Dell Threat Defenseは、ポリシーを使用して次のことを行います。
詳細については、推奨されるポリシーまたはポリシー定義をクリックしてください。
ポリシーは、[学習モード]または[保護モード]で設定することをお勧めします。学習モードは、Dell Technologiesが推奨する環境でDell Threat Defenseをテストする方法です。これは、Dell Threat Defenseが、標準の企業イメージを使用してエンドポイントに展開されている場合に最も効果的です。
ディスクI/Oが通常よりも多いため、アプリケーション サーバーに対してさらに変更が必要になる場合があります。
管理者がDell Threat Defense管理コンソールですべてのアラートに対処したら、保護モード ポリシーの推奨事項に切り替えることを推奨します。デル・テクノロジーズでは、保護モード ポリシーに切り替える前に、学習モードで数週間以上のテストを行うことを推奨しています。
詳細については、「アプリケーション・サーバーの推奨事項」、「学習モード」、または「保護モード」をクリックしてください。
[学習]モードと[保護]モードの両方で、アプリケーション サーバーはクライアント オペレーティング システムに対して、追加のオーバーヘッドおよび異なる種類の動作を表示する場合があります。自動検疫(AQT)は、まれに、スコアが計算されるまで一部のファイルの実行を妨げます。これは、アプリケーションがファイルのロックを改ざんとして検出した場合、または予想されたタイムフレームでプロセスが正常に完了できない場合に発生します。
新しいファイルの監視が有効になっている場合、デバイスの動作が遅くなる可能性があります。新しいファイルが生成されると、分析されます。このプロセスは軽微ですが、一度に大量のファイルが処理されると、パフォーマンスに影響する可能性があります。
Windows Serverオペレーティング システムで推奨されるポリシー変更:
これらの推奨事項により、サーバーのオペレーティング システムを実行しているデバイスを個別の「ゾーン」に含めることが一般的に推奨されます。ゾーンの生成の詳細については、「 Dell Threat Defenseでゾーンを管理する方法」を参照してください。
| ポリシー | 推奨設定 |
|---|---|
| 安全でない場合の実行制御による自動検疫 | Disabled |
| 異常の場合の実行制御による自動検疫 | Disabled |
| 検疫済みファイルの自動削除の有効化 | Disabled |
| 自動アップロード | Enabled |
| ポリシー セーフ リスト | 環境に依存 |
| ポリシー | 推奨設定 |
|---|---|
| デバイスからのサービス シャットダウンの防止 | Disabled |
| 安全でない実行中のプロセスとそのサブ プロセスの強制終了 | Disabled |
| バックグラウンド脅威検出 | Disabled |
| 1回実行/繰り返し実行 | バックグラウンド脅威保護が無効に設定されている場合は適用されません |
| 新しいファイルの監視 | Disabled |
| ファイル サンプルのコピー | 環境に依存 |
| ポリシー | 推奨設定 |
|---|---|
| ログ ファイルの自動アップロードの有効化 | 環境に依存 |
| デスクトップ通知を有効にする | 環境に依存 |
| ポリシー | 推奨設定 |
|---|---|
| スクリプト制御 | Enabled |
| 1370以前のアクティブ スクリプトとPowerShell | 警告 |
| 1380以降のアクティブ スクリプト | 警告 |
| 1380以降のPowerShell | 警告 |
| PowerShellコンソールの使用をブロックする | PowerShellがアラートに設定されている場合は適用されません |
| 1380以降のマクロ | 警告 |
| スクリプト制御アクティブ スクリプトの無効化 | Disabled |
| スクリプト制御PowerShellの無効化 | Disabled |
| スクリプト制御マクロの無効化 | Disabled |
| フォルダーの除外(サブフォルダーを含む) | 環境に依存 |
| ポリシー | 推奨設定 |
|---|---|
| 安全でない場合の実行制御による自動検疫 | Enabled |
| 異常の場合の実行制御による自動検疫 | Enabled |
| 検疫済みファイルの自動削除の有効化 | 環境に依存 |
| 自動アップロード | 環境に依存 |
| ポリシー セーフ リスト | 環境に依存 |
| ポリシー | 推奨設定 |
|---|---|
| デバイスからのサービス シャットダウンの防止 | Enabled |
| 安全でない実行中のプロセスとそのサブ プロセスの強制終了 | Enabled |
| バックグラウンド脅威検出 | Enabled |
| 1回実行/繰り返し実行 | 1回実行 |
| 新しいファイルの監視 | Enabled |
| ファイル サンプルのコピー | 環境に依存 |
| ポリシー | 推奨設定 |
|---|---|
| ログ ファイルの自動アップロードの有効化 | 環境に依存 |
| デスクトップ通知を有効にする | 環境に依存 |
| ポリシー | 推奨設定 |
|---|---|
| スクリプト制御 | Enabled |
| 1370以前のアクティブ スクリプトとPowerShell | ブロック |
| 1380以降のアクティブ スクリプト | ブロック |
