Dell Threat Defensen suositellut käytännöt

Käytännöt on suositeltavaa määrittää Oppimistilassa tai Suojaustilassa. Dell Technologies suosittelee Dell Threat Defensen testaamista ympäristössä oppimistilassa. Tämä on tehokkainta, kun Dell Threat Defense otetaan käyttöön päätepisteissä tavallisesta yrityslevykuvasta.

Sovelluspalvelimissa voi olla tarpeellista tehdä muutoksia levyjen tavallista suuremman tiedonsiirron vuoksi.

Kun järjestelmänvalvoja on ratkaissut kaikki hälytykset Dell Threat Defense -hallintakonsolissa, Dell Technologies suosittelee siirtymistä suojaustilan käytäntösuosituksiin. Dell Technologies suosittelee vähintään muutaman viikon testausta oppimistilassa, ennen kuin siirryt suojaustilan käytäntöihin.

Saat lisätietoja valitsemalla Sovelluspalvelimen suositukset, Oppimistila tai Suojaustila.

Sovelluspalvelimen suositukset

Sekä Oppimistilassa että Suojaustilassa toimivat sovelluspalvelimet voivat kuormittua enemmän ja käyttäytyä eri tavalla kuin työasemien käyttöjärjestelmät. Automaattinen karanteeni -toiminto on joissain harvinaisissa tapauksissa estänyt joidenkin tiedostojen suorittamisen, ennen kuin niille on laskettu arvosana. Näin on havaittu, kun sovellus havaitsee tiedostojensa lukitsemisen peukaloinnin tai prosessin suorittaminen ei ehkä onnistu odotetussa ajassa.

Jos Watch For New Files on käytössä, se voi hidastaa laitteen toimintaa. Kun uusi tiedosto luodaan, se analysoidaan. Vaikka prosessi on kevyt, suuri määrä tiedostoja yhdellä kerralla voi vaikuttaa suorituskykyyn.

Suositellut käytäntömuutokset Windows Server -käyttöjärjestelmissä:

• Ota käyttöön taustauhkien havaitseminen ja suorita se kerran.
• Varmista, että Execution Control on käytössä.
• Poista käytöstä Uusien tiedostojen tarkkailu.

Näiden suositusten perusteella on yleensä myös suositeltavaa sijoittaa palvelimen käyttöjärjestelmiä käyttävät laitteet erillisiin vyöhykkeisiin. Lisätietoja vyöhykkeiden luomisesta on artikkelissa Vyöhykkeiden hallinta Dell Threat Defensessä.

Oppimistila

Taulukko 1: Oppimistilan tiedostotoiminnot

Käytäntö	Suositeltu asetus
Automaattinen karanteeni ja Suorittamisen hallinta vaarallisille tiedostoille	Ei käytössä
Automaattinen karanteeni ja Suorittamisen hallinta poikkeaville tiedostoille	Ei käytössä
Ota käyttöön automaattinen poisto karanteenissa oleville tiedostoille	Ei käytössä
Automaattinen lähetys	Käytössä
Käytännön turvallisiksi merkityt tiedostot	Riippuu ympäristöstä

Taulukko 2: Oppimistilan suojausasetukset

Käytäntö	Suositeltu asetus
Estä palvelun pysäytys laitteesta	Ei käytössä
Pysäytä vaaralliset käynnissä olevat prosessit ja niiden aliprosessit	Ei käytössä
Uhkien taustatarkistus	Ei käytössä
Suorita kerran / Suorita toistuvasti	Ei koske tilannetta, jossa Background Threat Protection -asetuksena on Disabled
Tarkista uudet tiedostot	Ei käytössä
Kopioi tiedostonäytteet	Riippuu ympäristöstä

Taulukko 3: Oppimistilan asiakaspalvelijan asetukset

Käytäntö	Suositeltu asetus
Ota käyttöön lokitiedostojen automaattinen lähetys	Riippuu ympäristöstä
Ota käyttöön työpöytäilmoitukset	Riippuu ympäristöstä

