跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

Come gestire Dell Threat Defense

摘要: Questo articolo contiene informazioni su come gestire Dell Threat Defense.

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

症状

Nota:

La console di Dell Threat Defense consente la gestione di policy, minacce e build, nonché l'organizzazione del deployment di Dell Threat Defense in un ambiente.

Per accedere all'ambiente è necessario disporre di un abbonamento attivo. Per ulteriori informazioni su come ottenerne uno, consultare la pagina del prodotto Dell Threat Defense.

Dopo l'acquisto di Dell Threat Defense, l'acquirente riceve un'e-mail con le informazioni di accesso alla console. I siti della console per Dell Threat Defense sono i seguenti:


Prodotti interessati:

Dell Threat Defense


原因

Non applicabile.

解决方案

La console di Threat Defense è suddivisa in sei sezioni:

  • Dashboard
  • Protezione
  • Zone
  • Devices
  • Reports
  • Impostazioni

Per ulteriori informazioni, cliccare su una sezione.

Una volta effettuato l'accesso alla console di Dell Threat Defense, viene visualizzato il dashboard. Il dashboard fornisce una panoramica delle minacce presenti nell'ambiente e consente di accedere alle diverse informazioni della console da un'unica posizione.

Dashboard

Statistiche sulle minacce

Le statistiche sulle minacce riportano il numero di minacce rilevate nelle ultime 24 ore e il loro numero totale per l'organizzazione. Cliccando su una statistica di minaccia viene visualizzata la pagina Protection con l'elenco delle minacce correlate a tale statistica.

  • Running Threats: file identificati come minacce attualmente in esecuzione sui dispositivi dell'organizzazione.
  • Auto-Run Threats: minacce impostate per l'esecuzione automatica.
  • Quarantined Threats: minacce messe in quarantena nelle ultime 24 ore e numero totale.
  • Unique to Cylance: minacce identificate da Cylance ma non da altre fonti di antivirus.

In Protection Percentages viene mostrata una panoramica della protezione suddivisa in Threat Protection e Device Protection.

Threat Protection

  • Threat Protection: percentuale di minacce per le quali è stata intrapresa un'azione (selezionando Quarantine, Global Quarantine, Waive e Safe Lists).

Device Protection

  • Device Protection: percentuale di dispositivi associati a una policy con quarantena automatica abilitata.

In Threats by Priority viene visualizzato il numero totale di minacce che richiedono un'azione (selezionando Quarantine, Global Quarantine, Waive e Safe Lists). Le minacce vengono raggruppate per priorità (High, Medium e Low).

Threats by Priority

Una minaccia viene classificata come bassa, media o alta in base al numero di attributi seguenti posseduti:

  • Il file ha un punteggio Cylance superiore a 80.
  • Il file è attualmente in esecuzione.
  • Il file è stato eseguito in precedenza.
  • Il file è impostato per l'esecuzione automatica.
  • La priorità della zona in cui è stata rilevata la minaccia.

Classificazioni delle minacce

Threat Events visualizza un grafico a linee con il numero di minacce individuate negli ultimi 30 giorni. Le righe sono contrassegnate da colori diversi a seconda che si tratti di file non sicuri, anomali, messi in quarantena, ignorati e cancellati.

Threat Events

Threat Classifications visualizza una mappa termica dei tipi di minaccia rilevati in un ambiente. Cliccando su un elemento, l'amministratore passa alla sezione Protection con un elenco delle minacce di quel tipo.

Threat Classifications

Top Five Lists visualizza le minacce pericolose rilevate in un ambiente per le quali non è stata eseguita alcuna azione. Il più delle volte questi elenchi dovrebbero essere vuoti.

Top Five Lists

La sezione Protection viene utilizzata per valutare e gestire le minacce che interessano i dispositivi con Dell Threat Defense. Per maggiori informazioni, selezionare la procedura appropriata.

Protezione

La console di Dell Threat Defense fornisce una valutazione approfondita dei file "non sicuri" o "anomali" per aiutare gli amministratori a mitigare correttamente le minacce nel loro ambiente.

Per valutare un file:

  1. Nella console cliccare sulla scheda Protection.

Protezione

  1. In Protection, cliccare su una minaccia per ottenere ulteriori informazioni.

Valutazione delle statistiche delle minacce

Cylance Score: tramite Cylance viene assegnato un punteggio compreso tra 1 (limitato) e 100 (alto) in base agli attributi delle minacce.

