Gå vidare till huvudinnehållet
  • Lägg beställningar snabbt och enkelt
  • Visa beställningar och kontrollera leveransstatus
  • Skapa och kom åt en lista över dina produkter

Updates voor de detectiemethode van Dell Endpoint Security Suite Enterprise Advanced Threat Protection (in het Engels)

Sammanfattning: Updates voor Dell Endpoint Security Suite Enterprise of Dell Threat Defense kunnen leiden tot wijzigingen in de wijze waarop bedreigingen worden geëvalueerd.

Den här artikeln gäller för Den här artikeln gäller inte för Den här artikeln är inte kopplad till någon specifik produkt. Alla produktversioner identifieras inte i den här artikeln.

Symptom

Opmerking:

Betreffende producten:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Betreffende versies:

  • 1,2,137x 
  • 1,2,139x
  • 2,0,145x

Orsak

Geavanceerde bedreigingsbeschermingsproducten van Dell Data Protection; Dell Threat Defense en Dell Endpoint Security Suite Enterprise hebben mogelijk incidentele updates die de evaluatie van bedreigingen wijzigen. Deze updates worden meestal aangeduid als 'model'-updates, omdat het updates zijn voor het bedreigingsmodel.

Upplösning

Om gebruikers te helpen weten hoe een nieuw model van invloed kan zijn op hun organisatie, zijn er twee kolommen op de pagina Bescherming in de Console. U kunt de vergelijking van de productiestatus en de nieuwe status gebruiken om te zien welke bestanden op uw apparaten het model wijzigen.

Gebruikers moeten de nieuwe modellen testen voordat een volledige productie-implementatie wordt uitgevoerd. Dit zou onbedoelde uitval als gevolg van modelwijzigingen tot een minimum moeten beperken.

De scenario's waarvan u op de hoogte moet zijn, zijn:

  • Een bestand dat in het huidige model als veilig werd beschouwd, kan worden gewijzigd in Onveilig in het nieuwe model. Als uw organisatie dat bestand nodig heeft, kunt u het toevoegen aan de Safelist.
  • Een bestand dat het huidige model nog nooit heeft gezien of gescoord en het nieuwe model vindt het onveilig. Als uw organisatie dat bestand nodig heeft, kunt u het toevoegen aan de Safelist.

Nieuwe beveiligingskolommen

De twee kolommen zijn: Productiestatus en nieuwe status:

  • Productiestatus: Toont de huidige modelstatus (veilig, abnormaal of onveilig) voor het bestand
  • Nieuwe status: Toont de modelstatus voor het bestand in het nieuwe model

Alleen bestanden die worden gevonden op apparaten in uw organisatie die wijzigingen hebben in de bedreigingsscore worden weergegeven. Sommige bestanden hebben mogelijk een bedreigingsscore gewijzigd, maar blijven binnen hun huidige status.

Voorbeelden:

De bedreigingsscore voor een bestand loopt van 10 naar 20, de bestandsstatus blijft abnormaal en het bestand wordt weergegeven in de lijst met bijgewerkte modellen (als dit bestand bestaat op apparaten in uw organisatie).

Opmerking: De informatie voor de modelvergelijking komt uit de database, niet uit uw apparaten. Er wordt dus geen heranalyse uitgevoerd voor de modelvergelijking. Wanneer er echter een nieuw model beschikbaar is en de juiste Agent is geïnstalleerd, wordt een nieuwe analyse uitgevoerd op uw organisatie en worden eventuele modelwijzigingen toegepast.

De kolommen Current Model en New Model weergeven:

  1. Meld u aan bij de Dell Data Protection Remote Management Console, selecteer Populaties -> Enterprise -> Geavanceerde bedreigingen en selecteer vervolgens het tabblad Bescherming.
  2. Klik op de pijl omlaag op een kolomkop.
  3. Selecteer de kolom Productiestatus en Nieuwe status.
  4. Klik op de pijl omlaag of klik ergens op de pagina om het menu met kolomopties te sluiten.

