Gestion de Dell Threat Defense

La console Dell Threat Defense est responsable de la gestion des stratégies, des menaces, des versions et de l’organisation du déploiement Dell Threat Defense d’un environnement.

L’environnement nécessite un abonnement actif pour l’accès. Pour plus d’informations sur l’obtention d’un abonnement, consultez la page produit de Dell Threat Defense.

Au moment de l’achat de Dell Threat Defense, un e-mail contenant les informations de connexion à la console Dell Threat Defense est envoyé à l’acheteur. Les sites de console pour Dell Threat Defense sont les suivants :

• Amérique du Nord : https://dellthreatdefense.cylance.com/Login
• Europe : https://dellthreatdefense-eu.cylance.com
• Asie Pacifique : https://dellthreatdefense-au.cylance.com

Produits concernés :

• Dell Threat Defense

La console Dell Threat Defense est divisée en six sections :

• Tableau de bord
• Protection
• Zones
• Appareils
• Rapports
• Settings (Paramètres)

Cliquez sur une section pour plus d’informations.

Tableau de bord

Le Tableau de bord s’affiche lors de la connexion à la console Dell Threat Defense. Le Tableau de bord fournit une vue d’ensemble des menaces dans l’environnement et permet d’accéder aux différentes informations de la console à partir d’une seule page.

Statistiques relatives aux menaces

Les statistiques sur les menaces indiquent le nombre de menaces détectées au cours des dernières 24 heures et le total pour votre organisation. Cliquez sur Threat Statistic pour accéder à la page Protection et afficher la liste des menaces liées à cette statistique.

• Menaces en cours d’exécution : fichiers identifiés comme des menaces qui sont actuellement exécutés sur les appareils de l’entreprise.
• Menaces automatiquement exécutées : menaces configurées pour s’exécuter automatiquement.
• Menaces mises en quarantaine : menaces mises en quarantaine au cours des dernières 24 heures et au total.
• Propres à Cylance : menaces identifiées par Cylance, mais pas par d’autres sources antivirus.

Pourcentages de protection

Les Pourcentages de protection affichent une vue d’ensemble de la Protection contre les menaces et de la Protection des appareils.

• Protection contre les menaces : pourcentage des menaces pour lesquelles vous avez effectué une action (mise en quarantaine, mise en quarantaine globale, ignorée ou identifiée par erreur).

• Protection des appareils : pourcentage des appareils associés à une stratégie pour laquelle la mise en quarantaine automatique est activée.

Menaces par priorité

La section Menaces par priorité affiche le nombre total de menaces qui nécessitent une action (mise en quarantaine, quarantaine globale, renonciation et listes de sécurité). Les menaces sont regroupées par priorité (élevée, moyenne et faible).

Une menace est classée comme faible, moyenne ou élevée en fonction du nombre d’attributs suivants qu’elle possède :

• Le fichier présente un indice Cylance supérieur à 80.
• Le fichier est en cours d’exécution.
• Le fichier a déjà été exécuté.
• Le fichier est configuré pour s’exécuter automatiquement.
• La priorité de la zone où la menace a été détectée.

Événements de menace

Événements de menace affiche un graphique linéaire indiquant le nombre de menaces détectées au cours des 30 derniers jours. Les lignes sont codées par couleur pour les fichiers non sécurisés, anormaux, mis en quarantaine, supprimés et effacés .

Classification des menaces

Classification des menaces affiche une carte thermique des types de menaces détectés dans un environnement. En cliquant sur un élément, l’administrateur accède à la section Protection et affiche la liste des menaces de ce type.

Listes des cinq premières

Les Listes des cinq premières affichent les menaces dangereuses d’un environnement qui n’ont pas été traitées. Ces listes sont généralement vides.

Protection

La section Protection permet d’évaluer et de gérer les menaces affectant les appareils à l’aide de Dell Threat Defense. Sélectionnez l’étape ci-dessous pour obtenir plus d’informations.

Évaluation des menaces

La console Dell Threat Defense fournit une évaluation détaillée sur les fichiers « dangereux » ou « anormaux » afin d’aider les administrateurs à réduire suffisamment les menaces dans leur environnement.

Les instructions étape par étape suivantes expliquent comment évaluer un fichier.

