Dell Endpoint Security Suite Enterprise Guide de démarrage rapide d'Advanced Threat Prevention v2.9 December 2020 Rév.
Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit. PRÉCAUTION : Une PRÉCAUTION indique un risque d'endommagement du matériel ou de perte de données et vous indique comment éviter le problème. AVERTISSEMENT : Un AVERTISSEMENT indique un risque d'endommagement du matériel, de blessures corporelles ou même de mort. © 2012-2020 Dell Inc. All rights reserved.
Table des matières Chapitre 1: Introduction...................................................................................................................4 Contacter Dell ProSupport................................................................................................................................................... 4 Chapitre 2: Démarrer...................................................................................................................... 5 Provision a Tenant..................
1 Introduction Avant d'effectuer les tâches décrites dans ce guide, vous devez avoir installé les composants suivants : ● Endpoint Security Suite Enterprise : voir le Guide d'installation avancée d'Endpoint Security Suite Enterprise et le Guide d'installation de base d'Endpoint Security Suite Enterprise.
2 Démarrer Ce chapitre indique les étapes recommandées pour commencer l'administration d'Advanced Threat Prevention. Les étapes recommandées pour commencer l'administration d'Advanced Threat Prevention comprennent les phases suivantes : ● Configuration d'un locataire pour Advanced Threat Protection ○ Requise pour déployer Advanced Threat Prevention ○ Les licences Advanced Threat Prevention doivent être présentes sur Dell Server.
Provisionnement et communication de l'agent Les diagrammes suivants illustrent le processus de provisionnement du service Advanced Threat Prevention.
Le diagramme suivant illustre le processus de communication agent d'Advanced Threat Prevention. Le schéma suivant illustre l'architecture et la communication de Dell Server.
Activation de la vérification de l'intégrité de l'image BIOS La règle de vérification de l'intégrité de l'image du BIOS est activée par défaut lorsque le commutateur principal d'Advanced Threat Prevention est activé. Pour obtenir un aperçu du processus de vérification de l'intégrité de l'image BIOS, voir la section Processus de vérification de l'intégrité de l'image BIOS. Processus de vérification Le diagramme suivant illustre le processus de vérification de l'intégrité de l'image BIOS.
Si la règle Activer l'assurance du BIOS est sélectionnée dans la console de gestion, le locataire Cylance vérifie une valeur de hachage BIOS sur les ordinateurs de points de terminaison afin de garantir que le BIOS n'a pas été modifié par rapport à la version d'usine Dell, ce qui est un vecteur d'attaque possible. Si une menace est détectée, une notification est transmise à Dell Server et l'administrateur informatique est averti dans la console de gestion à distance.
Modèles d'ordinateur Dell pris en charge avec la vérification de l'intégrité de l'image BIOS ● ● ● ● ● ● ● ● ● ● Latitude E5270 Latitude E5470 Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extrême Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● ● ● ● Precision Mobile Workstation 5510 Precision Workstation 3620 Precision Workstation 7510 Precision Workstation 7710 Precision Workstation T3420 Venue 10 Pro 5056 Venue Pro 5855 Venue XPS 12 9250 XPS 13 9
REMARQUE : Le rôle d'administrateur de la sécurité est nécessaire pour afficher, modifier ou valider les règles. Pour afficher ou modifier les privilèges de l'administrateur existants, procédez comme suit : 1. 2. 3. 4. Dans le volet gauche, cliquez sur Populations > Administrateurs. Recherchez ou sélectionnez la ligne qui affiche le nom d'utilisateur de l'administrateur approprié pour afficher les détails de l'utilisateur. Affichez ou modifiez les rôles d'administrateur dans le volet droit.
Niveaux de priorité REMARQUE : Les niveaux de priorité des notifications ne sont pas liés aux niveaux de priorité affichés sur le tableau de bord autres que ceux de la zone des notifications. Les priorités sont Critique, Élevée, Moyenne et Basse. Ces niveaux de priorité sont mutuellement relatifs dans un type de notification. Vous pouvez sélectionner les niveaux de priorité des notifications à inclure dans les listes de la zone des notifications sur le tableau de bord ou de notifications par e-mail.
