintergrunderkennung von Bedrohungen

Wenn die Hintergrunderkennung von Bedrohungen aktiviert ist, durchsucht sie das gesamte Gerät nach portablen ausführbaren Dateien, wertet diese ausführbare Datei dann mit dem lokalen Bedrohungsmodell aus und fordert eine Bestätigung für die Bewertung der ausführbaren Datei mit der Cloud-basierten SaaS basierend auf den Bedrohungsindikatoren der ausführbaren Datei an. Bei der Hintergrunderkennung von Bedrohungen sind zwei Optionen möglich: Einmal ausführen und wiederkehrend ausführen. Einmal ausführen führt einen Scan im Hintergrund aller physischen Laufwerke durch, die mit dem Gerät verbunden sind, sobald Threat Defense installiert und aktiviert wird. Wiederkehrend ausführen führt einen Hintergrundscan aller Geräte durch, die mit dem Gerät verbunden sind, sobald Threat Defense installiert und aktiviert ist. Der Scan wird alle neun Tage wiederholt (nicht konfigurierbar).

Auf neue Dateien überwachen

Wenn "Nach neuen Dateien suchen " aktiviert ist, wird jede portable ausführbare Datei, die auf dem Gerät eingeführt wird, sofort mit den Bedrohungsindikatoren bewertet, die mithilfe des lokalen Modells angezeigt werden, und diese Bewertung wird anhand des in der Cloud gehosteten SaaS bestätigt.

Dateibeispiele kopieren

Mit "Copy File Samples " können alle Bedrohungen, die auf dem Gerät gefunden werden, automatisch in einem definierten Repository basierend auf dem UNC-Pfad hinterlegt werden. Dies wird nur für die interne Bedrohungsforschung oder für die Verwaltung eines sicheren Repositorys von gepackten Bedrohungen in der Umgebung empfohlen. Alle Dateien, die von Copy File Samples gespeichert werden, werden mit dem Kennwort infected.

Agent-Einstellungen

Automatisches Hochladen von Protokolldateien aktivieren

Die Option Automatischen Upload von Protokolldateien aktivieren ermöglicht es Endpunkten, ihre Protokolldateien für Dell Threat Defense jede Nacht um Mitternacht hochzuladen oder wenn die Datei 100 MB erreicht. Protokolle werden unabhängig von der Dateigröße nächtlich hochgeladen. Alle Protokolle, die übertragen werden, werden komprimiert, bevor sie aus dem Netzwerk versendet werden.

Desktopbenachrichtigung aktivieren

Mit Desktopbenachrichtigungen aktivieren können Gerätenutzer Eingabeaufforderungen auf ihrem Gerät zulassen, wenn eine Datei als anormal oder unsicher markiert ist. Dies ist eine Option im Kontextmenü des Dell Threat Defense Benachrichtigungsfeldsymbols auf Endpunkten, auf denen diese Richtlinie aktiviert ist.

Skriptkontrolle

Skriptkontrolle

Script Control arbeitet über eine speicherfilterbasierte Lösung, um Skripte zu identifizieren, die auf dem Gerät ausgeführt werden, und sie zu verhindern, wenn die Richtlinie für diesen Skripttyp auf "Blockieren" festgelegt ist. In den Warnmeldungseinstellungen für diese Policys werden nur Skripte aufgelistet, die in den Protokollen und auf der Dell Threat Defense-Konsole gesperrt worden wären.

1370 und niedriger

Diese Policys gelten für Clients vor Version 1370, die vor Juni 2016 verfügbar waren. Nur Active Scripts und PowerShell-basierte Skripte werden mit diesen Versionen verarbeitet.

1380 und höher

Diese Richtlinien gelten für Clients nach Version 1370, die ab Juni 2016 verfügbar waren.

Active Script

Active Scripts umfasst alle Skripts, die vom Windows Skript-Host interpretiert werden, einschließlich JavaScript, VBScript, Batchdateien und vielem mehr.

PowerShell

PowerShell-Skripte umfassen alle mehrzeiligen Skripte, die mit einem einzigen Befehl ausgeführt werden. (Standardeinstellung – Warnmeldung)

PowerShell-Konsolennutzung sperren – (nicht vorhanden, wenn PowerShell auf „Warnung“ eingestellt ist)

In PowerShell Version 3 (unter Windows 8.1 eingeführt) und höher werden die meisten PowerShell-Skripte als einzeiliger Befehl ausgeführt. Obwohl sie mehrere Zeilen enthalten können, werden sie in der angegebenen Reihenfolge ausgeführt. Dies kann den PowerShell-Skript-Interpreter umgehen. Die Konsole zum Sperren von PowerShell funktioniert in diesem Fall, indem verhindert wird, dass eine beliebige Anwendung die PowerShell-Konsole startet. Die integrierte Scripting-Umgebung (Integrated Scripting Environment, ISE) wird von dieser Richtlinie nicht beeinflusst.

