Hoe bedreigingen worden beheerd in Dell Endpoint Security Suite Enterprise
摘要: Hoe bedreigingen worden beheerd door Dell Endpoint Security Suite Enterprise.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Opmerking:
- Vanaf mei 2022 heeft Dell Endpoint Security Suite Enterprise het einde van het onderhoud bereikt. Dit artikel wordt niet meer bijgewerkt door Dell. Raadpleeg voor meer informatie het productlevenscyclusbeleid (einde van support/einde levensduur) voor Dell Data Security. Als u vragen heeft over alternatieve artikelen, neem dan contact op met uw verkoopteam of neem contact op met endpointsecurity@dell.com.
- Raadpleeg Eindpuntbeveiliging voor meer informatie over huidige producten.
Betreffende producten:
- Dell Endpoint Security Suite Enterprise
De Advance Threat Protection Client component van Dell Endpoint Security Suite Enterprise maakt gebruik van drie fasen in bedreigingsbeperking:
- Detectie: Hoe een bedreiging zich bevindt.
- Analyse: Hoe een bestand wordt geïdentificeerd als een bedreiging.
- Herstel: Hoe bedreigingen worden afgehandeld
Opmerking:
- Dit artikel is bedoeld als een hoog overzicht van het bedreigingsbeperkingsproces.
- Als het lokale model wordt bijgewerkt met een ATP-clientupdate, wordt een detectie van bedreigingen op de achtergrond gestart voor Dell Endpoint Security Suite Enterprise en kunnen alle bedreigingen opnieuw worden gescoord. Raadpleeg voor meer informatie de updates voor de detectiemethode dell Endpoint Security Suite Enterprise Advanced Threat Protection.
原因
Niet van toepassing
解析度
Afbeelding 1: (Alleen In het Engels) Detectiefase
Bestands-hash: De Advanced Threat Protection-client controleert in eerste instantie of de bestandscheckum (ook wel hash genoemd) eerder als een bedreiging is geïdentificeerd. De hash kan worden ingesteld op:
- Safelist het bestand
- Plaats het bestand in quarantaine
Als er geen hash beschikbaar is, detecteert Advanced Threat Protection bedreigingen door:
- Uitvoeringsbeheer: Gestarte (uitvoerende) bestanden
- Processcan: Processen die worden uitgevoerd en geconfigureerd voor automatisch starten
- Geheugenbeveiliging: Data in het geheugen
- Detectie van bedreigingen op de achtergrond: Advanced Threat Protection wordt op de achtergrond uitgevoerd en scant alles.
Als een bedreiging wordt gedetecteerd, gaat Advanced Threat Protection naar de analysefase.
Afbeelding 2: (Alleen In het Engels) Analysefase
Zodra een bedreiging is gedetecteerd, classificeert Advanced Threat Protection:
Als er een bedreiging is gevonden tijdens de detectiefase, wordt een lokale bedreigingsscore toegewezen.
Als het eindpunt verbonden en online is, wordt de hash-waarde van de bedreiging naar de cloud verzonden. Als de score voor clouddreigingen afwijkt van de lokale bedreigingsscore, wordt de score voor de clouddreigingen doorgestuurd naar het eindpunt en overschrijft de score voor de clouddreigingen de lokale bedreigingsscore.
Opmerking: Algemene bedreigingsscores worden boven lokaal gekozen, omdat dit de meest actuele informatie over het bestand weergeeft. Als het beleid voor automatisch uploaden is ingeschakeld en de hash van de bedreiging onbekend is naar de cloud, wordt de bedreiging geüpload naar de Cylance-tenant.
Als het beleid voor automatisch uploaden is ingeschakeld, wordt de bedreiging geüpload naar de Cylance-tenant.
Zodra een bedreigingsscore is toegewezen, krijgen de data een onveilig of abnormaal kenmerk en vervolgens gaat Advanced Threat Protection over naar de herstelfase.
Afbeelding 3: (Alleen In het Engels) Herstelfase
Zodra een bedreigingsscore en classificatie zijn toegewezen, bepaalt Advanced Threat Protection:
Moet de bedreiging op de veilige lijst staan? Zo ja, dan wordt de bestands-hash toegevoegd aan het eindpunt en wordt er geen verdere actie ondernomen op het bestand.
Als de bedreiging niet in de veilige lijst staat, controleert Advanced Threat Protection of het automatisch in quarantaine geplaatste beleid is ingeschakeld. Als Automatische quarantaine is ingeschakeld, wordt de bedreiging in quarantaine geplaatst.
Als automatische quarantaine niet is ingeschakeld, wordt een controle uitgevoerd om te bepalen of het bestand handmatig is ingesteld op quarantaine door de DDP-administrator. Als de bedreiging is ingesteld voor quarantaine, wordt de bestands-hash toegevoegd aan de lokale database van het eindpunt en vervolgens wordt het bestand in quarantaine geplaatst.
Als de bedreiging niet in de veilige lijst staat of in quarantaine is geplaatst, wordt er een waarschuwing verzonden naar de console voor zichtbaarheid en mogelijke actie van DDP Administration.
Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.
受影響的產品
Dell Endpoint Security Suite Enterprise文章屬性
文章編號: 000126777
文章類型: Solution
上次修改時間: 14 11月 2023
版本: 9
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。