Quarantined by users in [Tenant]: quali azioni sul file sono state intraprese dagli utenti all'interno dell'ambiente (tenant).

Quarantined by all Cylance users: quali azioni sul file sono state eseguite dagli utenti all'interno di tutti gli ambienti Cylance.

Classification: identificazione generale di un file/minaccia.

Timestamp di una minaccia

First Found: quando il file è stato trovato per la prima volta nell'ambiente

Last Found: quando il file è stato trovato per l'ultima volta nell'ambiente

Azioni di una minaccia

Global Quarantine: aggiunge un file all'elenco dei file in quarantena globale per l'ambiente. Ogni volta che il file viene visualizzato su un dispositivo verrà automaticamente messo in quarantena nella cartella \q.

Safe: aggiunge un file all'elenco dei file sicuri per un ambiente. Se un file è attualmente in quarantena, viene riportato automaticamente nella sua posizione originale.

SHA256: hash di crittografia 256 utilizzato per identificare il file o la minaccia. Un amministratore può cliccare sull'hash per eseguire su Google una ricerca delle occorrenze note.

MD5: hash di crittografia 128 utilizzato per identificare il file o la minaccia. Un amministratore può cliccare sull'hash per eseguire su Google una ricerca delle occorrenze note.

Nota: un file o una minaccia può avere solo occorrenze SHA256 o MD5 note. Entrambi gli hash sono elencati per garantire una visione completa del file o della minaccia.

Download File: consente a un amministratore di scaricare il file per ulteriori valutazioni e test.

Livelli di sicurezza di una minaccia

Cylance Score: tramite Cylance viene assegnato un punteggio compreso tra 1 (limitato) e 100 (alto) in base agli attributi delle minacce.

AV Industry: determina se i motori antivirus di terze parti identificano il file come minaccia attraverso il controllo dell'indice virustotal.com.

Search Google: ricerca su Google gli hash e il nome del file per ulteriori informazioni sul file o sulla minaccia.

È possibile che alcuni file vengano erroneamente identificati come minacce all'interno di un ambiente. Gli amministratori possono aggiungerli all'elenco dei file sicuri globale per evitare che vangano messi in quarantena. Ogni file messo in quarantena prima di essere inserito nell'elenco dei file sicuri viene riportato nella sua posizione originale.

Nota: prima di inserire un elemento nell'elenco dei file sicuri, si consiglia di valutare la minaccia.

Per inserire un elemento nell'elenco file sicuri:

  1. Nella console cliccare sulla scheda Protection.

Protezione

  1. In Protection verificare la minaccia da inserire nell'elenco dei file sicuri, quindi cliccare su Safe.

Safe

  1. Nella finestra pop-up di conferma dell'azione, in Category selezionare una categoria di file dal menu a discesa. In questo modo si agevola la classificazione del file/della minaccia.

Action Confirmation

  1. In Reason inserire il motivo dell'inserimento nell'elenco file sicuri. In questo modo si fornisce visibilità per tutto l'ambiente.
  2. Cliccare su Yes per confermare l'inserimento.
Nota:
  • I precedenti elementi elencati come sicuri possono essere esaminati e modificati in qualsiasi momento nella sezione Settings > Global List della console di Dell Threat Defense.
  • I file possono inseriti nell'elenco dei file sicuri a livello globale, di policy o di dispositivo. Nel nostro esempio l'operazione è stata eseguita a livello globale.

Un amministratore può mettere in quarantena un file in modo proattivo aggiungendolo all'elenco dei file in quarantena globale per evitare che raggiunga i dispositivi.

Per mettere in quarantena un file a livello globale:

  1. Nella console cliccare sulla scheda Protection.

Protezione

  1. In Protection verificare la minaccia da inserire nell'elenco, quindi cliccare su Global Quarantine.

Global Quarantine

  1. Nella finestra pop-up di conferma dell'azione, in Reason inserire il motivo della messa in quarantena. Questa azione conferisce visibilità ad altri amministratori e responsabili di zona.
  2. Cliccare su Yes per confermare la messa in quarantena globale.
Nota:
  • I precedenti elementi in quarantena possono essere esaminati e modificati in qualsiasi momento nella sezione Settings > Global List della console di Dell Threat Defense.
  • I file possono essere inseriti nell'elenco a livello globale o di dispositivo. Nel nostro esempio l'operazione è stata eseguita a livello globale.

