Dell Threat Defense använder principer för att:
Klicka på Rekommenderade principer eller Principdefinitioner om du vill ha mer information.
Det rekommenderas att principer anges i Inlärningsläge eller Skyddsläge. Dell Technologies rekommenderar att du testar Dell Threat Defense i inlärningsläge. Detta är mest effektivt när Dell Threat Defense distribueras på slutpunkter med den standardmässiga företagsavbildningen.
Fler ändringar kan krävas för programservrar på grund av högre disk-I/O än normalt.
När alla varningar har åtgärdats av administratören i administrationskonsolen för Dell Threat Defense rekommenderar Dell Technologies att du byter till policyrekommendationerna för skyddsläge. Dell Technologies rekommenderar ett par veckors testning i inlärningsläge innan du växlar till policyer för skyddsläge.
Klicka på Programserverrekommendationer, Inlärningsläge eller Skyddsläge om du vill ha mer information.
I både inlärnings- och skyddsläge kan programservrar se ytterligare omkostnader och liknande beteende som klientoperativsystem. Automatisk karantän (AQT) har i sällsynta fall förhindrat att vissa filer körs tills en poäng kan beräknas. Detta har setts när ett program upptäcker låsning av sina filer som manipulering, eller så kanske en process inte kan slutföras inom en förväntad tidsram.
Om Bevaka nya filer är aktiverat kan det göra enheten långsammare. När en ny fil genereras analyseras den. Även om den här processen är enkel kan en stor mängd filer samtidigt påverka prestandan.
Föreslagna principändringar för Windows Server-operativsystem:
Med dessa rekommendationer rekommenderas det vanligtvis också att innehålla enheter som kör serveroperativsystem i separata zoner. Information om hur du genererar zoner finns i Hantera zoner i Dell Threat Defense.
| Politik | Rekommenderad inställning |
|---|---|
| Automatisk karantän med körningskontroll för osäkra | Disabled (avaktiverad) |
| Automatisk karantän med körningskontroll för onormala | Disabled (avaktiverad) |
| Aktivera automatisk borttagning av filer i karantän | Disabled (avaktiverad) |
| Automatisk överföring | Aktiverad |
| Principlista för säkra | Miljöberoende |
| Politik | Rekommenderad inställning |
|---|---|
| Förhindra att tjänsten stängs av från enheten | Disabled (avaktiverad) |
| Avsluta osäkra processer som körs och deras underprocesser | Disabled (avaktiverad) |
| Bakgrundsidentifiering av hot | Disabled (avaktiverad) |
| Kör en gång/kör återkommande | Gäller inte när Background Threat Protection är inställt på Inaktiverat |
| Håll utkik efter nya filer | Disabled (avaktiverad) |
| Kopiera filexempel | Miljöberoende |
| Politik | Rekommenderad inställning |
|---|---|
| Aktivera automatisk överföring av loggfiler | Miljöberoende |
| Aktivera skrivbordsvarning | Miljöberoende |
| Politik | Rekommenderad inställning |
|---|---|
| Skriptkontroll | Aktiverad |
| 1370 och tidigare Aktivt skript och PowerShell | Varning |
| 1380 och senare aktivt skript | Varning |
| 1380 och senare PowerShell | Varning |
| Blockera PowerShell-konsolanvändning | Gäller inte när PowerShell är inställt på Avisering |
| 1380 och senare makron | Varning |
| Avaktivera skriptkontroll – aktiva skript | Disabled (avaktiverad) |
| Inaktivera skriptkontroll PowerShell | Disabled (avaktiverad) |
| Avaktivera skriptkontroll – makron | Disabled (avaktiverad) |
| Mappundantag (inklusive undermappar) | Miljöberoende |
| Politik | Rekommenderad inställning |
|---|---|
| Automatisk karantän med körningskontroll för osäkra | Aktiverad |
| Automatisk karantän med körningskontroll för onormala | Aktiverad |
| Aktivera automatisk borttagning av filer i karantän | Miljöberoende |
| Automatisk överföring | Miljöberoende |
| Principlista för säkra | Miljöberoende |
| Politik | Rekommenderad inställning |
|---|---|
| Förhindra att tjänsten stängs av från enheten | Aktiverad |
| Avsluta osäkra processer som körs och deras underprocesser | Aktiverad |
| Bakgrundsidentifiering av hot | Aktiverad |
| Kör en gång/kör återkommande | Kör en gång |
| Håll utkik efter nya filer | Aktiverad |
| Kopiera filexempel | Miljöberoende |
| Politik | Rekommenderad inställning |
|---|---|
| Aktivera automatisk överföring av loggfiler | Miljöberoende |
| Aktivera skrivbordsvarning | Miljöberoende |
| Politik | Rekommenderad inställning |
|---|---|
| Skriptkontroll | Aktiverad |
| 1370 och tidigare Aktivt skript och PowerShell | Blockera |
| 1380 och senare aktivt skript | Blockera |
| 1380 och senare PowerShell | Blockera |
| Blockera PowerShell-konsolanvändning | Blockera |
| 1380 och senare makron | Blockera |
| Avaktivera skriptkontroll – aktiva skript | Disabled (avaktiverad) |
| Inaktivera skriptkontroll PowerShell | Disabled (avaktiverad) |
| Avaktivera skriptkontroll – makron | Disabled (avaktiverad) |
| Mappundantag (inklusive undermappar) | Miljöberoende |
Den här principen avgör vad som händer med filer som identifieras när de körs. Som standard blockeras hotet även när en osäker fil identifieras som körs. Osäker kännetecknas av en kumulativ poäng för den portabla körbara filen som överskrider 60 i bedömningssystemet för Advanced Threat Prevention som baseras på hotindikatorer som har utvärderats.