Taulukko 4: Oppimistilan komentosarjojen hallinta

Käytäntö	Suositeltu asetus
Komentosarjojen hallinta	Käytössä
Version 1370 tai vanhempien aktiiviset ja PowerShell-komentosarjat	Hälytys
Version 1380 tai uudempien aktiiviset komentosarjat	Hälytys
Version 1380 tai uudempien PowerShell-komentosarjat	Hälytys
Estä PowerShell-konsolin käyttö	Ei sovellettavissa, kun PowerShell-asetuksena on Hälytys
Version 1380 tai uudempien makrot	Hälytys
Poista käytöstä komentosarjojen hallinnan aktiiviset komentosarjat	Ei käytössä
Poista käytöstä komentosarjojen hallinnan PowerShell-komentosarjat	Ei käytössä
Poista käytöstä komentosarjojen hallinnan makrot	Ei käytössä
Kansiopoikkeukset (sisältää alikansiot)	Riippuu ympäristöstä

Suojaustila

Taulukko 5: Suojaustilan tiedostotoiminnot

Käytäntö	Suositeltu asetus
Automaattinen karanteeni ja Suorittamisen hallinta vaarallisille tiedostoille	Käytössä
Automaattinen karanteeni ja Suorittamisen hallinta poikkeaville tiedostoille	Käytössä
Ota käyttöön automaattinen poisto karanteenissa oleville tiedostoille	Riippuu ympäristöstä
Automaattinen lähetys	Riippuu ympäristöstä
Käytännön turvallisiksi merkityt tiedostot	Riippuu ympäristöstä

Taulukko 6: Suojaustilan suojausasetukset

Käytäntö	Suositeltu asetus
Estä palvelun pysäytys laitteesta	Käytössä
Pysäytä vaaralliset käynnissä olevat prosessit ja niiden aliprosessit	Käytössä
Uhkien taustatarkistus	Käytössä
Suorita kerran / Suorita toistuvasti	Suorita kerran
Tarkista uudet tiedostot	Käytössä
Kopioi tiedostonäytteet	Riippuu ympäristöstä

Taulukko 7: Suojaustilan agentin asetukset

Käytäntö	Suositeltu asetus
Ota käyttöön lokitiedostojen automaattinen lähetys	Riippuu ympäristöstä
Ota käyttöön työpöytäilmoitukset	Riippuu ympäristöstä

Taulukko 8: Suojaustilan komentosarjojen hallinta

Käytäntö	Suositeltu asetus
Komentosarjojen hallinta	Käytössä
Version 1370 tai vanhempien aktiiviset ja PowerShell-komentosarjat	Lohko
Version 1380 tai uudempien aktiiviset komentosarjat	Lohko
Version 1380 tai uudempien PowerShell-komentosarjat	Lohko
Estä PowerShell-konsolin käyttö	Lohko
Version 1380 tai uudempien makrot	Lohko
Poista käytöstä komentosarjojen hallinnan aktiiviset komentosarjat	Ei käytössä
Poista käytöstä komentosarjojen hallinnan PowerShell-komentosarjat	Ei käytössä
Poista käytöstä komentosarjojen hallinnan makrot	Ei käytössä
Kansiopoikkeukset (sisältää alikansiot)	Riippuu ympäristöstä

Threat Defense -käytäntöjen määritelmät:

Tiedostotoiminnot

Automaattinen karanteeni ja Suorittamisen hallinta vaarallisille tiedostoille

Tämä käytäntö määrittää, mitä tapahtuu suorittamisen aikana havaituille tiedostoille. Oletusarvon mukaan uhka estetään, vaikka vaarallinen tiedosto havaittaisiin käynnissä. Vaaralliselle on ominaista kannettavan suoritettavan tiedoston kumulatiivinen pistemäärä, joka ylittää 60 Advanced Threat Preventionin pisteytysjärjestelmässä, joka perustuu arvioituihin uhkaindikaattoreihin.