Le zone vengono utilizzate per creare contenitori responsabili della gestione e dell'organizzazione dei dispositivi. Per ulteriori informazioni, consultare l'articolo Come gestire le zone in Dell Threat Defense (in inglese).

Zone

La sezione Devices viene utilizzata per aggiungere, gestire e generare rapporti sui dispositivi (agent) all'interno di un ambiente con Dell Threat Defense. Le azioni più comuni in questa sezione sono il download del programma di installazione, l'ottenimento del token di installazione, l'abilitazione della registrazione dettagliata e la rimozione di un dispositivo. Per maggiori informazioni, cliccare sulla procedura appropriata.

Devices

Il programma di installazione di Threat Defense di Dell è disponibile direttamente all'interno del tenant. Per la procedura di download di Dell Threat Defense, consultare l'articolo Come scaricare Dell Threat Defense.

Per installare Dell Threat Defense su un dispositivo, è necessario ottenere un token di installazione valido tramite il tenant. Per istruzioni su come ottenere un token di installazione, consultare l'articolo Come ottenere un token di installazione per Dell Threat Defense (in inglese).

Per impostazione predefinita, i dispositivi prevedono una registrazione limitata per Dell Threat Defense. Si consiglia di abilitare la registrazione dettagliata su un dispositivo prima di eseguire la risoluzione dei problemi o contattare Dell Data Security ProSupport. Per ulteriori informazioni, fare riferimento a Numeri di telefono internazionali del supporto di Dell Data Security. Per ulteriori informazioni su come abilitare la registrazione dettagliata, consultare Come abilitare la registrazione dettagliata per Dell Threat Defense (in inglese).

I dispositivi non vengono rimossi automaticamente dalla console di Dell Threat Defense durante la disinstallazione. È quindi necessario che un amministratore rimuova manualmente il dispositivo dalla console del tenant. Per ulteriori informazioni, consultare Come rimuovere un dispositivo dalla console di amministrazione di Dell Threat Defense.

I report di riepilogo o dettagliati forniscono panoramiche e dettagli sui dispositivi e le minacce in un'organizzazione.

Le minacce vengono riportate in base agli eventi. Un evento rappresenta una singola istanza di una minaccia. Ad esempio, se un determinato file (hash specifico) si trova in tre diverse posizioni di cartelle sullo stesso dispositivo, il numero degli eventi di minaccia sarà pari a 3. Altre aree della console, ad esempio la pagina Threat Protection, possono indicare i conteggi delle minacce per un particolare file in base al numero di dispositivi su cui viene rilevato, indipendentemente dal numero di istanze del file presenti su un determinato dispositivo. Ad esempio, se un determinato file (hash specifico) si trova in tre diverse posizioni di cartelle sullo stesso dispositivo, il numero degli eventi di minaccia sarà pari a 1.

I dati dei report vengono aggiornati ogni tre minuti circa. Per ulteriori informazioni, cliccare su Threat Defense Overview, Threat Event Summary, Device Summary, Threat Events oppure Devices.

Reports

Viene fornito un riepilogo dell'utilizzo di Dell Threat Defense da parte di un'organizzazione, dal numero di zone e dispositivi, alla percentuale di dispositivi coperti da quarantena automatica, eventi di minaccia, versioni dell'agente e giorni offline dei dispositivi.

Threat Defense Overview

Zones: visualizza il numero di zone dell'organizzazione.

Devices: visualizza il numero di dispositivi dell'organizzazione. Un dispositivo è un endpoint con un Threat Defense Agent registrato.

Policies: visualizza il numero di policy create nell'organizzazione.

Files Analyzed: visualizza il numero di file analizzati nell'organizzazione (su tutti i dispositivi dell'organizzazione).

Threat Events

Threat Events: mostra un grafico a barre con gli eventi di minaccia relativi a file non sicuri, anomali e messi in quarantena, raggruppati per giorno, per gli ultimi 30 giorni. Passando il mouse su una barra del grafico viene visualizzato il numero totale di eventi di minaccia segnalati in quel giorno.

