跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

Dell Endpoint Security Suite Enterprise 進階威脅防護偵測方法的更新

摘要: Dell Endpoint Security Suite Enterprise 或 Dell Threat Defense 的更新可能會改變威脅的評估方式。

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

症状

注意:

受影響的產品:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

受影響的版本:

  • 1.2.137 倍 
  • 1.2.139 倍
  • 2.0.145 倍

原因

Dell Data Protection 的進階威脅保護產品;Dell 威脅防禦和 Dell Endpoint Security Suite Enterprise 可能偶爾會更新,以改變威脅的評估方式。這些更新通常稱為「型號」更新,因為它們是威脅模型的更新。

解决方案

為了協助使用者瞭解新模式可能會如何影響其組織,主控台的保護頁面上有兩欄。您可以使用「生產狀態」和「新狀態」比較來查看裝置上哪些檔案,該型號會變更為受影響。

使用者應在全面展開生產前測試新機型。這應該會將機型變更造成的任何意外中斷降至最低。

您應該注意的案例包括:

  • 在目前型號中視為安全的檔案可能會在新模式中變更為「不安全」。如果您的組織需要該檔案,您可以將其新增至 Safelist。
  • 目前型號從未出現或已通過評分的檔案,而新機型則認為不安全。如果您的組織需要該檔案,您可以將其新增至 Safelist。

新的保護欄

這兩欄是:生產狀態和新狀態:

  • 生產狀態:顯示檔案目前的型號狀態 (安全、異常或不安全)
  • 新狀態:顯示新機型中檔案的機型狀態

只有在貴組織中已變更其威脅分數的裝置上找到的檔案才會顯示。某些檔案可能有威脅分數變更,但仍處於目前狀態。

範例:

檔案的威脅分數為 10 到 20,檔案狀態將保持異常,而且檔案會顯示在更新的型號清單中 (如果此檔案存在於貴組織的裝置上)。

注意:型號比較的資訊來自資料庫,而非您的裝置。因此,您不會對機型比較進行重新分析。但是,當有可用的新機型並安裝適當的代理程式時,會對您的組織進行重新分析,並套用任何型號變更。

若要檢視目前的型號和新型號欄:

  1. 登入 Dell 資料保護遠端管理主控台,選取「人口」->企業->進階威脅,然後選取「保護」標籤。
  2. 按一下欄標題上的向下箭頭。
  3. 選取「生產狀態」和「新狀態」欄。
  4. 按一下向下箭頭或按一下頁面上的任何地方,以關閉欄選項功能表。

您現在可以檢閱這兩種威脅模型之間的差異。

您應該注意的兩個案例是:

  • 目前型號 = 安全、新型號 = 異常或不安全
  • 您的組織會將檔案視為安全,或是「分類」為「受信任的本機」。
  • 您的組織有異常或不安全設定為自動隔離 (AQT)。
  • 目前型號 = Null (未顯示或評分),新型號 = 異常或不安全
  • 您的組織會將檔案視為安全,或是「分類」為「受信任的本機」。
  • 您的組織有異常或不安全設定為自動隔離 (AQT)。

在上述情況下,建議將您想要在組織中允許的檔案安全清單。

識別分類

若要識別可能影響組織的分類,我們建議使用下列方法:

  • 將篩選器套用至「新型號」欄,以顯示所有「不安全」、「異常」和「隔離」的檔案。如果您的原則設為「自動隔離」,您就看不到任何「不安全」或「異常」檔案,因為這些威脅已隔離。
  • 將篩選器套用至「生產狀態」欄,以顯示所有安全檔案。
  • 在「分類」欄套用篩選器,僅顯示「受信任 - 本機威脅」。受信任 - 本機檔案會與 Dell 的 ATP 進行分析,併發現安全 (檢閱後請安全列出這些專案)。如果您在篩選的清單中有很多檔案,則可能需要使用更多屬性來排定優先順序。範例:將篩選器新增至「背景偵測」欄,以檢閱「執行控制」找到的威脅。當使用者嘗試執行應用程式時,這些檔案已判定有罪,而且需要比背景威脅偵測或檔案觀察程式判定的休眠檔案更為緊急。

進階威脅 
圖 1:(僅限英文)進階威脅 

建議生產推出

本節概述了協助使用者升級至較新預測模式的策略。強烈建議將代理程式指派給啟用「不安全」和「異常」檔案的自動隔離原則。

自動更新與自動隔離

如果代理程式設為自動更新,則應在發佈新的預測模型時停用代理程式的自動更新。如果無法停用自動隔離或測試新的代理程式,請向 Dell Data Protection Administrator 發出警示。他們可能想要安全清單專案,這些專案被錯誤分類以解除封鎖使用者。

自動隔離的手動更新

如果您手動更新代理程式,則不需擔心自動更新。建議您在更新代理程式前先使用下列指示。

  1. 在有代表性的電腦上測試新的代理程式 (使用新機型)。理想情況下,這些測試機器會置於自動隔離原則中。如果安全應用程式遭到封鎖,請將檔案新增至您的安全清單。
  2. 測試完成後,請將新的代理程式導入您的所有電腦。

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

 

其他信息

   

视频

   

受影响的产品

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
文章属性
文章编号: 000126632
文章类型: Solution
上次修改时间: 02 10月 2023
版本:  11
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。