Automaattinen karanteeni ja Suorittamisen hallinta poikkeaville tiedostoille

Tämä käytäntö määrittää, mitä tapahtuu suorittamisen aikana havaituille tiedostoille. Oletusarvon mukaan, vaikka epänormaali tiedosto havaitaan käynnissä, uhka estetään. Epänormaalille on ominaista kannettavan suoritettavan tiedoston kumulatiivinen pistemäärä, joka on suurempi kuin 0, mutta ei yli 60 Advanced Threat Preventionin pisteytysjärjestelmässä. Pisteytysjärjestelmä perustuu arvioituihin uhkaindikaattoreihin.

Ota käyttöön automaattinen poisto karanteenissa oleville tiedostoille

Kun vaaralliset tai epänormaalit tiedostot asetetaan karanteeniin laitetason karanteenien, yleisten karanteeniluetteloiden tai automaattisen karanteenin käytäntöjen perusteella, niitä säilytetään paikallisen laitteen paikallisessa eristetyssä karanteenivälimuistissa. Kun asetus Ota karanteeniin asetettujen tiedostojen automaattinen poisto käyttöön on käytössä, se ilmaisee, kuinka monta päivää (vähintään 14 päivää, enintään 365 päivää) tiedosto säilytetään paikallisessa laitteessa ennen tiedoston pysyvää poistamista. Kun tämä on käytössä, mahdollisuus muuttaa päivien määrää tulee mahdolliseksi.

Automaattinen lähetys

Merkitsee uhat, joita Threat Defensen SaaS (Software as a Service) -ympäristö ei ole aiemmin havainnut, jotta niitä voidaan analysoida lisää. Kun paikallinen malli merkitsee tiedoston mahdolliseksi uhaksi, suoritettavasta tiedostosta otetaan SHA256-hajautusarvo, joka lähetetään SaaS-ympäristöön. Jos lähetettyä SHA256-hajautusarvoa ei voida yhdistää uhkaan ja Automaattinen lähetys on käytössä, uhka voidaan lähettää turvallisesti SaaS-ympäristöön arvioitavaksi. Tietoja säilytetään turvallisesti ja Dell tai sen kumppanit eivät voi käyttää niitä.

Käytännön turvallisiksi merkityt tiedostot

Käytännön turvallisiksi merkityt tiedostot on luettelo tiedostoista, jotka on merkitty ympäristössä turvallisiksi ja jotka on hyväksytty manuaalisesti lisäämällä luetteloon niiden SHA256-hajautusarvo sekä mahdolliset lisätiedot. Kun SHA256-hajautusarvo sijoitetaan tähän luetteloon, kun tiedosto suoritetaan, sitä ei arvioida paikallisten tai pilviuhkamallien perusteella. Nämä ovat absoluuttisia tiedostopolkuja.

Esimerkkejä poikkeuksista:

Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Suojausasetukset

Pysäytä vaaralliset käynnissä olevat prosessit ja niiden aliprosessit

Kun vaarallisten suoritusten ja niiden aliprosessien tappaminen on käytössä, tämä määrittää, luoko uhka aliprosesseja vai onko sovellus ottanut haltuunsa muita muistissa käynnissä olevia prosesseja. Jos uskotaan, että uhka on ottanut prosessin haltuunsa, ensisijainen uhka ja kaikki sen luomat tai tällä hetkellä omistamat prosessit lopetetaan välittömästi.

Uhkien taustatarkistus

Kun taustauhkien havaitseminen on käytössä, se etsii koko laitteesta kannettavaa suoritettavaa tiedostoa ja arvioi sitten suoritettavan tiedoston paikallisella uhkamallilla ja pyytää vahvistusta suoritettavan tiedoston pisteytykselle pilvipohjaisella SaaS-palvelulla suoritettavan tiedoston uhkailmaisimien perusteella. Taustauhkien tunnistuksen avulla on kaksi vaihtoehtoa: Suorita kerran ja toistuvasti. Run Once suorittaa kaikkien laitteeseen kytkettyjen fyysisten asemien taustatarkistuksen heti, kun Threat Defense asennetaan ja aktivoidaan. Suorita toistuva suorittaa kaikkien laitteeseen yhdistettyjen laitteiden taustatarkistuksen heti, kun Threat Defense asennetaan ja aktivoidaan. Se toistaa tarkistuksen yhdeksän päivän välein (ei määritettävissä).

