Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

更新 Dell Endpoint Security Suite Enterprise Advanced Threat Protection 检测方法

Сводка: 更新 Dell Endpoint Security Suite Enterprise 或 Dell Threat Defense 可能会导致威胁评估方式发生变化。

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

提醒:

受影响的产品:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

受影响的版本:

  • 1.2.137 倍 
  • 1.2.139 倍
  • 2.0.145 倍

Причина

Dell Data Protection 的高级威胁防护产品;Dell Threat Defense 和 Dell Endpoint Security Suite Enterprise 可能会偶尔进行更新,以改变威胁的评估方式。这些更新通常称为“型号”更新,因为它们是威胁模型的更新。

Разрешение

为了帮助用户了解新模型可能如何影响他们的组织,控制台中的 Protection 页面上有两列。您可以使用“Production Status”和“New Status”比较来查看模型更改为受影响的设备上的哪些文件。

在全面部署生产之前,用户应测试新型号。这应该会更大限度地减少因型号更改而导致的任何意外中断。

您应该注意的情形包括:

  • 在当前模型中被视为安全的文件可能会在新型号中更改为 不安全 。如果您的组织需要该文件,您可以将其添加到 Safelist 中。
  • 当前模型从未看到或评分的文件,新模型认为它不安全。如果您的组织需要该文件,您可以将其添加到 Safelist 中。

新的保护列

这两列包括:生产状态和新状态:

  • 生产状态:显示文件的当前型号状态(安全、异常或不安全)
  • 新状态:在新型号中显示文件的型号状态

仅显示在组织中的设备上存在威胁评分更改的文件。某些文件可能具有威胁评分更改,但仍处于其当前状态。

示例:

文件的威胁评分从 10 到 20,文件状态将保持异常,并且文件将显示在更新的模型列表中(如果此文件存在于组织中的设备上)。

提醒:模型比较的信息来自数据库,而不是您的设备。因此,不会对模型进行重新分析。但是,当新型号可用并且安装了正确的代理时,将在您的组织上进行重新分析,并应用任何模型更改。

要查看 Current Model 和 New Model 列:

  1. 登录到 Dell Data Protection Remote Management Console,选择 Populations -> Enterprise -> Advanced Threat ,然后选择 Protection 选项卡。
  2. 单击列标题上的向下箭头。
  3. 选择“Production Status”和“New Status”列。
  4. 单击向下箭头或单击页面上的任意位置以关闭列选项菜单。

现在,您可以查看两种威胁模型之间的差异。

您应该了解的两种情形包括:

  • 当前型号 = 安全,新型号 = 异常或不安全
  • 您的组织将文件视为“安全”或“分类”为“受信任本地”。
  • 您的组织已将“异常”或“不安全”设置为“自动隔离”(AQT)。
  • 当前型号 = 空(未看到或评分),新型号 = 异常或不安全
  • 您的组织将文件视为“安全”或“分类”为“受信任本地”。
  • 您的组织已将“异常”或“不安全”设置为“自动隔离”(AQT)。

在上述情况下,建议将您希望在组织中允许的文件列入安全列表。

识别分类

为了确定可能影响您的组织的分类,我们建议采用以下方法:

  • 将筛选器应用到 New Model 列,以显示所有不安全、异常和隔离的文件。如果您的策略设置为 自动隔离 ,则无法看到任何不安全或异常文件,因为这些威胁已被隔离。
  • 将筛选器应用到“生产状态”列以显示所有安全文件。
  • 将筛选器应用于“分类”列,以仅显示受信任 - 本地威胁。受信任 - 使用戴尔的 ATP 分析本地文件,并发现这些文件是安全的(在审查后将这些项目列入安全列表)。如果筛选列表中有大量文件,则可能需要使用更多属性进行优先级排序。示例:将筛选器添加到“后台检测”列,以查看执行控制发现的威胁。当用户尝试运行应用程序时,这些内容被判定不起眼,并且需要比后台威胁检测或文件监视程序认定的休眠文件更紧急。

高级威胁 
图 1:(仅限英文)高级威胁 

建议的生产部署

本节概述了帮助用户升级到较新的预测模型的战略。强烈建议将代理分配给为不安全和异常文件启用自动隔离的策略。

使用自动隔离自动更新

如果代理设置为 自动更新 ,则应在发布新的预测模型时禁用代理的自动更新。如果无法禁用自动隔离或测试新代理,请提醒您的 Dell Data Protection 管理员。他们可能想要将分类错误的项目列入安全列表,以取消阻止用户。

使用自动隔离进行手动更新

如果您手动更新代理,则无需担心自动更新。建议您在更新代理之前使用以下说明。

  1. 在一组具有代表性的计算机上测试新代理(使用新型号)。理想情况下,这些测试机将置于自动隔离策略中。如果安全应用程序被阻止,请将文件添加到您的安全列表。
  2. 测试完成后,将新代理部署到您的所有计算机。

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

 

Дополнительная информация

   

Видео

   

Затронутые продукты

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Свойства статьи
Номер статьи: 000126632
Тип статьи: Solution
Последнее изменение: 02 Oct 2023
Версия:  11
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.