| 1380以降のPowerShell | ブロック |
| PowerShellコンソールの使用をブロックする | ブロック |
| 1380以降のマクロ | ブロック |
| スクリプト制御アクティブ スクリプトの無効化 | Disabled |
| スクリプト制御PowerShellの無効化 | Disabled |
| スクリプト制御マクロの無効化 | Disabled |
| フォルダーの除外(サブフォルダーを含む) | 環境に依存 |
このポリシーは、実行時に検出されたファイルの動作を決定します。デフォルトでは、安全でないファイルが実行中であることが検出された場合でも、脅威はブロックされます。安全でないものは、評価された脅威インジケーターに基づくAdvanced Threat Preventionのスコア システム内で60を超えるポータブル実行可能ファイルの累積スコアによって特徴付けられます。
このポリシーは、実行時に検出されたファイルの動作を決定します。デフォルトでは、異常なファイルが実行中であることが検出された場合でも、脅威はブロックされます。異常は、Advanced Threat Preventionのスコア システム内で0を超えているが60を超えないポータブル実行可能ファイルの累積スコアによって特徴付けられます。スコアリング システムは、評価された脅威インジケーターに基づいています。
デバイス レベルの検疫、グローバル検疫リスト、または自動検疫ポリシーに基づいて、安全でないファイルまたは異常なファイルを検疫すると、これらのファイルがローカル デバイス上のローカル サンドボックスの検疫キャッシュ内に保持されます。検疫済みファイルの自動削除を有効にすると、ファイルを完全に削除する前に、ファイルをローカル デバイスに保存する日数(最小14日、最大365日)が示されます。これが有効化されていると、日数を変更する機能が使用可能になります。
より詳細な分析を行うために、Threat Defense SaaS(Software as a Service)環境によって認識されていない脅威をマークします。ローカル モデルによってファイルに潜在的な脅威としてマークが付けられている場合、SHA256ハッシュはポータブル実行可能ファイルから取得され、SaaSに送信されます。送信されたSHA256ハッシュが脅威と一致せず、自動アップロードが有効化されている場合、評価のためにSaaSへの脅威の安全なアップロードが可能になります。このデータは安全に保存され、デルまたはパートナーがアクセスすることはできません。
ポリシー セーフ リストは、環境内で安全であると判断されたファイルのリストであり、そのSHA256ハッシュや追加情報をこのリストに送信することで、手動で除外されます。SHA256ハッシュがこのリストに含まれている場合、ファイルを実行すると、ローカルまたはクラウドの脅威モデルによって評価されません。これらは「絶対」ファイル パスです。
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
[安全でない実行中のプロセスとそのサブ プロセスの強制終了] が有効になっている場合、脅威が子プロセスを生成しているかどうか、またはアプリケーションが現在メモリ内で実行されている他のプロセスを引き継いでいるかどうかを判断します。プロセスが脅威によって引き継がれたと考えられる場合、主な脅威と、それが生成した、または現在所有しているプロセスは直ちに終了します。
バックグラウンド脅威検出を有効にすると、ポータブル実行可能ファイルのデバイス全体がスキャンされ、その実行可能ファイルがローカル脅威モデルで評価され、実行可能ファイルの脅威インジケーターに基づいて、クラウドベースのSaaSで実行可能ファイルのスコアの確認が要求されます。バックグラウンド脅威検出では、次の2つのオプションを使用できます。1回実行 し、 繰り返し実行します。1回実行 は、Threat Defenseがインストールされアクティブ化された瞬間に、デバイスに接続されているすべての物理ドライブのバックグラウンド スキャンを実行します。繰り返し実行 は、Threat Defenseがインストールされアクティブ化された瞬間に、デバイスに接続されているすべてのデバイスのバックグラウンド スキャンを実行します。スキャンは9日ごとに繰り返されます(設定不可)。
新しいファイルの監視が有効になっている場合、デバイスに導入されたポータブル実行可能ファイルは、ローカル モデルを使用して表示される脅威インジケーターですぐに評価され、このスコアはクラウドホスト型SaaSに対して確認されます。
ファイル サンプルのコピーを使用すると 、デバイス上で検出されたすべての脅威を、UNCパスに基づいて定義されたリポジトリーに自動的にエスクローできます。これは、内部の脅威調査、または環境内のパッケージ化された脅威の安全なリポジトリーを保持するためにのみ推奨されます。ファイル サンプルのコピーによって保存されるすべてのファイルは、次のパスワードで圧縮されます: infected間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。
ログ ファイルの自動アップロードを有効にする と、エンドポイントはDell Threat Defenseのログ ファイルを深夜0時に、またはファイルが100 MBに達したときにアップロードできます。ファイルのサイズに関係なく、ログは毎晩アップロードされます。転送されたすべてのログは、ネットワークから出力される前に圧縮されます。
