跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

Oppdateringer i oppdagelsesmetode for Dell Endpoint Security Suite Enterprise Advanced Threat Protection (på engelsk)

摘要: Oppdateringer av Dell Endpoint Security Suite Enterprise eller Dell Threat Defense kan føre til endringer i hvordan trusler evalueres.

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

症状

Merk:

Berørte produkter:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Berørte versjoner:

  • 1.2.137x 
  • 1.2.139x
  • 2.0.145x

原因

Dell Data Protections Advanced Threat Protection-produkter; Dell Threat Defense og Dell Endpoint Security Suite Enterprise kan ha sporadiske oppdateringer som endrer hvordan trusler evalueres. Disse oppdateringene kalles ofte «modelloppdateringer», siden de er oppdateringer av trusselmodellen.

解决方案

For å hjelpe brukerne med å finne ut hvordan en ny modell kan påvirke organisasjonen, finnes det to kolonner på siden Beskyttelse i konsollen. Du kan bruke produksjonsstatus og ny status-sammenligning for å se hvilke filer på enhetene som modellendringen er berørt av.

Brukere bør teste de nye modellene før full produksjonsopprulling. Dette bør minimere utilsiktede strømbrudd som skyldes modellendringer.

Scenariene du bør være klar over, er:

  • En fil som anses som sikker i gjeldende modell, kan bli endret til Usikker i den nye modellen. Hvis organisasjonen din trenger denne filen, kan du legge den til i sikkerlisten.
  • En fil som gjeldende modell aldri har sett eller fått, og den nye modellen mener den er usikker. Hvis organisasjonen din trenger denne filen, kan du legge den til i sikkerlisten.

Nye beskyttelseskolonner

De to kolonnene er: Produksjonsstatus og ny status:

  • Produksjonsstatus: Viser gjeldende modellstatus (sikker, unormal eller usikker) for filen
  • Ny status: Viser modellstatus for filen i den nye modellen

Bare filer som finnes på enheter i organisasjonen din som har endringer i trusselpoengsummen, vises. Noen filer kan ha en endring i trusselpoengsummen, men forblir innenfor gjeldende status.

Eksempler:

Trusselpoengsummen for en fil går fra 10 til 20, filstatusen forblir unormal, og filen vises i den oppdaterte modelllisten (hvis denne filen finnes på enheter i organisasjonen din).

Merk: Informasjonen for modellsammenligning kommer fra databasen, ikke enhetene dine. Så ingen ny analyse utføres for modellsammenligning. Men når en ny modell er tilgjengelig og riktig agent er installert, utføres en ny analyse av organisasjonen din, og eventuelle modellendringer blir tatt i bruk.

Slik viser du kolonnene Current Model (Gjeldende modell) og New Model (Ny modell):

  1. Logg på Dell Data Protection Remote Management Console, velg Populations -> Enterprise -> Advanced Threats (Avanserte trusler), og velg deretter beskyttelse-fanen.
  2. Klikk på pil ned på en kolonneoverskrift.
  3. Velg kolonnene Produksjonsstatus og Ny status.
  4. Klikk på pil ned, eller klikk hvor som helst på siden for å lukke menyen for kolonnealternativer.

Du kan nå se gjennom forskjellene mellom de to trusselmodellene.

De to scenariene du bør være klar over, er:

  • Gjeldende modell = sikker, ny modell = unormal eller usikker
  • Organisasjonen anser filen som sikker, eller klassifiseringen er klarert lokal.
  • Organisasjonen din har et unormalt eller usikkert sett til automatisk karantene (AQT).
  • Current Model = Null (not seen or scored), New Model = Abnormal or Unsafe
  • Organisasjonen anser filen som sikker, eller klassifiseringen er klarert lokal.
  • Organisasjonen din har et unormalt eller usikkert sett til automatisk karantene (AQT).

I scenarioene ovenfor er anbefalingen å sikre listen over filene du vil tillate i organisasjonen din.

Identifisere klassifiseringer

Hvis du vil identifisere klassifiseringer som kan påvirke organisasjonen din, anbefaler vi følgende tilnærming:

  • Bruk et filter i kolonnen New Model (Ny modell) for å vise alle usikre, unormale filer og filer i karantene. Hvis policyen er satt til automatisk karantene, kan du ikke se usikre eller unormale filer fordi disse truslene er satt i karantene.
  • Bruk et filter i produksjonsstatuskolonnen for å vise alle sikre filer.
  • Bruk et filter i klassifiseringskolonnen for bare å vise klarerte – lokale trusler. Klarert – Lokale filer analyseres med Dells ATP og er sikre (tryggliste disse elementene etter gjennomgang). Hvis du har mange filer i den filtrerte listen, kan det være lurt å prioritere ved hjelp av flere attributter. Eksempel: Legg til et filter i kolonnen Background Detection (Bakgrunnsregistrering) for å se gjennom trusler som ble funnet av Execution Control (Utførelseskontroll). Disse ble dømt da en bruker forsøkte å kjøre en applikasjon og trenger mer presserende oppmerksomhet enn filer som er dømt for trusseloppdagelse i bakgrunnen eller filkontroll.

Avanserte trusler 
Figur 1: (Bare på engelsk) Avanserte trusler 

Anbefalt utrulling av produksjon

Denne delen beskriver strategier for å hjelpe brukerne med å oppgradere til en nyere prediktiv modell. Det anbefales på det sterkeste å tilordne agenter til en policy med automatisk karantene som er aktivert for usikre og unormale filer.

Automatiske oppdateringer med automatisk karantene

Hvis agentene er satt til Automatisk oppdatering, bør du deaktivere automatiske oppdateringer for agenter når nye prediktive modeller lanseres. Hvis det ikke er mulig å deaktivere automatisk karantene eller teste den nye agenten, må du varsle administratorene for Dell Data Protection. Det kan hende at de ønsker å klarere elementer som er feilklassifisert for å oppheve blokkeringen av brukere.

Manuelle oppdateringer med automatisk karantene

Hvis du oppdaterer agentene manuelt, er automatisk oppdatering ikke et problem. Det anbefales at du bruker følgende instruksjoner før du oppdaterer agentene.

  1. Test den nye agenten (med den nye modellen) på et representantsett med datamaskiner. Ideelt sett vil disse testmaskinene bli plassert i en automatisk karantenepolicy. Hvis en sikker applikasjon blir blokkert, legger du til filen i sikkerlisten.
  2. Når testingen er fullført, ruller du ut den nye agenten til alle datamaskinene dine.

Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.

 

其他信息

   

视频

   

受影响的产品

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
文章属性
文章编号: 000126632
文章类型: Solution
上次修改时间: 02 10月 2023
版本:  11
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。