跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

Policyanbefalinger for Dell Threat Defense

摘要: Finn ut mer om anbefalte retningslinjer og policydefinisjoner for Dell Threat Defense.

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

说明

Merk:

Dell Threat Defense bruker policyer til å:

  • Definere hvordan trusler skal håndteres
  • Bestemme hva som skal gjøres med filer med karantene
  • Konfigurere skriptkontroll

Berørte produkter:

  • Dell Threat Defense

Klikk på Anbefalte retningslinjer eller policydefinisjoner hvis du vil ha mer informasjon.

Policydefinisjoner for trusselbeskyttelse:

Filhandlinger

Automatisk karantene med kjøringskontroll for usikker

Denne policyen bestemmer hva som skjer med filene som oppdages mens de kjøres. Som standard, selv når en usikker fil oppdages som kjører, er trusselen blokkert. Usikker kjennetegnes av en kumulativ poengsum for den bærbare kjørbare filen som overstiger 60 i poengsystemet for avansert trusselforebygging som er basert på trusselindikatorer som er evaluert.

Automatisk karantene med kjøringskontroll for unormal

Denne policyen bestemmer hva som skjer med filene som oppdages mens de kjøres. Som standard, selv når en unormal fil oppdages som kjører, er trusselen blokkert. Unormal kjennetegnes av en kumulativ poengsum for den kjørbare bærbare filen som overskrider 0, men som ikke overstiger 60 i poengsystemet for avansert trusselforebygging. Skåringssystemet er basert på trusselindikatorer som er evaluert.

Aktiver automatisk sletting for filer i karantene

Når usikre eller unormale filer settes i karantene basert på karantener på enhetsnivå, globale karantenelister eller av retningslinjer for automatisk karantene, holdes de i en lokal sandkasse karantenebuffer på den lokale enheten. Når Aktiver automatisk sletting for filer i karantene er aktivert, angir det antall dager (minimum 14 dager, maksimalt 365 dager) for å beholde filen på den lokale enheten før du sletter filen permanent. Når dette er aktivert, blir muligheten til å endre antall dager mulig.

Automatisk opplasting

Merker trusler som ikke har blitt oppdaget av trusselbeskyttelsens SaaS-miljøer (programvare som tjeneste) for ytterligere analyse. Når en fil er merket som en potensiell trussel av den lokale modellen, tas en SHA256-hash av den kjørbare bærbare filen, og denne sendes opp til SaaS. Hvis SHA256-hashen som ble sendt, ikke kan samsvare med en trussel og automatisk opplasting er aktivert, vil dette tillate en sikker opplasting av trusselen til SaaS for evaluering. Disse dataene lagres på en sikker måte og er ikke tilgjengelig for Dell eller deres partnere.

Sikker liste for policy

Sikkerlisten for policy er en liste over filer som har blitt fastsatt som sikre i miljøet, og som manuelt har blitt frafalt ved å sende SHA256-hash og eventuell tilleggsinformasjon inn i denne listen. Når en SHA256-hash plasseres i denne listen, evalueres den ikke av de lokale trusselmodellene eller trusselmodellene i skyen når filen kjøres. Dette er "absolutte" filbaner.

Eksempler på utelatelser:
Correct (Windows): C:\Program Files\Dell
Correct (Mac): /Mac\ HD/Users/Application\ Support/Dell
Incorrect: C:\Program Files\Dell\Executable.exe
Incorrect: \Program Files\Dell\

Beskyttelsesinnstillinger

Fjern usikre, kjørende prosesser og deres underprosesser

Når Drep usikre kjørende prosesser og deres underprosesser er aktivert, avgjør dette om en trussel genererer underordnede prosesser, eller om programmet har overtatt andre prosesser som kjører i minnet. Hvis du mener at en prosess har blitt overtatt av en trussel, avsluttes den primære trusselen og eventuelle prosesser som den har generert eller eier umiddelbart.

Trusseloppdagelse i bakgrunnen

Background Threat Detection, når den er aktivert, skanner hele enheten for alle kjørbare bærbare filer, og evaluerer deretter den kjørbare filen med den lokale trusselmodellen, og ber om bekreftelse for poengsummen til den kjørbare filen med den skybaserte SaaS basert på trusselindikatorene til den kjørbare filen. To alternativer er mulige med Background Threat Detection: Kjør én gang og kjør regelmessig. Kjør én gang utfører en bakgrunnsskanning av alle fysiske stasjoner som er koblet til enheten i det øyeblikket Threat Defense er installert og aktivert. Run Recurring utfører en bakgrunnsskanning av alle enheter som er koblet til enheten i det øyeblikket Threat Defense er installert og aktivert. Den gjentar skanningen hver niende dag (kan ikke konfigureres).

Se etter nye filer

Når Se etter nye filer er aktivert, evalueres alle bærbare kjørbare filer som introduseres til enheten, umiddelbart med trusselindikatorene som vises ved hjelp av den lokale modellen, og denne poengsummen bekreftes mot den skybaserte SaaS.

Kopier fileksempler

Kopier fileksempler gjør at eventuelle trusler som blir funnet på enheten, automatisk kan overføres til et definert repositorium basert på UNC-bane. Dette anbefales bare for interne trusselundersøkelser eller for å holde et sikkert repositorium med pakkede trusler i miljøet. Alle filer som er lagret av Kopier fileksempler, er pakket med et passord for infected.

Agentinnstillinger

Aktiver automatisk opplasting av loggfiler

Ved å aktivere automatisk opplasting av loggfiler kan endepunktene laste opp loggfilene sine for Dell Threat Defense hver natt ved midnatt, eller når filen når 100 MB. Logger lastes opp hver natt uavhengig av filstørrelse. Alle logger som overføres, komprimeres før de går ut av nettverket.

