Dell Endpoint Security Suite Enterprise Schnellstarthandbuch für Advanced Threat Prevention v2.9 December 2020 Rev.
Anmerkungen, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen können. VORSICHT: Ein VORSICHTSHINWEIS warnt vor möglichen Beschädigungen der Hardware oder vor Datenverlust und zeigt, wie diese vermieden werden können. WARNUNG: Mit WARNUNG wird auf eine potenziell gefährliche Situation hingewiesen, die zu Sachschäden, Verletzungen oder zum Tod führen kann. © 2012-2020 Dell Inc. All rights reserved.
Inhaltsverzeichnis Kapitel 1: Einleitung.........................................................................................................................4 Kontaktaufnahme mit dem Dell ProSupport...................................................................................................................... 4 Kapitel 2: Erste Schritte.................................................................................................................. 5 Bereitstellung eines Mandanten.................
1 Einleitung Vor dem Durchführen von Aufgaben, die in diesem Handbuch erläutert werden, müssen die folgenden Komponenten installiert werden: ● Endpoint Security Suite Enterprise – siehe Endpoint Security Suite Enterprise Erweitertes Installationshandbuch oder Endpoint Security Suite Enterprise Einfaches Installationshandbuch ● Security Management Server oder Security Management Server Virtual – siehe Installations- und Migrationshandbuch für Security Management Server oder Schnellstart- und Installationshan
2 Erste Schritte Dieses Kapitel erläutert die empfohlenen Schritte, um mit dem Einsatz von Advanced Threat Prevention zu beginnen. Die empfohlenen Schritte, um mit dem Einsatz von Advanced Threat Prevention zu beginnen, umfassen die folgenden Phasen: ● Bereitstellung eines Mandanten für Advanced Threat Prevention ○ Erforderlich, um Advanced Threat Prevention bereitzustellen ○ Die Lizenzen für Advanced Threat Prevention müssen auf dem Dell Server vorhanden sein.
Bereitstellung und Kommunikation mit Agenten Die folgenden Diagramme veranschaulichen die Bereitstellung des Advanced Threat Prevention-Dienstes.
Das folgende Diagramm veranschaulicht die Agentenkommunikation für Advanced Threat Prevention. Das folgende Diagramm zeigt die Dell Server-Architektur und -Kommunikation.
Integritätsüberprüfung des BIOS-Image aktivieren Die Integritätsüberprüfung des BIOS-Image ist standardmäßig aktiviert, wenn der Hauptschalter für Advanced Threat Prevention aktiviert ist. Eine Übersicht über die Integritätsüberprüfung des BIOS-Image finden Sie unter Prozess für die Integritätsüberprüfung des BIOS-Image. Überprüfungsvorgang Das folgende Diagramm veranschaulicht die Integritätsüberprüfung des BIOS-Abbildes.
Wenn die Richtlinie BIOS-Gewährleistung aktivieren in der Verwaltungskonsole ausgewählt ist, validiert der Cylance-Mandant einen BIOSHash auf Endpunkt-Computern, um sicherzustellen, dass das BIOS nicht von der werkseitigen Dell Version verändert wurde, was einen möglichen Angriffspunkt darstellen würde. Wenn eine Gefahr erkannt wird, wird eine Benachrichtigung an den Dell Server gesendet und der IT-Administrator wird in der Remote-Verwaltungskonsole über diesen Vorfall benachrichtigt.
Dell Computermodelle, auf denen die Integritätsüberprüfung des BIOS-Abbildes unterstützt wird ● ● ● ● ● ● ● ● ● ● ● Latitude 7370 Latitude E5270 Latitude E5470 Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extreme Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● ● ● ● ● Precision Mobile Workstation 3510 Precision Mobile Workstation 5510 Precision Workstation 3620 Precision Workstation 7510 Precision Workstation 7710 Precision Workstation T3420 Venue
● Registrieren für automatische Aktualisierungen von Advanced Threat Prevention ● Festlegen von E-Mail- oder Dashboard-Benachrichtigungen für Advanced Threat Prevention-Warnungen ● Sichern und Herunterladen bestehender Advanced Threat Prevention-Zertifikate ANMERKUNG: Die Sicherheitsadministratorrolle ist erforderlich für das Anzeigen, Ändern oder Festlegen von Richtlinien. Zum Anzeigen oder Ändern der vorhandenen Administratorrechte gehen Sie wie folgt vor: 1.
● Zertifikat - Benachrichtigung zum Zertifikatsablaufdatum. ● Dell Server-Ausnahmen – Ein Dell Server-Kommunikationsfehler wirkt sich auf die Zustellung der folgenden Benachrichtigungen aus: Threat Protection, Aktualisierung, Konfig, Wissensdatenbank und Ankündigung. Nach Auswahl einer oder mehrerer Benachrichtigungsarten klicken Sie zur Anwendung Ihrer Auswahl irgendwo oberhalb der Liste. Wählen Sie Ausgewählte Elemente löschen aus, um die Auswahl in dieser Liste zurückzusetzen.