Le minacce vengono raggruppate secondo la data di segnalazione, ovvero la data in cui la console ha ricevuto dal dispositivo informazioni circa una minaccia. La data di segnalazione può differire dalla data effettiva dell'evento se il dispositivo non era online al momento dell'evento.

Devices - Dell Threat Defense Agent Versions

Devices - Dell Threat Defense Agent Versions: visualizza un grafico a barre che rappresenta il numero di dispositivi che eseguono una versione di Threat Defense Agent. Passando il mouse su una barra del grafico viene visualizzato il numero di dispositivi che eseguono la versione specifica di Threat Defense Agent.

Offline Days

Offline Days: visualizza il numero di dispositivi che sono stati offline per un certo intervallo di giorni (da 0 a 15 giorni, fino a più di 61 giorni). Visualizza inoltre un grafico a barre con codifica colore con ciascun intervallo di giorni.

Auto-quarantine Coverage

Devices - Dell Threat Defense Agent Versions: visualizza un grafico a barre che rappresenta il numero di dispositivi che eseguono una versione di Threat Defense Agent. Passando il mouse su una barra del grafico viene visualizzato il numero di dispositivi che eseguono la versione specifica di Threat Defense Agent.

Il report Threat Event Summary mostra la quantità di file identificati in due delle classificazioni delle minacce di Cylance, ovvero malware e PUP (Potentially Unwanted Program), e include una vista dettagliata delle classificazioni di sottocategoria relative a ciascuna famiglia. Inoltre, negli elenchi Top 10 File Owners e Top 10 Devices with Threats vengono visualizzati i conteggi degli eventi di malware, PUP e Dual Use.

Threat Event Summary

Total Malware Events: visualizza il numero totale di eventi di malware identificati nell'organizzazione.

Total PUPs Events: visualizza il numero totale di eventi di PUP identificati nell'organizzazione.

Unsafe/Abnormal Malware Events: visualizza il numero totale di eventi di malware non sicuri e anomali rilevati nell'organizzazione.

Unsafe/Abnormal PUP Events: visualizza il numero totale di eventi di PUP non sicuri e anomali rilevati nell'organizzazione.

Malware Event Classifications

Malware Event Classifications: visualizza un grafico a barre con ciascun tipo di classificazione di malware per gli eventi di minaccia rilevati sui dispositivi nell'organizzazione. Passando il mouse su una barra del grafico viene visualizzato il numero totale di eventi di malware rilevati per la determinata classificazione.

PUP Event Classifications

PUP Event Classifications: visualizza un grafico a barre con ciascun tipo di classificazione di PUP per gli eventi di minaccia rilevati sui dispositivi nell'organizzazione. Passando il mouse su una barra del grafico viene visualizzato il numero totale di eventi di PUP rilevati per la determinata classificazione.

Top 10 File Owners with the Most Threat Events

Top 10 File Owners with the Most Threat Events: visualizza un elenco dei primi 10 proprietari di file con il maggior numero di eventi di minaccia. Questo widget mostra gli eventi relativi a tutte le famiglie di minacce Cylance basate su file, non solo gli eventi di malware o PUP.

Top 10 Devices with the Most Threat Events

Top 10 Devices with the Most Threat Events: visualizza un elenco dei primi 10 dispositivi con il maggior numero di eventi di minaccia. Questo widget mostra gli eventi relativi a tutte le famiglie di minacce Cylance basate su file, non solo gli eventi di malware o PUP.

Il report Device Summary mostra varie misurazioni importanti riguardanti i dispositivi. Auto-Quarantine Coverage indica la copertura della prevenzione delle minacce e può essere utilizzata per visualizzarne l'avanzamento. Devices - Threat Defense Version Stats consente di identificare le versioni di Threat Defense Agent meno recenti. Offline Days può segnalare i dispositivi che non accedono più alla console di Threat Defense e che sono quindi candidati per la rimozione.

Total Devices

Total Devices: visualizza il numero totale di dispositivi dell'organizzazione. Un dispositivo è un endpoint con un Threat Defense Agent registrato.

Auto-quarantine Coverage

Auto-quarantine Coverage: visualizza il numero di dispositivi la cui policy prevede la quarantena automatica sia per i file non sicuri che per quelli anomali. Questi dispositivi sono considerati abilitati. I dispositivi disabilitati sono assegnati a un criterio con una o entrambe queste opzioni disabilitate. Il grafico a torta mostra la percentuale di dispositivi assegnati a una policy con quarantena automatica disabilitata per i file non sicuri, anomali o entrambi.