Aktiver skrivebordsvarsel

Aktiver skrivebordsvarsling gjør det mulig for enhetsbrukere å tillate forespørsler på enheten hvis en fil er merket som unormal eller usikker. Dette er et alternativ på høyreklikkingsmenyen til Dell Threat Defense-ikonet mot sluttpunkter med denne policyen aktivert.

Script Control (Skriptkontroll)

Script Control (Skriptkontroll)

Skriptkontroll bruker en filterbasert minneløsning for å identifisere skript som kjører på enheten, og forhindre skript hvis policyen er satt til Blokker for den skripttypen. Varslingsinnstillinger i disse policyene noterer bare skript som ville blitt blokkert i logger og på Dell Threat Defense-konsollen.

1370 og under

Disse retningslinjene gjelder for kunder før 1370, som var tilgjengelige før juni 2016. Bare aktive skript og PowerShell-baserte skript blir behandlet med disse versjonene.

1380 og over

Disse retningslinjene gjelder for klienter etter 1370, som ble tilgjengelig etter juni 2016.

Aktivt skript

Aktive skript inkluderer alle skript som tolkes av Windows-skriptverten, inkludert JavaScript, VBScript, satsvise filer og mange andre.

PowerShell

PowerShell-skript inkluderer alle skript med flere linjer som kjøres som én enkelt kommando. (Standardinnstilling – Varsel)

Blokker bruk av PowerShell-konsollen – (finnes ikke når PowerShell er angitt til varsel)

I PowerShell v3 (introdusert i Windows 8.1) og nyere kjøres de fleste PowerShell-skript som en enkeltlinjekommando. Selv om de kan inneholde flere linjer, kjøres de i rekkefølge. Dette kan omgå PowerShell-skripttolken. Block PowerShell-konsollen omgår dette ved å deaktivere muligheten til å få et hvilket som helst program til å starte PowerShell-konsollen. Integrert skriptmiljø (ISE) påvirkes ikke av denne policyen.

Makroer

Makroinnstillingen tolker makroer som finnes i Office-dokumenter og PDF-filer, og blokkerer skadelige makroer som kan forsøke å laste ned trusler.

Deaktiver skriptkontroll

Disse policyene deaktiverer muligheten til å selv varsle om skripttypene som er definert av hver policy. Når det er deaktivert, samles det ikke inn noen logging, og ingen forsøk på å oppdage eller blokkere potensielle trusler utføres.

Aktivt skript

Når dette alternativet er valgt, samles det inn logger og potensielle aktive skriptbaserte trusler blokkeres. Aktive skript inkluderer alle skript som tolkes av Windows-skriptverten, inkludert JavaScript, VBScript, satsvise filer og mange andre.

PowerShell

Når dette alternativet er avmerket, hindres det innsamling av logger og potensielle PowerShell-baserte trusler blokkeres. PowerShell-skript inkluderer alle skript med flere linjer som kjøres som én enkelt kommando.

Makroer

Når dette alternativet er valgt, hindres det innsamling av logger og potensielle makrobaserte trusler blokkeres. Makroinnstillingen tolker makroer som finnes i Office-dokumenter og PDF-filer, og blokkerer skadelige makroer som kan forsøke å laste ned trusler.

Mappeutelukkelser (inkluderer undermapper)

Mappeutelukkelser kan brukes til å definere mapper som skriptene kan kjøres i og som kan utelates. Denne delen ber om utelatelser i et relativt baneformat.

  • Mappebaner kan være til en lokal stasjon, en tilordnet nettverksstasjon eller en UNC-bane (Universal Naming Convention).
  • Utelatelser av skriptmapper må angi den relative banen til mappen eller undermappen.
  • Alle angitte mappebaner inneholder også eventuelle undermapper.
  • Jokertegn-utelatelser må bruke skråstreker i UNIX-stilen for Windows-datamaskiner. Eksempel: /windows/system*/.
  • Det eneste tegnet som støttes for jokertegn, er *.
  • Mappeutelatelser med et jokertegn må ha en skråstrek på slutten av banen for å skille mellom en mappe og en fil.
    • Mappeutelatelse: /windows/system32/*/
    • Utelatelse av filer: /windows/system32/*
  • Du må legge til et jokertegn for hvert mappenivå. For eksempel, /folder/*/script.vbs Kamper \folder\test\script.vbs eller \folder\exclude\script.vbs men fungerer ikke for \folder\test\001\script.vbs. Dette vil kreve enten /folder/*/001/script.vbs eller /folder/*/*/script.vbs.
  • Jokertegn støtter fullstendig og delvis utelatelse.
    • Eksempel på fullstendig jokertegn: /folder/*/script.vbs
    • Eksempel på delvis jokertegn: /folder/test*/script.vbs
  • Nettverksbaner støttes også med jokertegn.
    • //*/login/application
    • //abc*/logon/application

Riktig (Mac): /Mac\ HD/Users/Cases/ScriptsAllowed
Riktig (Windows): \Cases\ScriptsAllowed
Uriktig: C:\Application\SubFolder\application.vbs
Uriktig: \Program Files\Dell\application.vbs

Jokertegn Eksempler:

/users/*/temp Ville dekke:

  • \users\john\temp
  • \users\jane\temp

/program files*/app/script*.vbs Ville dekke:

  • \program files(x86)\app\script1.vbs
  • \program files(x64)\app\script2.vbs
  • \program files(x64)\app\script3.vbs

Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.

其他信息

 

视频

 

受影响的产品

Dell Threat Defense
文章属性
文章编号: 000124588
文章类型: How To
上次修改时间: 07 11月 2024
版本:  13
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。