1. Dans la console, cliquez sur l’onglet Protection .
   
2. Sous Protection, cliquez sur une menace pour obtenir plus d’informations.
   

• Indice Cylance : un indice compris entre 1 (limité) et 100 (élevé) est attribué par Cylance en fonction des attributs de la menace.
• Mise en quarantaine par des utilisateurs dans [tenant] : les actions effectuées sur le fichier ont été effectuées par des utilisateurs au sein de l’environnement (tenant).
• Mise en quarantaine par tous les utilisateurs Cylance : les actions effectuées sur le fichier ont été effectuées par des utilisateurs au sein de tous les environnements Cylance.
• Classification : Identification générale du fichier (menace).

• Première détection : Lorsque le fichier a été trouvé pour la première fois dans l’environnement
• Dernière détection : la dernière fois où le fichier a été détecté dans l’environnement

• Quarantaine globale : ajoute un fichier à la liste de quarantaine globale de l’environnement. Chaque fois qu’un fichier apparaît sur un appareil, il est automatiquement mis en quarantaine dans la \q .
• Sécurité : ajoute un fichier à la liste des menaces identifiées par erreur d’un environnement. Si un fichier est actuellement mis en quarantaine, il est automatiquement remis à son emplacement d’origine.
• SHA256 : Hachage cryptographique 256 utilisé pour identifier le fichier (menace). Un administrateur peut cliquer sur le hachage pour effectuer une recherche Google des occurrences connues.
• MD5 : Hachage cryptographique 128 utilisé pour identifier le fichier (menace). Un administrateur peut cliquer sur le hachage pour effectuer une recherche Google des occurrences connues.

• Télécharger le fichier : permet à l’administrateur de télécharger le fichier à des fins d’évaluation et de test.

• Indice Cylance : un indice compris entre 1 (limité) et 100 (élevé) est attribué par Cylance en fonction des attributs de la menace.
• Secteur antivirus : détermine si les moteurs antivirus tiers identifient le fichier comme une menace en vérifiant l’index virustotal.com.
• Rechercher dans Google : Effectue une recherche sur Google pour les hachages et le nom de fichier afin d’obtenir plus d’informations sur le fichier (menace).

Fichiers identifiés par erreur

Des fichiers peuvent être identifiés de façon incorrecte comme des menaces au sein d’un environnement. Les administrateurs peuvent les ajouter à la liste globale des menaces identifiées par erreur pour les empêcher d’être mis en quarantaine. Tous les fichiers mis en quarantaine avant d’être ajoutés à cette liste reviennent à leur emplacement d’origine.

Les étapes suivantes expliquent comment ajouter un fichier à la liste fiable.

1. Dans la console, cliquez sur l’onglet Protection .
   
2. Sous Protection, cochez la menace à inscrire sur la liste fiable, puis cliquez sur Sûre.
   
3. Dans la fenêtre contextuelle Action Confirmation , sélectionnez une catégorie de fichier dans le menu déroulant. Cela facilite la classification des fichiers (menaces).
   
4. Renseignez le Motif de l’ajout à la liste. Cela permet une visibilité au sein de l’environnement.
5. Cliquez sur Oui pour confirmer l’inscription du fichier sur la liste fiable.
   Remarque :

   • Les éléments précédemment inscrits sur la liste blanche peuvent être consultés et modifiés à tout moment dans la section Paramètres, puis Liste globale de la console Dell Threat Defense.
   • Les fichiers peuvent être ajoutés à la liste au niveau global, au niveau de la stratégie ou au niveau de l’appareil. Dans notre exemple, il est inscrit sur la liste de sécurité au niveau mondial.

Mise en quarantaine globale des fichiers

L’administrateur peut mettre en quarantaine un fichier de façon proactive afin de l’empêcher de cibler ses appareils en l’ajoutant à la liste de quarantaine globale.

Les instructions étape par étape suivantes expliquent comment mettre globalement en quarantaine un fichier.

1. Dans la console, cliquez sur l’onglet Protection .
   
2. Sous Protection, cochez la menace à inscrire sur la liste fiable, puis cliquez sur Quarantaine globale.
   
3. Dans l’invite Action Confirmation , renseignez le motif de la mise en quarantaine. Cela permet de fournir une visibilité aux autres administrateurs et gestionnaires de zone.
4. Cliquez sur Oui pour confirmer la mise en quarantaine globale.
   Remarque :

   • Les éléments précédemment mis en quarantaine peuvent être consultés et modifiés à tout moment dans la section Liste globale des paramètres> de la console Dell Threat Defense.
   • Les fichiers peuvent être mis en quarantaine au niveau global ou au niveau de l’appareil. L’exemple est mis en quarantaine au niveau mondial.

