Dell Data Protection 的進階威脅保護產品;Dell 威脅防禦和 Dell Endpoint Security Suite Enterprise 可能偶爾會更新,以改變威脅的評估方式。這些更新通常稱為「型號」更新,因為它們是威脅模型的更新。
為了協助使用者瞭解新模式可能會如何影響其組織,主控台的保護頁面上有兩欄。您可以使用「生產狀態」和「新狀態」比較來查看裝置上哪些檔案,該型號會變更為受影響。
使用者應在全面展開生產前測試新機型。這應該會將機型變更造成的任何意外中斷降至最低。
您應該注意的案例包括:
- 在目前型號中視為安全的檔案可能會在新模式中變更為「不安全」。如果您的組織需要該檔案,您可以將其新增至 Safelist。
- 目前型號從未出現或已通過評分的檔案,而新機型則認為不安全。如果您的組織需要該檔案,您可以將其新增至 Safelist。
新的保護欄
這兩欄是:生產狀態和新狀態:
- 生產狀態:顯示檔案目前的型號狀態 (安全、異常或不安全)
- 新狀態:顯示新機型中檔案的機型狀態
只有在貴組織中已變更其威脅分數的裝置上找到的檔案才會顯示。某些檔案可能有威脅分數變更,但仍處於目前狀態。
範例:
檔案的威脅分數為 10 到 20,檔案狀態將保持異常,而且檔案會顯示在更新的型號清單中 (如果此檔案存在於貴組織的裝置上)。
注意:型號比較的資訊來自資料庫,而非您的裝置。因此,您不會對機型比較進行重新分析。但是,當有可用的新機型並安裝適當的代理程式時,會對您的組織進行重新分析,並套用任何型號變更。
若要檢視目前的型號和新型號欄:
- 登入 Dell 資料保護遠端管理主控台,選取「人口」->企業->進階威脅,然後選取「保護」標籤。
- 按一下欄標題上的向下箭頭。
- 選取「生產狀態」和「新狀態」欄。
- 按一下向下箭頭或按一下頁面上的任何地方,以關閉欄選項功能表。
您現在可以檢閱這兩種威脅模型之間的差異。
您應該注意的兩個案例是:
- 目前型號 = 安全、新型號 = 異常或不安全
- 您的組織會將檔案視為安全,或是「分類」為「受信任的本機」。
- 您的組織有異常或不安全設定為自動隔離 (AQT)。
- 目前型號 = Null (未顯示或評分),新型號 = 異常或不安全
- 您的組織會將檔案視為安全,或是「分類」為「受信任的本機」。
- 您的組織有異常或不安全設定為自動隔離 (AQT)。
在上述情況下,建議將您想要在組織中允許的檔案安全清單。
識別分類
若要識別可能影響組織的分類,我們建議使用下列方法:
- 將篩選器套用至「新型號」欄,以顯示所有「不安全」、「異常」和「隔離」的檔案。如果您的原則設為「自動隔離」,您就看不到任何「不安全」或「異常」檔案,因為這些威脅已隔離。
- 將篩選器套用至「生產狀態」欄,以顯示所有安全檔案。
- 在「分類」欄套用篩選器,僅顯示「受信任 - 本機威脅」。受信任 - 本機檔案會與 Dell 的 ATP 進行分析,併發現安全 (檢閱後請安全列出這些專案)。如果您在篩選的清單中有很多檔案,則可能需要使用更多屬性來排定優先順序。範例:將篩選器新增至「背景偵測」欄,以檢閱「執行控制」找到的威脅。當使用者嘗試執行應用程式時,這些檔案已判定有罪,而且需要比背景威脅偵測或檔案觀察程式判定的休眠檔案更為緊急。
圖 1:(僅限英文)進階威脅
建議生產推出
本節概述了協助使用者升級至較新預測模式的策略。強烈建議將代理程式指派給啟用「不安全」和「異常」檔案的自動隔離原則。
自動更新與自動隔離
如果代理程式設為自動更新,則應在發佈新的預測模型時停用代理程式的自動更新。如果無法停用自動隔離或測試新的代理程式,請向 Dell Data Protection Administrator 發出警示。他們可能想要安全清單專案,這些專案被錯誤分類以解除封鎖使用者。
自動隔離的手動更新
如果您手動更新代理程式,則不需擔心自動更新。建議您在更新代理程式前先使用下列指示。
- 在有代表性的電腦上測試新的代理程式 (使用新機型)。理想情況下,這些測試機器會置於自動隔離原則中。如果安全應用程式遭到封鎖,請將檔案新增至您的安全清單。
- 測試完成後,請將新的代理程式導入您的所有電腦。
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。