Devices - Dell Threat Defense Agent Versions

Devices - Dell Threat Defense Agent Versions: visualizza un grafico a barre che rappresenta il numero di dispositivi che eseguono una versione di Threat Defense Agent. Passando il mouse su una barra del grafico viene visualizzato il numero di dispositivi che eseguono la versione specifica di Threat Defense Agent.

Offline Days

Offline Days: visualizza il numero di dispositivi che sono stati offline per un certo intervallo di giorni (da 0 a 15 giorni, fino a più di 61 giorni). Visualizza inoltre un grafico a barre con codifica colore con ciascun intervallo di giorni.

Il report Threat Events fornisce dati relativi agli eventi di minaccia rilevati nell'organizzazione. Le minacce vengono raggruppate secondo la data di segnalazione, ovvero la data in cui la console ha ricevuto dal dispositivo informazioni circa una minaccia. La data di segnalazione può differire dalla data effettiva dell'evento se il dispositivo non era online al momento dell'evento.

# of Threat Events

# of Threat Events: mostra un grafico a barre con gli eventi di minaccia rilevati nell'organizzazione. Passando il mouse su una barra del grafico viene visualizzato il numero totale di eventi di minaccia segnalati in quel giorno. Il grafico a barre mostra gli ultimi 30 giorni.

Threat Events Table: visualizza le informazioni sugli eventi di minaccia.

Il report Devices mostra il numero di dispositivi in base al sistema operativo (Windows e macOS).

Devices

# of Devices by OS: visualizza un grafico a barre con i dispositivi organizzati per gruppi di sistemi operativi principali (Windows e macOS). Passando il mouse su una barra del grafico viene visualizzato il numero totale di dispositivi nel determinato gruppo di sistema operativo.

Devices Table: visualizza un elenco dei nomi e delle informazioni dei dispositivi presenti nell'organizzazione.

La sezione Settings consente di gestire i criteri dei dispositivi e l'accesso alla console, di configurare gli aggiornamenti e di generare report di verifica. Le azioni più comuni in questa sezione sono l'aggiunta di una password di disinstallazione, l'aggiunta di utenti della console, l'aggiunta di un criterio per i dispositivi, la generazione di report e la configurazione degli aggiornamenti. Per maggiori informazioni, cliccare sulla procedura appropriata.

Impostazioni

Come ulteriore livello di sicurezza, un amministratore di Dell Threat Defense può imporre a un dispositivo Threat Defense la richiesta di una password per disinstallare l'applicazione. Per ulteriori informazioni, consultare l'articolo Come aggiungere una password per la disinstallazione in Dell Threat Defense.

Nella configurazione di base è elencato solo l'acquirente iniziale come amministratore della console di Dell Threat Defense. Per ulteriori informazioni, consultare l'articolo Come aggiungere utenti alla console di amministrazione di Dell Threat Defense (in inglese).

I criteri dei dispositivi sono fondamentali per la funzionalità di Dell Threat Defense. Nella configurazione di base le funzioni di prevenzione avanzata delle minacce sono disattivate come policy "predefinita". È importante modificare la policy "predefinita" o crearne una nuova prima di implementare Threat Defense. Per ulteriori informazioni, consultare l'articolo Come modificare i criteri in Dell Threat Defense (in inglese).

La console di Dell Threat Defense consente di generare con facilità un report sullo stato delle minacce nell'ambiente. Per ulteriori informazioni, consultare l'articolo Come generare report in Dell Threat Defense (in inglese).

La configurazione di base per la console di Dell Threat Defense prevede l'aggiornamento automatico dei dispositivi alla build più recente. L'amministratore di Threat Defense può, facoltativamente, implementare le build in zone pilota e di test prima di immetterle in produzione. Per ulteriori informazioni, consultare l'articolo Come configurare gli aggiornamenti in Dell Threat Defense (in inglese).


Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

 

受影响的产品

Dell Encryption, Dell Threat Defense
文章属性
文章编号: 000126398
文章类型: Solution
上次修改时间: 19 12月 2022
版本:  10
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。