Zones

Les zones servent à créer des conteneurs responsables de la gestion et de l’organisation des appareils. Pour plus d’informations, consultez Gestion des zones dans Dell Threat Defense (en anglais).

Appareils

La section Appareils permet d’ajouter, de gérer et de générer des rapports sur les appareils (agents) au sein d’un environnement à l’aide de Dell Threat Defense. Les actions les plus courantes de cette section sont le Téléchargement du programme d’installation, l’Obtention d’un jeton d’installation, l’Activation de la journalisation détaillée et la Suppression d’un appareil. Cliquez sur l’étape appropriée pour obtenir plus d’informations.

Télécharger le programme d’installation

Le programme d’installation Dell Threat Defense est disponible directement dans le tenant. Pour connaître la procédure à suivre pour télécharger Dell Threat Defense, consultez Télécharger Dell Threat Defense.

Obtenir un jeton d’installation

Pour installer Dell Threat Defense sur un appareil, un jeton d’installation valide doit être obtenu auprès du client. Pour plus d’informations sur l’obtention d’un jeton d’installation, consultez Obtenir un jeton d’installation pour Dell Threat Defense (en anglais).

Activer la journalisation détaillée

Par défaut, les appareils contiennent une journalisation limitée pour Dell Threat Defense. Il est vivement recommandé d’activer la journalisation détaillée sur un appareil avant de procéder au dépannage ou de contacter Dell Data Security ProSupport. Pour plus d’informations, consultez l’article Numéros de téléphone du support international Dell Data Security. Pour plus d’informations sur l’activation de la journalisation détaillée, consultez Activer la journalisation détaillée dans Dell Threat Defense (en anglais).

Supprimer un appareil

Les appareils ne sont pas automatiquement supprimés de la console Dell Threat Defense lors de la désinstallation. L’administrateur doit retirer manuellement l’appareil de la console des tenants. Pour plus d’informations, consultez Comment supprimer un appareil de la console d’administration Dell Threat Defense.

Rapports

Les Rapports fournissent des rapports récapitulatifs et détaillés qui offrent des vues d’ensemble et des détails sur les appareils et les menaces d’une entreprise.

Les rapports affichent les menaces en fonction des événements. Un événement représente une instance individuelle d’une menace. Par exemple, si un fichier particulier (hachage spécifique) se trouve dans trois emplacements de dossiers différents sur le même appareil, le nombre d’événements de menace est égal à 3. D’autres zones de la console, telles que la page Protection contre les menaces, peuvent afficher le nombre de menaces pour un fichier spécifique en fonction du nombre d’appareils sur lesquels le fichier est trouvé, quel que soit le nombre d’instances du fichier présentes sur un appareil donné. Par exemple, si un fichier particulier (hachage spécifique) se trouve dans trois emplacements de dossiers différents sur le même appareil, le nombre de menaces est égal à 1.

Les données des rapports sont actualisées toutes les trois minutes environ. Cliquez sur Présentation de Threat Defense, Threat Event Summary, Device Summary, Threat Events ou Devices pour plus d’informations.

Vue d’ensemble de Dell Threat Defense

Fournit un résumé analytique de l’utilisation de Dell Threat Defense par une entreprise, allant du nombre de zones et d’appareils au pourcentage d’appareils couverts par la mise en quarantaine automatique, en passant par les événements de menace, les versions de l’agent et les jours hors ligne pour les appareils.

• Zones : affiche le nombre de zones au sein de l’entreprise.
• Appareils : affiche le nombre d’appareils au sein de l’entreprise. Un appareil est un point de terminaison doté d’une version de Dell Threat Defense Agent inscrite.
• Stratégies : affiche le nombre de stratégies créées dans l’entreprise.
• Fichiers analysés : affiche le nombre de fichiers analysés dans l’entreprise (sur tous les appareils de l’entreprise).