3 Richtlinien Dieses Kapitel erläutert die Richtlinienverwaltung für Advanced Threat Prevention. ● Aktivieren von Advanced Threat Prevention ● Empfohlene Richtlinieneinstellungen ● Richtlinienänderungen festlegen Die vollständige Liste der Richtlinien für Advanced Threat Prevention und ihre Beschreibungen finden Sie in der AdminHelp, die in der Verwaltungskonsole verfügbar ist.
4 Bedrohungen, die innerhalb der letzten 24 Stunden und insgesamt Dieses Kapitel erläutert die Identifizierung und Verwaltung von Bedrohungen, die nach der Installation von Advanced Threat Prevention in einer Unternehmensumgebung auftreten können.
Bezeichnung Schweregrad Details MemoryViolationBlocked Warnung Zeigt an, dass die Ausführung einer ausführbaren Datei oder eines Skripts fehlgeschlagen ist, aber gegen die Speicherschutz- oder Skriptsteuerungsrichtlinie verstoßen hat. Die Ausführung der ausführbaren Datei oder des Skripts wurde anschließend blockiert. In der Regel ist dies ein Hinweis darauf, dass der korrelierende Speicherschutz oder die Skript-Steuerungsrichtlinie auf Blockieren eingestellt wurde.
Klicken Sie auf „Benachrichtigung“, um weitere Details aufzurufen. Die Zusammenfassung enthält Links zu weiteren Bedrohungs- oder Ereignisdetails. Registerkarte „Advanced Threats“ Auf der Registerkarte „Advanced Threats“ werden ausführliche Ereignisinformationen für das gesamte Unternehmen auf dynamische Weise angezeigt. Sie enthält außerdem eine Liste mit Geräten, auf denen Ereignisse stattgefunden haben, mit den jeweiligen Aktionen, die auf den Geräten hinsichtlich des Ereignisses durchgeführt wurden.
Beispielsweise könnte eine Datei, die im aktuellen Modell als sicher angesehen wird, im neuen Modell als unsicher gelten. Wenn Ihr Unternehmen diese Datei benötigt, können Sie sie zur sicheren Liste hinzufügen. Eine Datei, die nie angezeigt oder vom aktuellen Modell bewertet wurde, kann vom neuen Modell als unsicher eingestuft werden. Wenn Ihr Unternehmen diese Datei benötigt, können Sie sie zur sicheren Liste hinzufügen.
● Bedrohung auf die sichere Liste setzen ● Globale Liste manuell bearbeiten So verwalten Sie eine Bedrohung, die auf Unternehmensebene identifiziert wurde: 1. Klicken Sie im linken Bereich auf Bestückungen > Unternehmen. 2. Wählen Sie die Registerkarte Erweiterte Bedrohungen aus. 3. Wählen Sie „Protection“ aus. Aus der Tabelle „Skriptsteuerung“ können Sie ein Skript exportieren, das in der Tabelle als potenzielle Bedrohung aufgeführt wird.
5 Getrennter Modus Der getrennte Modus ermöglicht einem Dell Server die Verwaltung der Advanced Threat Prevention-Endpunkte ohne Client-Verbindung mit dem Internet oder externen Netzwerk. Der getrennte Modus ermöglicht dem Dell Server außerdem die Verwaltung von Clients ohne Internetverbindung oder einen bereitgestellten und gehosteten Advanced Threat Prevention-Dienst. Der Dell Server erfasst im getrennten Modus alle Ereignis- und Bedrohungsdaten.
Identifizierung und Verwaltung von Bedrohungen im getrennten Modus Zur Verwaltung von Bedrohungen im getrennten Modus müssen Sie zuerst die folgenden Advanced Threat Prevention-Richtlinien festlegen, je nachdem welche für Ihr Unternehmen gelten: ● Global zulassen ● Quarantäneliste ● Sichere Liste Diese Richtlinien werden nur dann an den Advanced Threat Prevention-Client gesendet, wenn der Dell Server einen Installationstoken für den getrennten Modus mit dem Präfix „DELLAG“ erkennt.
6 Fehlerbehebung Wiederherstellen von Advanced Threat Prevention Wiederherstellen des Dienstes Um den Advanced Threat Prevention-Dienst wiederherzustellen, benötigen Sie das gesicherte Zertifikat. 1. Klicken Sie im linken Bereich der Verwaltungskonsole auf Verwaltung > Dienstverwaltung. 2. Klicken Sie auf Advanced Threat Prevention-Dienst wiederherstellen. 3.
Debuggen 15 Der Registrierungswert ist aktiviert, wenn der Advanced Threat Prevention-Dienst startet oder immer dann, wenn der Wert sich ändert. Wenn der Registrierungswert nicht vorhanden ist, gibt es keine Änderung auf der Protokollierungsebene. Verwenden Sie diese Registrierungseinstellung nur für Prüfungs-/Debugging-Aktivitäten, da sie die Ausführlichkeitsstufe für andere Komponenten steuert, einschließlich des Encryption-Clients und des Encryption Management Agent.