Den här principen avgör vad som händer med filer som identifieras när de körs. Som standard blockeras hotet även när en onormal fil identifieras som körs. Onormal kännetecknas av en kumulativ poäng för den portabla körbara filen som överskrider 0 men inte överstiger 60 i bedömningssystemet för Advanced Threat Prevention. Poängsystemet baserar sig på hotindikatorer som har utvärderats.
När osäkra eller onormala filer sätts i karantän baserat på karantäner på enhetsnivå, globala karantänlistor eller av principer för automatisk karantän lagras de i en lokal karantäncache i begränsat läge på den lokala enheten. När Aktivera automatisk borttagning för filer i karantän är aktiverat anger det antalet dagar (minst 14 dagar, högst 365 dagar) för att behålla filen på den lokala enheten innan filen tas bort permanent. När detta är aktiverat blir det möjligt att ändra antalet dagar.
Markerar hot som inte har setts av Threat Defense SaaS-miljön (Software as a Service) för vidare analys. När en fil markeras som ett potentiellt hot av den lokala modellen tas en SHA256-hash från den portabla körbara filen och skickas upp till SaaS. Om den SHA256-hash som skickades inte kan matchas till ett hot och Automatisk överföring är aktiverat möjliggörs säker överföring av hotet till SaaS för utvärdering. Dessa data lagras på ett säkert sätt och kan inte kommas åt av Dell eller dess partners.
Principlistan för säkra är en lista över filer som har identifierats som säkra i miljön och som har godkänts manuellt genom att deras SHA256-hash samt eventuell ytterligare information skickats till den här listan. När en SHA256-hash placeras i den här listan, när filen körs, utvärderas den inte av de lokala hotmodellerna eller molnhotmodellerna. Dessa är "absoluta" filsökvägar.
Correct (Windows): C:\Program Files\Dell Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell Incorrect: C:\Program Files\Dell\Executable.exe Incorrect: \Program Files\Dell\
När Kill unsafe running processes and their sub processes är aktiverat avgör detta om ett hot genererar underordnade processer eller om programmet har tagit över andra processer som för närvarande körs i minnet. Om det finns en tro på att en process har tagits över av ett hot avslutas det primära hotet och alla processer som det har genererat eller för närvarande äger omedelbart.
Hotidentifiering i bakgrunden, när den är aktiverad, söker igenom hela enheten efter en portabel körbar fil och utvärderar sedan den körbara filen med den lokala hotmodellen och begär bekräftelse för bedömningen av den körbara filen med molnbaserad SaaS baserat på hotindikatorerna för den körbara filen. Två alternativ är möjliga med Background Threat Detection: Kör en gång och kör återkommande. Run Once utför en bakgrundsgenomsökning av alla fysiska enheter som är anslutna till enheten samtidigt som Threat Defense installeras och aktiveras. Kör återkommande utför en bakgrundsgenomsökning av alla enheter som är anslutna till enheten i samma ögonblick som Threat Defense installeras och aktiveras. Genomsökningen upprepas var nionde dag (kan inte konfigureras).
När Leta efter nya filer är aktiverat utvärderas alla portabla körbara filer som introduceras för enheten omedelbart med hotindikatorerna som visas med hjälp av den lokala modellen, och den här poängen bekräftas mot den molnbaserade SaaS.