• Événements de menace : affiche un graphique à barres contenant les événements de menace Dangereux, Anormaux et En quarantaine, regroupés par jour, pour les 30 derniers jours. Lorsque vous placez le pointeur de la souris sur une barre du graphique, le nombre total d’événements de menace signalés ce jour-là s’affiche.
• Les menaces sont regroupées en fonction de la date de signalement , c’est-à-dire lorsque la console a reçu des informations de l’appareil sur une menace. La date de rapport peut différer de la date réelle de l’événement si l’appareil n’était pas en ligne au moment de l’événement.

• Appareils – Versions de Dell Threat Defense Agent : affiche un graphique à barres représentant le nombre d’appareils exécutant une version de Dell Threat Defense Agent. Placez le pointeur de la souris sur une barre du graphique pour afficher le nombre d’appareils exécutant cette version de Dell Threat Defense Agent.

• Jours hors ligne : Affiche le nombre d’appareils qui ont été hors ligne pendant une période de plusieurs jours (de 0 à 15 jours, jusqu’à 61+ jours). Affiche également un graphique à barres avec un code couleur pour chaque plage de jours.

• Appareils – Versions de Dell Threat Defense Agent : affiche un graphique à barres représentant le nombre d’appareils exécutant une version de Dell Threat Defense Agent. Placez le pointeur de la souris sur une barre du graphique pour afficher le nombre d’appareils exécutant cette version de Dell Threat Defense Agent.

Récapitulatif des événements de menace

Le rapport récapitulatif des événements de menace indique la quantité de fichiers identifiés dans deux des classifications de menaces de Cylance : les logiciels malveillants et les programmes potentiellement indésirables (PUP) et comprend une répartition en sous-catégories spécifiques pour chaque famille. En outre, les listes des 10 propriétaires et appareils avec le plus de menaces affichent le nombre d’événements de menace pour les logiciels malveillants, les PUP et les menaces à double usage.

• Total des événements de logiciels malveillants : affiche le nombre total d’événements de logiciels malveillants détectés au sein de l’entreprise.
• Total des événements de PUP : affiche le nombre total d’événements de PUP détectés au sein de l’entreprise.
• Événements de logiciels malveillants dangereux/anormaux : affiche le nombre total d’événements de logiciels malveillants dangereux et anormaux détectés au sein de l’entreprise.
• Événements de PUP dangereux/anormaux : affiche le nombre total d’événements de PUP dangereux et anormaux détectés au sein de l’entreprise.

• Catégories d’événements de logiciels malveillants : affiche un graphique à barres avec chaque type de catégorie de logiciel malveillant pour les événements de menace détectés sur les appareils de l’entreprise. Placez le pointeur de la souris sur une barre du graphique pour afficher le nombre total d’événements de logiciels malveillants détectés pour cette catégorie.

• Catégories d’événements de PUP : Affiche un graphique à barres avec chaque type de classification PUP pour les événements de menace qui se trouvent sur les appareils de l’organisation. Placez le pointeur de la souris sur une barre du graphique pour afficher le nombre total d’événements de PUP détectés pour cette catégorie.

• 10 propriétaires de fichiers avec le plus de menaces : affiche la liste des 10 propriétaires de fichiers qui ont le plus d’événements de menace. Ce widget affiche les événements de toutes les familles de menaces basées sur des fichiers Cylance, et pas seulement les événements de logiciels malveillants ou de PUP.

• 10 appareils avec le plus d’événements de menace : affiche la liste des 10 appareils avec le plus d’événements de menace. Ce widget affiche les événements de toutes les familles de menaces basées sur des fichiers Cylance, et pas seulement les événements de logiciels malveillants ou de PUP.

Récapitulatif des appareils

Le Rapport récapitulatif des appareils présente plusieurs mesures d’importance centrées sur les appareils. La couverture de la mise en quarantaine automatique révèle la couverture de la prévention des menaces et peut être utilisée pour afficher la progression. Appareils - Les statistiques de version de Threat Defense permettent d’identifier les agents Threat Defense plus anciens. Les jours hors ligne peuvent indiquer des appareils qui ne sont plus consultés dans la console Threat Defense et qui sont susceptibles d’être supprimés.

• Nombre total d’appareils : affiche le nombre total d‘appareils au sein de l’entreprise. Un appareil est un point de terminaison doté d’une version de Dell Threat Defense Agent inscrite.

