Dell Endpoint Security Suite Enterprise Guia de início rápido do Advanced Threat Prevention v3.0 Maio 2021 Rev.
Notas, avisos e advertências NOTA: Uma NOTA indica informações importantes que ajudam você a usar melhor o seu produto. CUIDADO: um AVISO indica possíveis danos ao hardware ou a possibilidade de perda de dados e informa como evitar o problema. ATENÇÃO: uma ADVERTÊNCIA indica possíveis danos à propriedade, lesões corporais ou risco de morte. © 2012-2021 Dell Inc. All rights reserved.
Índice Capítulo 1: Introdução..................................................................................................................... 4 Entre em contato com o Dell ProSupport.......................................................................................................................... 4 Capítulo 2: Introdução.....................................................................................................................5 Provisionar um locatário...................................
1 Introdução Antes de executar tarefas explicadas neste guia, os seguintes componentes precisam estar instalados: ● Endpoint Security Suite Enterprise - consulte o Guia de instalação avançada do Endpoint Security Suite Enterprise ou o Guia de instalação básica do Endpoint Security Suite Enterprise ● Security Management Server ou Security Management Server Virtual - consulte o Guia de instalação e migração do Security Management Server ou o Guia de instalação e início rápido de servidor Security Management S
2 Introdução Este capítulo detalha as etapas recomendadas para começar a administrar o Advanced Threat Prevention. As etapas recomendadas para começar a administrar o Advanced Threat Prevention incluem as seguintes fases: ● Provisionar um locatário para o Advanced Threat Prevention ○ Necessário para implementar o Advanced Threat Prevention ○ As licenças do Advanced Threat Prevention precisam estar presentes no Dell Server.
Introdução
O diagrama a seguir ilustra o processo de comunicação do agente do Advanced Threat Prevention. O diagrama a seguir ilustra a arquitetura e a comunicação do Dell Server.
Habilitar a verificação da integridade da imagem da BIOS A política de verificação da integridade da imagem da BIOS está habilitada por padrão quando o interruptor principal do Advanced Threat Prevention está habilitado. Para obter uma visão geral do processo de verificação de integridade da imagem da BIOS, consulte Processo de verificação da integridade da imagem da BIOS. Processo de verificação O diagrama a seguir ilustra o processo de verificação de integridade da imagem do BIOS.
Se a política Ativar certificação de BIOS estiver selecionada no Management Console, o locatário do Cylance valida um hash do BIOS nos sistemas dos usuários finais para garantir que o BIOS não foi modificado na versão de fábrica da Dell, o que é um possível vetor de ataque. Se uma ameaça for detectada, uma notificação será passada para o Dell Server e o administrador de TI será alertado no Remote Management Console.
Modelos de computador Dell compatíveis com a Verificação de integridade da imagem do BIOS ● ● ● ● ● ● ● ● ● Latitude E5470 Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extreme Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● ● ● Precision Workstation 3620 Precision Workstation 7510 Precision Workstation 7710 Precision Workstation T3420 Venue 10 Pro 5056 Venue Pro 5855 Venue XPS 12 9250 XPS 13 9350 XPS 9550 Configurar a atualização automática do age
NOTA: A função administrador de segurança é necessária para visualizar, modificar ou confirmar políticas. Para ver ou modificar permissões de administrador existentes, siga essas etapas: 1. No painel esquerdo, clique em Populações > Administradores. 2. Pesquise ou selecione pela linha que mostra o nome de usuário do administrador adequado para ver os Detalhes de usuário. 3. Veja ou modifique as funções de administrador no painel à direita. 4. Clique em Salvar.
NOTA: Os níveis de prioridade de notificação não estão relacionados aos níveis de prioridade mostrados no painel, exceto na área Notificações. As prioridades são Crítica, Alta, Média e Baixa. Esses níveis de prioridade só são relativos entre si dentro de um tipo de notificação. Você pode selecionar os níveis de prioridade das notificações a serem incluídas na área de notificações do painel ou nas listas de notificações por e-mail.