U kunt nu de verschillen tussen de twee bedreigingsmodellen bekijken.

De twee scenario's waarvan u op de hoogte moet zijn, zijn:

  • Huidig model = veilig, nieuw model = abnormaal of onveilig
  • Uw organisatie beschouwt het bestand als veilig of de classificatie is Trusted Local.
  • Uw organisatie heeft abnormale of onveilige instelling ingesteld op Automatische quarantaine (AQT).
  • Huidig model = Null (niet gezien of gescoord), Nieuw model = abnormaal of onveilig
  • Uw organisatie beschouwt het bestand als veilig of de classificatie is Trusted Local.
  • Uw organisatie heeft abnormale of onveilige instelling ingesteld op Automatische quarantaine (AQT).

In de bovenstaande scenario's wordt aanbevolen om de bestanden die u wilt toestaan in uw organisatie te safelisten.

Classificaties identificeren

Om classificaties te identificeren die van invloed kunnen zijn op uw organisatie, raden we de volgende aanpak aan:

  • Pas een filter toe op de kolom New Model om alle onveilige, abnormale en in quarantaine geplaatste bestanden weer te geven. Als uw beleid is ingesteld op Automatische quarantaine, kunt u geen onveilige of abnormale bestanden zien omdat deze bedreigingen in quarantaine zijn geplaatst.
  • Pas een filter toe op de kolom Productiestatus om alle veilige bestanden weer te geven.
  • Pas een filter toe op de kolom Classificatie om alleen Vertrouwde - Lokale bedreigingen weer te geven. Trusted - Local files are analyzed with Dell's ATP and found to be safe (safelist these items after review). Als u veel bestanden in de gefilterde lijst hebt, kunt u prioriteit geven aan het gebruik van meer kenmerken. Voorbeeld: Voeg een filter toe aan de kolom Background Detection om bedreigingen te bekijken die zijn gevonden door Execution Control. Deze zijn veroordeeld toen een gebruiker een applicatie probeerde uit te voeren en meer urgente aandacht nodig had dan inactief bestanden die zijn veroordeeld door 'Background Threat Detection' of 'File Watcher'.

Geavanceerde bedreigingen 
Afbeelding 1: (Alleen In het Engels) Geavanceerde bedreigingen 

Aanbevolen productie-uitrol

In dit gedeelte worden strategieën beschreven waarmee gebruikers kunnen upgraden naar een nieuwer voorspellend model. Het wordt sterk aanbevolen om agents toe te wijzen aan een policy met automatische quarantaine die is ingeschakeld voor onveilige en abnormale bestanden.

Automatische updates met automatische quarantaine

Als Agents zijn ingesteld op Auto-Update, moet u automatische updates voor agents uitschakelen wanneer nieuwe voorspellende modellen worden uitgebracht. Als het niet mogelijk is om automatische quarantaine uit te schakelen of de nieuwe agent te testen, moet u uw Dell Data Protection Administrators waarschuwen. Ze willen mogelijk items op de safelist zetten die verkeerd zijn geclassificeerd voor gebruikers die deblokkeren.

Handmatige updates met automatische quarantaine

Als u agents handmatig bij werkt, is auto-update geen probleem. Het wordt aanbevolen om de volgende instructies te gebruiken voordat u uw agents bijwerkt.

  1. Test de nieuwe Agent (met het nieuwe model) op een representatieve set computers. Idealiter worden deze testapparaten in een automatische quarantainepolicy geplaatst. Als een Veilige applicatie wordt geblokkeerd, voegt u het bestand toe aan uw Safelist.
  2. Zodra het testen is voltooid, moet u de nieuwe Agent naar al uw computers uitrollen.

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.

 

Ytterligare information

   

Videor

   

Berörda produkter

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Artikelegenskaper
Artikelnummer: 000126632
Artikeltyp: Solution
Senast ändrad: 02 okt. 2023
Version:  11
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.