Kopiera filexempel gör att alla hot som hittas på enheten automatiskt kan deponeras på en definierad lagringsplats baserat på UNC-sökväg. Detta rekommenderas endast för intern hotforskning eller för att förvara en säker lagringsplats med bevarade hot i miljön. Alla filer som lagras av Kopiera filexempel zippas med ett lösenord på infected.
Aktivera automatisk överföring av loggfiler gör att slutpunkter kan ladda upp sina loggfiler för Dell Threat Defense varje natt vid midnatt eller när filen når 100 MB. Loggar laddas upp varje natt oavsett filstorlek. Alla loggar som överförs komprimeras innan de lämnar nätverket.
Aktivera skrivbordsaviseringar gör det möjligt för enhetsanvändare att tillåta uppmaningar på sin enhet om en fil är markerad som onormal eller osäker. Det här är ett alternativ i högerklicksmenyn för Dell Threat Defense-ikonen på slutpunkter med den här principen aktiverad.
Skriptkontroll fungerar via en minnesfilterbaserad lösning för att identifiera skript som körs på enheten och förhindra dem om principen är inställd på Blockera för den skripttypen. Varningsinställningarna för dessa policyer avser endast skript som skulle ha blockerats i loggar och i Dell Threat Defense-konsolen.
Dessa policyer gäller för kunder före 1370, som var tillgängliga före juni 2016. Endast aktiva skript och PowerShell-baserade skript åtgärdas med dessa versioner.
Dessa principer gäller för klienter efter 1370, som var tillgängliga efter juni 2016.
Aktiva skript omfattar alla skript som tolkas av Windows Script Host, inklusive JavaScript, VBScript, batchfiler och många andra.
PowerShell-skript innehåller alla flerradsskript som körs som ett enda kommando. (Standardinställning – varning)
I PowerShell v3 (introducerades i Windows 8.1) och senare körs de flesta PowerShell-skript som ett enradskommando. Även om de kan innehålla flera rader körs de i ordning. Detta kan kringgå PowerShell-skripttolken. Blockera PowerShell-konsolen kringgår detta genom att inaktivera möjligheten att låta ett program starta PowerShell-konsolen. Integrated Scripting Environment (ISE) påverkas inte av den här principen.
Makroinställningen tolkar makron som finns i Office-dokument och PDF-filer och blockerar skadliga makron som kan försöka ladda ned hot.
Dessa principer avaktiverar helt möjligheten att ens varna om den skripttyp som definieras i varje princip. När funktionen är avaktiverad samlas ingen loggning in, och det utförs inga försök att upptäcka eller blockera potentiella hot.
När det här alternativet är markerat förhindras insamling av loggar och eventuella Active Script-baserade hot blockeras. Aktiva skript omfattar alla skript som tolkas av Windows Script Host, inklusive JavaScript, VBScript, batchfiler och många andra.
När det här alternativet är markerat förhindras insamling av loggar och eventuella PowerShell-baserade hot blockeras. PowerShell-skript innehåller alla flerradsskript som körs som ett enda kommando.
När det här alternativet är markerat förhindras insamling av loggar och eventuella makrobaserade hot blockeras. Makroinställningen tolkar makron som finns i Office-dokument och PDF-filer och blockerar skadliga makron som kan försöka ladda ned hot.
Mappundantag gör det möjligt att definiera vilka mappar som skript kan köras i som kan uteslutas. I det här avsnittet uppmanas undantag i ett relativt sökvägsformat.
/windows/system*/./windows/system32/*//windows/system32/*/folder/*/script.vbs tändstickor \folder\test\script.vbs eller \folder\exclude\script.vbs men fungerar inte för \folder\test\001\script.vbs. Detta skulle kräva antingen /folder/*/001/script.vbs eller /folder/*/*/script.vbs./folder/*/script.vbs/folder/test*/script.vbs//*/login/application//abc*/logon/applicationRätt (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Rätt (Windows): \Cases\ScriptsAllowed
Felaktig: C:\Application\SubFolder\application.vbs
Felaktig: \Program Files\Dell\application.vbs
Exempel på jokertecken:
/users/*/temp skulle omfatta följande:
\users\john\temp\users\jane\temp/program files*/app/script*.vbs skulle omfatta följande:
\program files(x86)\app\script1.vbs\program files(x64)\app\script2.vbsprogram files(x64)\app\script3.vbsOm du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.