Управление угрозами в Dell Endpoint Security Suite Enterprise

Рис. 2. (только на английском языке) Этап анализа

После обнаружения угрозы расширенная защита от угроз классифицифицится:

Если на этапе обнаружения была обнаружена угроза, назначается оценка локальной угрозы.

Если конечная точка подключена и находится в режиме онлайн, значение хэша угрозы отправляется в облако. Если оценка облачных угроз отличается от оценки локальных угроз, оценка облачных угроз передается на конечную точку, а оценка облачных угроз перезаписывает локальную оценку угроз.

Если включена политика автоматической загрузки, угроза загружается в клиент Cylance.

После назначения оценки угрозы данным присваивается небезопасный или аномальный атрибут, а затем Advanced Threat Protection переходит на этап исправления.

Рис. 3. (только на английском языке) Этап исправления

После того как оценка и классификация угроз назначены, расширенная защита от угроз определяет:

Должна ли угроза быть в безопасном списке? Если да, хэш файла добавляется в конечную точку и никаких дальнейших действий с файлом не выполняется.

Если угроза не указана в безопасном списке, функция Advanced Threat Protection проверяет, включена ли политика автоматического помещения в карантин. Если включен автоматический карантин, угроза помещена в карантин.

Если автоматический карантин не включен, выполняется проверка, чтобы определить, был ли файл вручную помещен в карантин администратором DDP. Если угроза настроена для карантина, хэш файла добавляется в локальную базу данных конечной точки, а затем файл помещен в карантин.

Если угроза не указана в безопасном списке или помещена в карантин, на консоль отправляется оповещение для визуализации и потенциальных действий администратора DDP.