3 Políticas Este capítulo detalha o gerenciamento de políticas do Advanced Threat Prevention. ● Habilitar o Advanced Threat Prevention ● Configurações de política recomendadas ● Confirmar as modificações da política Para obter a lista completa de políticas do Advanced Threat Prevention e suas descrições, consulte o AdminHelp, disponível no Management Console.
4 Ameaças Este capítulo apresenta detalhes sobre como identificar e gerenciar ameaças encontradas em um ambiente empresarial, depois da instalação do Advanced Threat Prevention.
Rótulo Severidade Detalhe MemoryViolationTerminated Aviso Indica que um executável ou script foi encontrado em execução ativa, em violação à política de Proteção de Memória ou Controle de Scripts. Posteriormente, o executável ou script foi encerrado. Normalmente, isso indica que a política correlacionada descrita de Proteção de Memória ou Controle de Scripts foi definida como Encerrar.
● Lista global - Indica arquivos nas listas Quarentena global e Segura e fornece a opção de mover os arquivos para essas listas. ● Opções - Permite uma forma de integração com o Security Information Event Management (SIEM). ● Certificado - Permite fazer upload de certificados. Após o upload, os certificados são mostrados na guia Lista global e podem ser indicados como seguros.
Confiável - Os arquivos locais foram examinados pela Cylance e foram considerados Seguros. Coloque esses itens na Lista segura após a análise. Se você tiver um grande número de arquivos na lista filtrada, poderá ser necessário priorizar usando mais atributos. Por exemplo, adicione um filtro à coluna Detectado por para examinar ameaças encontradas pelo Controle de execução.
● Seguro - Adicione um arquivo à lista segura. O arquivo é tratado permanentemente como seguro em todos os dispositivos. NOTA: Ocasionalmente, um arquivo "seguro" pode ser relatado como inseguro (isso pode ocorrer se as características do arquivo se parecerem muito com aquelas de arquivos maliciosos). Ignorar ou listar o arquivo como seguro pode ser útil nesses casos. ● Editar lista global - Adicione ou remova arquivos da lista de quarentena global.
5 Modo desconectado O modo Desconectado permite que um Dell Server gerencie os pontos de extremidade do Advanced Threat Prevention sem conexão do cliente com a Internet ou com a rede externa. O modo Desconectado também permite que o Dell Server gerencie clientes sem conexão com a Internet ou um serviço provisionado e hospedado do Advanced Threat Prevention. No modo Desconectado, o Dell Server captura todos os eventos e dados de ameaça.
● Permitir global ● Lista de quarentena ● Lista segura Essas políticas serão enviadas para o cliente do Advanced Threat Prevention apenas se o Dell Server detectar um token de instalação do modo Desconectado, que recebe o prefixo "DELLAG". Consulte o AdminHelp para ver exemplos dessas políticas. Para visualizar os arquivos que o Advanced Threat Prevention identifica como possíveis ameaças, navegue até a guia Enterprise > Eventos de ameaças avançadas.
6 Troubleshooting Recuperar o Advanced Threat Prevention Recuperar serviço Você precisará de seu certificado salvo em backup para recuperar o serviço Advanced Threat Prevention. 1. No painel esquerdo do Management Console, clique em Gerenciamento > Gerenciamento de serviços. 2. Clique em Recuperar o serviço Advanced Threat Prevention. 3. Siga a recuperação de serviço orientada e faça upload do certificado do Advanced Threat Prevention quando solicitado.
O valor do registro é verificado quando o serviço Advanced Threat Prevention é iniciado ou sempre que o valor muda. Se o valor do registro não existir, não haverá mudança no nível de log. Use essa configuração de registro apenas para teste/depuração, pois ela controla o detalhamento do log para outros componentes, incluindo Encryption e o Encryption Management Agent.