Dell Endpoint Security Suite Enterprise Guia de Início Rápido do Advanced Threat Prevention v3.0 Maio de 2021 Rev.
Notas, avisos e advertências NOTA: Uma NOTA fornece informações importantes para ajudar a utilizar melhor o produto. AVISO: Um AVISO indica possíveis danos no hardware ou uma perda de dados e explica como pode evitar esse problema. ADVERTÊNCIA: Uma ADVERTÊNCIA indica possíveis danos no equipamento, lesões corporais ou morte. © 2012-2021 Dell Inc. All rights reserved.
Índice Capítulo1: Introdução...................................................................................................................... 4 Contacte o Dell ProSupport................................................................................................................................................. 4 Capítulo2: Introdução......................................................................................................................5 Configurar um inquilino.........................
1 Introdução Antes de efetuar as tarefas descritas neste guia, têm de ser instalados os seguintes componentes: ● Endpoint Security Suite Enterprise - Consulte o Guia de instalação avançada do Endpoint Security Suite Enterprise ou o Guia de instalação básica do Endpoint Security Suite Enterprise ● Servidores Security Management Server ou Security Management Server Virtual - Consulte o Guia de instalação e migração do Security Management Server ou o Guia de instalação e guia de início rápido do servidor Secur
2 Introdução Este capítulo descreve os passos recomendados para começar a administrar o Advanced Threat Prevention.
Introdução
O diagrama seguinte ilustra o processo de comunicação do agente do Advanced Threat Prevention. O diagrama seguinte ilustra a arquitetura e a comunicação do Dell Server.
Ativar a verificação da integridade de imagem do BIOS A política de verificação da integridade de imagem do BIOS está ativada por predefinição quando a opção principal do Advanced Threat Prevention está ativada. Para obter uma descrição geral do processo de verificação da integridade de imagem do BIOS, consulte Processo de verificação da integridade de imagem do BIOS. Processo de verificação O diagrama seguinte ilustra o processo de verificação da integridade de imagem do BIOS.
Se a política Ativar a garantia do BIOS for selecionada na Management Console, o inquilino Cylance valida o hash do BIOS nos computadores de endpoint para assegurar que o BIOS não foi modificado face à versão de fábrica da Dell, o qual é um possível vetor de ataques. Se for detetada uma ameaça, é transmitida uma notificação para o Dell Server e o administrador de TI é alertado na Remote Management Console.
Modelos de computador Dell suportados pela Verificação da integridade de imagem do BIOS ● ● ● ● ● ● ● ● Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extreme Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● ● Estação de trabalho Precision 7510 Estação de trabalho Precision 7710 Estação de trabalho Precision T3420 Venue 10 Pro 5056 Venue Pro 5855 XPS 12 9250 XPS 13 9350 XPS 9550 Configurar a atualização automática do Advanced Threat Prevention Na Man
Para visualizar ou modificar os privilégios de administrador existentes, siga os passos abaixo: 1. No painel esquerdo, clique em Populações > Administradores. 2. Procure ou selecione a linha que apresenta o nome de utilizador do administrador adequado para apresentar os Detalhes do utilizador. 3. Visualize ou modifique os papéis de administrador no painel à direita. 4. Clique em Guardar. NOTA: A Dell recomenda atribuir funções de administrador ao nível de grupo em vez de ao nível do utilizador.
NOTA: Os níveis de prioridade de notificação não estão relacionados com os níveis de prioridade apresentados no painel, a não ser na área de notificações. As prioridades são Crítica, Alta, Média e Baixa. Estes níveis de prioridade estão apenas ligados entre si dentro de um tipo de notificação. Pode selecionar os níveis de prioridade das notificações para incluir na área de notificações do painel ou listas de notificações de e-mail.