Tarkista uudet tiedostot

Kun Watch for New Files on käytössä, kaikki laitteeseen tuodut kannettavat suoritettavat tiedostot arvioidaan välittömästi uhkailmaisimilla, jotka se näyttää paikallista mallia käyttäen, ja tämä pistemäärä vahvistetaan pilvipalvelussa isännöidyn SaaS-palvelun avulla.

Kopioi tiedostonäytteet

Kopioi tiedostonäytteet -toiminnon avulla laitteesta löytyneet uhat voidaan tallentaa automaattisesti määritettyyn säilöön UNC-polun perusteella. Tätä suositellaan vain sisäiseen uhkien tutkimiseen tai turvallisen säilön luomiseen ympäristön pakatuista uhista. Kaikki tiedostot, jotka Copy File Samples on tallentanut, pakataan salasanalla infected.

Sovelluksen asetukset

Ota käyttöön lokitiedostojen automaattinen lähetys

Kun otat käyttöön lokitiedostojen automaattisen latauksen , päätepisteet voivat ladata lokitiedostonsa Dell Threat Defensea varten öisin keskiyöllä tai kun tiedoston koko on 100 Mt. Lokit ladataan öisin tiedostokoosta riippumatta. Kaikki siirretyt lokit pakataan ennen kuin ne poistuvat verkosta.

Ota käyttöön työpöytäilmoitukset

Ota työpöytäilmoitus käyttöön -toiminnon avulla laitekäyttäjät voivat sallia kehotteet laitteessaan, jos tiedosto on merkitty epänormaaliksi tai vaaralliseksi. Jos käytäntö on otettu käyttöön päätepisteessä, sen voi valita napsauttamalla hiiren kakkospainikkeella Dell Threat Defensen ilmaisinalueen kuvaketta.

Komentosarjojen hallinta

Komentosarjojen hallinta

Script Control toimii muistisuodattimeen perustuvan ratkaisun kautta ja tunnistaa laitteessa käynnissä olevat komentosarjat ja estää ne, jos kyseisen komentosarjatyypin käytännöksi on määritetty Block. Näiden käytäntöjen hälytysasetukset huomioivat vain komentosarjat, jotka olisi estetty lokeissa ja Dell Threat Defense -konsolissa.

1370 tai vanhemmat versiot

Nämä käytännöt koskevat 1370-versiota ja vanhempia, jotka olivat käytettävissä ennen kesäkuuta 2016. Näissä versioissa käytetään vain aktiivisia komentosarjoja ja PowerShell-pohjaisia komentosarjoja.

1380 tai uudemmat versiot

Nämä käytännöt koskevat 1370-version jälkeisiä versioita, jotka tulivat käyttöön kesäkuussa 2016.

Aktiiviset komentosarjat

Aktiiviset komentosarjat sisältävät kaikki Windowsin komentosarjaisännän tulkitsemat komentosarjat, kuten JavaScriptin, VBScriptin, komentojonotiedostot ja monet muut.

PowerShell

PowerShell-komentosarjoihin sisältyy mikä tahansa monirivinen komentosarja, joka suoritetaan yhtenä komentona. (Oletusasetus - hälytys)

Estä PowerShell-konsolin käyttö – (ei käytettävissä, kun PowerShell-asetuksena on Alert)

PowerShell v3:ssa (esitelty Windows 8.1:ssä) ja uudemmissa useimmat PowerShell-komentosarjat suoritetaan yksirivisenä komentona. Vaikka ne voivat sisältää useita rivejä, ne suoritetaan järjestyksessä. Tämän seurauksena PowerShell-komentosarjojen tulkitsija voi ohittaa ne. Estä PowerShell-konsolin käyttö -toiminto ratkaisee ongelman estämällä sovelluksia käynnistämästä PowerShell-konsolia. Käytäntö ei vaikuta ISE (Integrated Scripting Environment) -ympäristöön.