• Couverture de mise en quarantaine automatique : affiche le nombre d’appareils dont la stratégie est définie avec les états Dangereux et Anormal sélectionnés pour la mise en quarantaine automatique. Ces appareils sont considérés comme Activés. Les appareils Désactivés sont affectés à une stratégie pour laquelle l’une des deux options ou les deux options sont désactivées. Le graphique à secteurs affiche le pourcentage d’appareils affectés à une stratégie avec la mise en quarantaine automatique désactivée pour l’état Dangereux, Anormal ou les deux.

• Appareils – Versions de Dell Threat Defense Agent : affiche un graphique à barres représentant le nombre d’appareils exécutant une version de Dell Threat Defense Agent. Placez le pointeur de la souris sur une barre du graphique pour afficher le nombre d’appareils exécutant cette version de Dell Threat Defense Agent.

• Jours hors ligne : affiche le nombre d’appareils qui ont été hors ligne sur une plage de jours (de 0 à 15 jours à 61 jours et plus). Affiche également un graphique à barres avec un code couleur pour chaque plage de jours.

Événements de menace

Le rapport sur les événements de menace fournit des données sur les événements de menace détectés dans l’organisation. Les menaces sont regroupées en fonction de la date de signalement , c’est-à-dire lorsque la console a reçu des informations de l’appareil sur une menace. La date de rapport peut différer de la date réelle de l’événement si l’appareil n’était pas en ligne au moment de l’événement.

• Nombre d’événements de menace : affiche un graphique à barres affichant les événements de menace signalés au sein de l’entreprise. Lorsque vous placez le pointeur de la souris sur une barre du graphique, le nombre total d’événements de menace signalés ce jour-là s’affiche. Le graphique à barres affiche les 30 derniers jours.
• Tableau des événements de menace : affiche des informations sur les événements de menace.

Appareils

Le rapport sur les appareils indique le nombre d’appareils que vous possédez pour une famille de systèmes d’exploitation (Windows et macOS).

• Nombre d’appareils par système d’exploitation : affiche un graphique à barres avec les appareils organisés par groupes de systèmes d’exploitation principaux (Windows et macOS). Placez le pointeur de la souris sur une barre du graphique pour afficher le nombre total d’appareils dans ce groupe de systèmes d’exploitation.
• Tableau des appareils : affiche la liste des noms d’appareils et des informations sur les appareils de l’entreprise.

Settings (Paramètres)

La section Paramètres permet de gérer les stratégies d’appareil et l’accès à la console, de configurer les mises à jour et de générer des rapports d’audit. Les actions les plus courantes de cette section sont l’Ajout d’un mot de passe de désinstallation, l’Ajout d’utilisateurs à la console, l’Ajout de stratégies d’appareil, la Génération de rapports et la Configuration des mises à jour. Cliquez sur l’étape appropriée pour obtenir plus d’informations.

Ajouter un mot de passe de désinstallation

Pour renforcer la couche de sécurité, un administrateur Dell Threat Defense peut forcer les appareils Threat Defense à exiger un mot de passe pour désinstaller l’application. Pour plus d’informations, voir Ajout ou suppression d’un mot de passe de désinstallation dans Dell Threat Defense.

Ajouter des utilisateurs de console

La configuration de base ne définit que l’acheteur initial comme administrateur de la console Dell Threat Defense. Pour plus d’informations, consultez Ajouter des utilisateurs à la console Dell Threat Defense Administration (en anglais).

Ajouter une stratégie d’appareil

Les stratégies d’appareil sont essentielles dans les fonctionnalités de Dell Threat Defense. Dans la configuration de base, les fonctionnalités de prévention contre les menaces avancées sont désactivées dans la stratégie « par défaut ». Il est important de modifier la stratégie « par défaut » ou de créer une nouvelle stratégie avant de déployer Dell Threat Defense. Pour plus d’informations, consultez Modifier des stratégies dans Dell Threat Defense (en anglais).

Créer des rapports

La console Dell Threat Defense permet de générer un rapport sur l’état des menaces dans un environnement. Pour plus d’informations, consultez Générer des rapports dans Dell Threat Defense (en anglais).

Configurer les mises à jour

La configuration de base de la console Dell Threat Defense met automatiquement à jour les appareils vers la dernière version. L’administrateur de Dell Threat Defense peut, s’il le souhaite, déployer des versions pour tester et piloter des zones avant la production. Pour plus d’informations, consultez Configurer les mises à jour dans Dell Threat Defense (en anglais).

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.