Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Обновление метода обнаружения угроз Advanced Threat Protection в Dell Endpoint Security Suite Enterprise.

Сводка: Обновления Dell Endpoint Security Suite Enterprise или Dell Threat Defense могут привести к изменениям при оценке угроз.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

Примечание.:

Затронутые продукты:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Затронутые версии:

  • В 1,2,137 раза 
  • В 1,2,139 раза
  • В 2,0,145 раза

Причина

Продукты Dell Data Protection Advanced Threat Protection; Dell Threat Defense и Dell Endpoint Security Suite Enterprise могут иметь периодические обновления, которые меняют способ оценки угроз. Эти обновления обычно используются в качестве обновлений «модели», поскольку они являются обновлениями модели угроз.

Разрешение

Чтобы помочь пользователям понять, как новая модель может повлиять на их организацию, на странице Protection в консоли имеются два столбца. Вы можете использовать сравнение состояния производства и нового состояния, чтобы узнать, какие файлы на устройствах меняются в зависимости от изменения модели.

Пользователям следует протестировать новые модели перед полным развертыванием в производственной среде. Это должно свести к минимуму любые непреднамеренные простои, вызванные изменениями модели.

Ниже приведены сценарии, о которых следует знать.

  • Файл, который в текущей модели считался безопасным, может измениться на Небезопасные в новой модели. Если вашей организации нужен этот файл, его можно добавить в безопасный список.
  • Файл, который текущая модель никогда не видели или не оформил, а новая модель считает небезопасным. Если вашей организации нужен этот файл, его можно добавить в безопасный список.

Новые столбцы защиты

Два столбца: Производственный статус и новое состояние:

  • Состояние производственной среды: Отображает текущее состояние модели (безопасный, аномальный или небезопасный) для файла
  • Новый статус: Отображение состояния модели для файла в новой модели

Отображаются только файлы, найденные на устройствах в вашей организации с изменениями в оценке угроз. Некоторые файлы могут иметь изменение оценки угроз, но остаются в текущем состоянии.

Примеры:

Оценка угроз для файла составляет от 10 до 20, состояние файла остается аномальным, и файл отображается в обновленном списке моделей (если этот файл существует на устройствах в вашей организации).

Примечание.: Информация для сравнения моделей предоставляется из базы данных, а не от ваших устройств. Поэтому для сравнения моделей повторная аналитика не выполняется. Однако, когда доступна новая модель и установлен соответствующий агент, в вашей организации выполняется повторная аналитика и применяются любые изменения в модели.

Для просмотра столбцов Текущая модель и Новая модель:

  1. Войдите в консоль удаленного управления Dell Data Protection, выберите Заполнения -> Enterprise -> Угрозы повышенной сложности, затем перейдите на вкладку Защита.
  2. Нажмите на стрелку вниз в заголовок столбца.
  3. Выберите столбцы Production Status и New Status.
  4. Нажмите на стрелку вниз или в любом месте страницы, чтобы закрыть меню параметров столбцов.

Теперь можно просмотреть различия между двумя моделями угроз.

Вам следует знать о двух сценариях:

  • Текущая модель = безопасная, новая модель = аномальная или небезопасные
  • Ваша организация считает этот файл надежным или его классификация является доверенным локальным.
  • В вашей организации установлены аномальные или небезопасные параметры автоматического карантина (AQT).
  • Текущая модель = Null (не отображается или не оверкнул), новая модель = аномальная или небезопасные
  • Ваша организация считает этот файл надежным или его классификация является доверенным локальным.
  • В вашей организации установлены аномальные или небезопасные параметры автоматического карантина (AQT).

В приведенных выше сценариях рекомендуется внесите в безопасный список файлы, которые вы хотите разрешить в вашей организации.

Определение классификаций

Чтобы определить классификации, которые могут повлиять на вашу организацию, рекомендуется использовать следующий подход:

  • Примените фильтр к столбцу «Новая модель», чтобы отобразить все небезопасные, аномальные и помещенные в карантин файлы. Если для вашей политики установлено значение Автоматический карантин, вы не увидите небезопасных или аномальных файлов, так как эти угрозы были помещены в карантин.
  • Примените фильтр к столбцу Production Status, чтобы отобразить все безопасные файлы.
  • Примените фильтр к столбцу «Classification», чтобы отобразить только доверенные локальные угрозы. Trusted — локальные файлы анализируются с помощью ATP Dell и находятся в безопасном состоянии (безопасный список этих элементов после проверки). Если в отфильтрововав списке много файлов, можно определить приоритет, используя дополнительные атрибуты. Пример. Добавьте фильтр в столбец Фоновое обнаружение для просмотра угроз, найденных управлением выполнением. Эти ошибки были выявлены, когда пользователь пытается запустить приложение и нуждается в более срочном доступе, чем к неавтерийным файлам, выявленным в результате обнаружения фоновых угроз или средства отслеживания файлов.

Advanced Threats 
Рис. 1. (только на английском языке) Угрозы повышенной сложности 

Рекомендуемый развертывание в производственной среде

В этом разделе описаны стратегии, которые помогут пользователям перейти на новую прогнозную модель. Настоятельно рекомендуется назначить агенты политике с автоматическим карантином, которые включены для небезопасных и аномальных файлов.

Автоматическое обновление с автоматическим карантином

Если для агентов установлено значение Автоматическое обновление, необходимо отключить автоматическое обновление для агентов при выпуске новых прогнозных моделей. Если отключить автоматический карантин или протестировать новый агент невозможно, оповещайте администраторов Dell Data Protection. Они могут захоть захоть в списке элементов, которые неправильно классифицировать для разблокиации пользователей.

Обновления вручную с помощью автоматического помещения в карантин

Если вы обновляете агенты вручную, автоматическое обновление не вызывает проблем. Перед обновлением агентов рекомендуется использовать следующие инструкции.

  1. Проверьте новый агент (с новой моделью) на типовом наборе компьютеров. В идеале эти тестовые компьютеры будут помещены в политику автоматического помещения в карантин. Если безопасное приложение блокируется, добавьте файл в безопасный список.
  2. После завершения тестирования разверните новый агент на всех компьютерах.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

 

Дополнительная информация

   

Видео

   

Затронутые продукты

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Свойства статьи
Номер статьи: 000126632
Тип статьи: Solution
Последнее изменение: 02 Oct 2023
Версия:  11
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.