3 Stratégies Ce chapitre présente la gestion des règles d'Advanced Threat Prevention. ● Activation d'Advanced Threat Prevention ● Paramètres de règle recommandés ● Validation des modifications des règles Pour consulter la liste complète des règles d'Advanced Threat Prevention et leur description, voir AdminHelp, disponible dans la console de gestion.
4 Menaces Ce chapitre explique comment identifier et gérer les menaces d'un environnement d'entreprise suite à l'installation d'Advanced Threat Prevention.
Étiquette Gravité Détail MemoryViolationTerminated Avertissement Indique qu’un exécutable ou un script s’exécute activement et est en violation de la stratégie Protection de la mémoire ou Contrôle des scripts. L’exécutable ou le script a été arrêté par la suite. En général, cela indique que la stratégie décrite Protection de la mémoire ou Contrôle des scripts en corrélation a été définie sur Arrêter.
● Protection : répertorie les fichiers et scripts potentiellement dangereux ainsi que des détails les concernant, notamment les périphériques sur lesquels ces fichiers et scripts ont été détectés. ● Agents : fournit des informations sur les périphériques exécutant le client Advanced Threat Prevention ainsi que l'option d'exportation des informations ou de suppression des périphériques de la liste.
Dans les scénarios ci-dessus, nous vous recommandons de placer sur liste fiable les fichiers que vous voulez autoriser dans votre organisation. Identifier les classifications Pour identifier les classifications qui peuvent avoir un impact sur votre organisation, Dell recommande l'approche suivante : 1. Appliquez un filtre à la colonne Nouvel état pour afficher tous les fichiers non sûrs, anormaux et mis en quarantaine. 2.
Pour afficher des informations sur les menaces dans le tableau, cliquez sur la flèche de la liste déroulante d'un en-tête de colonne pour sélectionner et ajouter des colonnes. Les colonnes affichent les métadonnées concernant le fichier telles que Classifications, Score Cylance (niveau de confiance), Sévérité AV Industry (renvoie vers VirusTotal.
5 Mode Déconnecté Le mode Déconnecté permet à un serveur Dell Server de gérer les points de terminaison d'Advanced Threat Prevention sans connexion client à Internet ou à un réseau externe. Il permet également au serveur Dell Server de gérer les clients sans connexion à Internet, ni service Advanced Threat Prevention configuré ou hébergé. Le serveur Dell Server capture toutes les données de menace et d'événements en mode Déconnecté.
Identification et gestion des menaces en mode Déconnecté Pour gérer les menaces en mode Déconnecté, vous devez d'abord définir les règles Advanced Threat Prevention suivantes en fonction des besoins de votre entreprise : ● Autorisation globale ● Liste de quarantaine ● Liste de sécurité Ces règles sont envoyées au client Advanced Threat Prevention uniquement si Dell Server détecte un jeton d'installation en mode Déconnecté, qui comporte le préfixe "DELLAG".
6 Dépannage Récupération d'Advanced Threat Prevention Récupération du service Vous aurez besoin de votre certificat sauvegardé pour récupérer le service Advanced Threat Prevention. 1. Dans le volet gauche de la console de gestion, cliquez sur Gestion > Gestion des services. 2. Cliquez sur Récupérer le service Advanced Threat Prevention. 3. Suivez la procédure de récupération du service guidée et téléchargez le certificat d'Advanced Threat Prevention lorsque vous y êtes invité.
Debug 15 La valeur de registre est vérifiée lorsque le service Advanced Threat Prevention démarre ou à chaque fois que la valeur change. Si la valeur de registre n'existe pas, il n'y a pas de modification du niveau de journalisation. Utilisez ce paramètre de registre uniquement pour les tests/le débogage, car ce paramètre de registre contrôle la verbosité du journal pour les autres composants, y compris le client Encryption et Encryption Management Agent.