Makrot

Makroasetus tulkitsee Office-asiakirjoissa ja PDF-tiedostoissa olevia makroja ja estää haitalliset makrot, jotka saattavat yrittää ladata uhkia.

Poista komentosarjojen hallinta käytöstä

Nämä käytännöt estävät jopa pelkät hälytykset kussakin käytännössä määritetyistä komentosarjatyypeistä. Kun käytännöt on poistettu käytöstä, lokeja ei kerätä ja mahdollisia uhkia ei yritetä havaita tai estää.

Aktiiviset komentosarjat

Kun tämä vaihtoehto on valittuna, lokien kerääminen estetään ja mahdolliset Active Script -pohjaiset uhat estetään. Aktiiviset komentosarjat sisältävät kaikki Windowsin komentosarjaisännän tulkitsemat komentosarjat, kuten JavaScriptin, VBScriptin, komentojonotiedostot ja monet muut.

PowerShell

Kun tämä vaihtoehto on valittuna, se estää lokien keräämisen ja estää mahdolliset PowerShell-pohjaiset uhat. PowerShell-komentosarjoihin sisältyy mikä tahansa monirivinen komentosarja, joka suoritetaan yhtenä komentona.

Makrot

Kun tämä asetus on valittuna, lokien kerääminen estetään ja mahdolliset makropohjaiset uhat estetään. Makroasetus tulkitsee Office-asiakirjoissa ja PDF-tiedostoissa olevia makroja ja estää haitalliset makrot, jotka saattavat yrittää ladata uhkia.

Kansiopoikkeukset (sisältää alikansiot)

Kansiopoikkeuksilla voi määrittää kansioita, joiden komentosarjoja saa poikkeuksellisesti suorittaa. Poikkeukset on määritettävä käyttämällä suhteellista tiedostopolkua.

• Polut voivat olla paikallisia asemapolkuja, verkkoasemapolkuja tai UNC-polkuja.
• Komentosarjojen kansiopoikkeuksissa on määritettävä kansion tai alikansion suhteellinen polku.
• Määritetty polku sisältää myös mahdolliset alikansiot.
• Yleismerkkien poissulkemisissa on käytettävä vinoviivoja UNIX-tyyliin Windows-tietokoneissa. Esimerkki: /windows/system*/.
• Ainoa tuettu yleismerkki on *.
• Kansiota koskevan poikkeuksen polun lopussa on oltava vinoviiva, joka erottaa sen tiedostoa koskevasta poikkeuksesta.
  • Kansiota koskeva poikkeus: /windows/system32/*/
  • Tiedostoa koskeva poikkeus: /windows/system32/*
• Yleismerkki on lisättävä jokaiselle alikansiolle. Esimerkki: /folder/*/script.vbs tulitikut \folder\test\script.vbs tai \folder\exclude\script.vbs mutta ei toimi \folder\test\001\script.vbs. Tämä edellyttäisi joko /folder/*/001/script.vbs tai /folder/*/*/script.vbs.
• Yleismerkeillä voi merkitä koko kansion tai osan sen nimestä.
  • Esimerkki koko kansion yleismerkistä: /folder/*/script.vbs
  • Esimerkki osittaisesta yleismerkistä: /folder/test*/script.vbs
• Yleismerkeillä voi määrittää myös verkkopolkuja.
  • //*/login/application
  • //abc*/logon/application

Oikein (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Oikein (Windows): \Cases\ScriptsAllowed
Väärin: C:\Application\SubFolder\application.vbs
Väärin: \Program Files\Dell\application.vbs

Esimerkkejä yleismerkeistä:

/users/*/temp kattaisi:

• \users\john\temp
• \users\jane\temp

/program files*/app/script*.vbs kattaisi:

• \program files(x86)\app\script1.vbs
• \program files(x64)\app\script2.vbs
• \program files(x64)\app\script3.vbs