デスクトップ通知を有効にする と、ファイルに異常または安全でないというマークが付けられている場合に、デバイス ユーザーがデバイスでプロンプトを表示できるようにする機能が有効になります。これは、このポリシーが有効化されているエンドポイントの[Dell Threat Defense]トレイ アイコンの右クリック メニュー内のオプションです。
スクリプト制御は 、メモリー フィルターベースのソリューションを使用して動作し、デバイスで実行されているスクリプトを識別し、そのスクリプト タイプに対してポリシーが[Block]に設定されている場合はそれらを回避します。これらのポリシーのアラート設定は、ログ内およびDell Threat Defenseコンソール上でブロックされている可能性のあるスクリプトのみを注意します。
これらのポリシーは、1370より前のクライアントに適用されます。これらのクライアントは、2016年6月より前のバージョンで使用できました。これらのバージョンでは、アクティブ スクリプトとPowerShellベースのスクリプトのみが処理されます。
これらのポリシーは、1370より後のクライアントに適用されます。これは、2016年6月以降のバージョンで使用できました。
アクティブ スクリプトには、JavaScript、VBScript、バッチ ファイルなど、Windows Script Hostで解釈されるスクリプトがすべて含まれています。
PowerShellスクリプトには、1つのコマンドとして実行される複数行のスクリプトが含まれています。(デフォルト設定:[Alert])
PowerShell v3(Windows 8.1で導入)以降では、ほとんどのPowerShellスクリプトは単一行コマンドとして実行されます。複数の行が含まれている場合もありますが、順番に実行されます。これにより、PowerShellスクリプト インタープリターをバイパスできます。PowerShellコンソールのブロックは、アプリケーションにPowerShellコンソールを起動させる機能を無効にすることで、この問題を回避します。Integrated Scripting Environment(ISE)は、このポリシーの影響を受けません。
マクロの設定によって、Office文書とPDF内にあるマクロが解釈され、脅威のダウンロードを試みる悪意のあるマクロがブロックされます。
これらのポリシーによって、各ポリシーに定義されているスクリプト タイプについてもアラートを通知する機能が完全に無効になります。これを無効にすると、ログは収集されません。潜在的な脅威の検出またはブロックは実行されません。
オンにすると、ログの収集が防止され、アクティブ スクリプト ベースの潜在的な脅威がブロックされます。アクティブ スクリプトには、JavaScript、VBScript、バッチ ファイルなど、Windows Script Hostで解釈されるスクリプトがすべて含まれています。
オンにすると、ログの収集が防止され、PowerShellベースの潜在的な脅威がブロックされます。PowerShellスクリプトには、1つのコマンドとして実行される複数行のスクリプトが含まれています。
オンにすると、ログの収集が防止され、マクロベースの潜在的な脅威がブロックされます。マクロの設定によって、Office文書とPDF内にあるマクロが解釈され、脅威のダウンロードを試みる悪意のあるマクロがブロックされます。
フォルダーの除外を使用すると、スクリプトが実行される可能性があるフォルダーを除外することができるフォルダーを定義することができます。このセクションでは、相対パスの形式で除外を要求します。
/windows/system*/間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。/windows/system32/*//windows/system32/*/folder/*/script.vbs 一致 \folder\test\script.vbs または \folder\exclude\script.vbs しかし、では機能しません \folder\test\001\script.vbs間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。これには、次のいずれかが必要です。 /folder/*/001/script.vbs または /folder/*/*/script.vbs間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。/folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationCorrect (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Correct (Windows): \Cases\ScriptsAllowed
誤: C:\Application\SubFolder\application.vbs
誤: \Program Files\Dell\application.vbs
ワイルドカードの例:
/users/*/temp 以下をカバーします。
\users\john\temp\users\jane\temp/program files*/app/script*.vbs 以下をカバーします。
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsサポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。