3 Políticas Este capítulo apresenta detalhes sobre a gestão de políticas do Advanced Threat Prevention. ● Ativar o Advanced Threat Prevention ● Definições de políticas recomendadas ● Consolidar modificações de políticas Para obter a lista completa de políticas do Advanced Threat Prevention e as respetivas descrições, consulte AdminHelp, disponível na Management Console.
4 Ameaças colocadas Este capítulo apresenta detalhes sobre como identificar e gerir ameaças encontradas num ambiente empresarial após a instalação do Advanced Threat Prevention.
Etiqueta Gravidade Detalhes MemoryViolationTerminated Aviso Indica que houve uma tentativa de execução de um executável ou script, que estava a ser executado de forma ativa e em violação da política de Proteção de Memória ou de Controlo de Script. O executável ou script foi subsequentemente terminado. Normalmente, é indicativo de que a política de Proteção de Memória ou de Controlo de Script correlacionada descrita foi definida para Terminar.
● Proteção - Indica os ficheiros e scripts potencialmente prejudiciais e os respetivos detalhes, incluindo os dispositivos nos quais se encontram os ficheiros e scripts. ● Agentes - Fornece informações sobre os dispositivos que executam o cliente Advanced Threat Prevention, bem como a opção de exportar as informações ou remover dispositivos da lista. ● Lista global - Indica os ficheiros em Quarentena global e na Lista segura e oferece a opção de mover os ficheiros para estas listas.
1. Aplique um filtro na coluna Novo estado para apresentar todos os ficheiros com o estado Não seguro, Anormal e Em quarentena. 2. Aplique um filtro na coluna Estado da produção para apresentar todos os ficheiros com o estado Seguro. 3. Aplique um filtro na coluna Classificação para apresentar apenas as ameaças com o estado Fidedigno - Local. Fidedigno - Os ficheiros locais foram analisados pela Cylance e são considerados seguros. Coloque estes ficheiros na Lista segura após a revisão.
● Exportar - Exporte os dados da ameaça para um ficheiro CSV. Selecione as linhas a exportar e, em seguida, clique em Exportar. ● Quarentena global - Adicione um ficheiro à lista de quarentena global. A ameaça é colocada em quarentena permanente em relação a todos os dispositivos. ● Seguro - Adicione um ficheiro à lista segura. O ficheiro é tratado permanentemente como seguro em todos os dispositivos.
5 Modo Desligado O modo Desligado permite que um Dell Server faça a gestão de endpoints Advanced Threat Prevention sem ligação do cliente à Internet ou a uma rede externa. O modo Desligado também permite que o Dell Server faça a gestão de clientes sem ligação à Internet ou a um serviço Advanced Threat Prevention aprovisionado e alojado. O Dell Server capta todos os eventos e dados de ameaça no modo Desligado.
● Lista segura Estas políticas são enviadas para o cliente Advanced Threat Prevention apenas se o Dell Server detetar um token de instalação do modo Desligado, que contém o prefixo "DELLAG". Consulte AdminHelp para obter exemplos destas políticas. Para visualizar os ficheiros que o Advanced Threat Prevention identifica como potenciais ameaças, navegue até Empresa > separador Eventos do Advanced Threat.
6 Resolução de problemas Recuperar o Advanced Threat Prevention Recuperar o serviço Será necessário efetuar uma cópia de segurança do certificado para recuperar o serviço do Advanced Threat Prevention. 1. No painel esquerdo da Management Console, clique em Gestão > Gestão de serviços. 2. Clique em Recuperar serviço do Advanced Threat Prevention. 3. Siga a recuperação do serviço orientada e carregue o certificado do Advanced Threat Prevention quando solicitado.
O valor de registo é verificado quando o serviço Advanced Threat Prevention é iniciado ou sempre que o valor muda. Se o valor de registo não existir, não há qualquer alteração no nível de registo. Utilize esta definição de registo apenas para testar/depurar, uma vez que esta definição de registo controla a verbosidade do registo de outros componentes, incluindo o Encryption e o Encryption Management Agent.