Makros

Die Makroeinstellung interpretiert Makros, die in Office-Dokumenten und PDF-Dateien vorhanden sind, und sperrt schädliche Makros, die möglicherweise versuchen, Bedrohungen herunterzuladen.

Skriptkontrolle deaktivieren

Diese Richtlinien deaktivieren vollständig die Fähigkeit, eine Warnmeldung zu den in jeder Richtlinie definierten Skripttypen zu erstellen. Wenn diese Option deaktiviert ist, werden keine Protokolle erfasst, und es wird kein Versuch unternommen, potenzielle Bedrohungen zu erkennen oder zu sperren.

Active Script

Wenn diese Option aktiviert ist, wird die Erfassung von Protokollen verhindert und alle potenziellen Active Script-basierten Bedrohungen blockiert. Active Scripts umfasst alle Skripts, die vom Windows Skript-Host interpretiert werden, einschließlich JavaScript, VBScript, Batchdateien und vielem mehr.

PowerShell

Wenn diese Option aktiviert ist, wird die Erfassung von Protokollen verhindert und potenzielle PowerShell-basierte Bedrohungen blockiert. PowerShell-Skripte umfassen alle mehrzeiligen Skripte, die mit einem einzigen Befehl ausgeführt werden.

Makros

Wenn diese Option aktiviert ist, wird die Erfassung von Protokollen verhindert und potenzielle makrobasierte Bedrohungen blockiert. Die Makroeinstellung interpretiert Makros, die in Office-Dokumenten und PDF-Dateien vorhanden sind, und sperrt schädliche Makros, die möglicherweise versuchen, Bedrohungen herunterzuladen.

Ausgeschlossene Ordner (mit Unterordnern)

Das Ausschließen von Ordnern ermöglicht das Festlegen von Ordnern, in denen Skripte ausgeführt werden können. In diesem Abschnitt werden Ausnahmen in einem relativen Pfadformat angefordert.

  • Bei Ordnerpfaden kann es sich um Pfade zu einem lokalen Laufwerk oder einem zugewiesenen Netzlaufwerk oder um UNC-Pfade handeln.
  • Ausgeschlossene Skriptordner müssen den relativen Pfad für den Ordner oder Unterordner angeben.
  • Alle angegebenen Ordnerpfade umfassen auch sämtliche Unterordner.
  • Für Platzhalterausschlüsse müssen Schrägstriche im UNIX-Stil für Windows-Computer verwendet werden. Beispiel: /windows/system*/.
  • Das einzige für Platzhalter unterstützte Zeichen ist *.
  • Pfade für Ausschlüsse von Ordnern mit einem Platzhalter müssen zur Unterscheidung zwischen einem Ordner und eine Datei mit einem Schrägstrich enden.
    • Ordnerausschluss: /windows/system32/*/
    • Dateiausschluss: /windows/system32/*
  • Ein Platzhalter muss für jede Ebene der Ordnertiefe hinzugefügt werden. Zum Beispiel: /folder/*/script.vbs Streichhölzer \folder\test\script.vbs oder \folder\exclude\script.vbs funktioniert aber nicht für \folder\test\001\script.vbs. Dies würde entweder /folder/*/001/script.vbs oder /folder/*/*/script.vbs.
  • Platzhalter unterstützen vollständige und teilweise Ausschlüsse.
    • Beispiel für vollständigen Platzhalter: /folder/*/script.vbs
    • Beispiel für einen partiellen Platzhalter: /folder/test*/script.vbs
  • Netzwerkpfade werden ebenfalls mit Platzhaltern unterstützt.
    • //*/login/application
    • //abc*/logon/application

Richtig (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Richtig (Windows): \Cases\ScriptsAllowed
Falsch: C:\Application\SubFolder\application.vbs
Falsch: \Program Files\Dell\application.vbs

Platzhalterbeispiele:

/users/*/temp Folgendes abdecken würde:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs Folgendes abdecken würde:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

Дополнительная информация

 

Видео

 

Затронутые продукты

Dell Threat Defense
Свойства статьи
Номер статьи: 000124588
Тип статьи: How To
Последнее изменение: 04 Nov 2024
Версия:  12
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.