Dell Endpoint Security Suite Enterprise Guida introduttiva rapida di Advanced Threat Prevention v2.9 December 2020 Rev.
Messaggi di N.B., Attenzione e Avvertenza N.B.: un messaggio N.B. (Nota Bene) indica informazioni importanti che contribuiscono a migliorare l'utilizzo del prodotto. ATTENZIONE: un messaggio di ATTENZIONE evidenzia la possibilità che si verifichi un danno all'hardware o una perdita di dati ed indica come evitare il problema. AVVERTENZA: un messaggio di AVVERTENZA evidenzia un potenziale rischio di danni alla proprietà, lesioni personali o morte. © 2012-2020 Dell Inc. All rights reserved.
Sommario Capitolo 1: Introduzione...................................................................................................................4 Contattare Dell ProSupport..................................................................................................................................................4 Capitolo 2: Guida introduttiva.......................................................................................................... 5 Provisioning di un tenant........................
1 Introduzione Prima di eseguire le operazioni illustrate in questa guida, è necessario che i seguenti componenti siano installati: ● Endpoint Security Suite Enterprise - consultare la Endpoint Security Suite Enterprise Advanced Installation Guide (Guida all'installazione avanzata di Endpoint Security Suite Enterprise) o la Endpoint Security Suite Enterprise Basic Installation Guide (Guida all'installazione di base di Endpoint Security Suite Enterprise) ● Security Management Server o Security Management Ser
2 Guida introduttiva Questo capitolo comprende le procedure consigliate per iniziare ad amministrare Advanced Threat Prevention.
Provisioning e comunicazione agente I diagrammi seguenti illustrano il processo di provisioning del servizio Advanced Threat Prevention.
Il diagramma seguente illustra il processo di comunicazione dell'agente di Advanced Threat Prevention. Il seguente diagramma mostra l'architettura e gli strumenti di comunicazione di un server Dell.
Abilitare la verifica dell'integrità dell'immagine del BIOS Il criterio per la verifica dell'integrità dell'immagine del BIOS è attivato per impostazione predefinita quando l'opzione principale di Advanced Threat Prevention è abilitata. Per una panoramica del processo di verifica dell'integrità dell'immagine del BIOS, consultare Processo di verifica dell'integrità dell'immagine del BIOS. Processo di verifica Il diagramma seguente illustra il processo di verifica dell'integrità dell'immagine del BIOS.
Se il criterio Abilita verifica BIOS è selezionato nella Console di gestione, il tenant di Cylance convalida un hash del BIOS sui computer endpoint al fine di garantire che il BIOS non sia stato modificato dalla versione di fabbrica Dell, che è un possibile vettore di attacco. Se viene rilevata una minaccia, viene passata una notifica al Dell Server e l'amministratore IT viene avvisato nella Remote Management Console.
Modelli di computer Dell che supportano la verifica dell'integrità dell'immagine del BIOS ● ● ● ● ● ● ● ● ● Latitude E5470 Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extreme Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● ● ● Precision Workstation 3620 Precision Workstation 7510 Precision Workstation 7710 Precision Workstation T3420 Venue 10 Pro 5056 Venue Pro 5855 Venue XPS 12 9250 XPS 13 9350 XPS 9550 Configurare l'aggiornamento automatico del
1. 2. 3. 4. Nel riquadro sinistro, fare clic su Popolamenti > Amministratori. Ricercare o selezionare la riga in cui viene visualizzato il nome utente dell'amministratore appropriato per visualizzarne i dettagli utente. Visualizzare o modificare i ruoli dell'amministratore nel riquadro destro. Fare clic su Salva. N.B.: Dell raccomanda di assegnare i ruoli dell'amministratore a livello di gruppo piuttosto che a livello di utente.
N.B.: I livelli di priorità delle notifiche non sono correlati ai livelli di priorità visualizzati nella dashboard tranne che nell'area delle notifiche. Le priorità sono: Critica, Alta, Media e Bassa. Questi livelli di priorità sono relativi solo l'uno all'altro nell'ambito di una tipologia di notifica. È possibile selezionare i livelli di priorità di notifiche da includere nell'area delle notifiche della dashboard o nell'elenco delle notifiche tramite posta elettronica.
3 Criteri Questo capitolo descrive la gestione dei criteri per Advanced Threat Prevention. ● Abilitare Advanced Threat Prevention ● Impostazioni dei criteri consigliate ● Eseguire il commit delle modifiche ai criteri Per un elenco completo e una descrizione dei criteri di Advanced Threat Prevention, consultare la guida dell'amministratore, disponibile nella Management Console.
4 Minacce Questo capitolo descrive come identificare e gestire le minacce rilevate in un ambiente aziendale dopo l'installazione di Advanced Threat Prevention.
Etichetta Gravità Dettagli MemoryViolationTerminated Avviso Indica che un eseguibile o uno script era in stato di esecuzione attiva, ma ha violato il criterio Protezione della memoria o Controllo script. L'esecuzione dell'eseguibile o dello script è stata interrotta di conseguenza. In genere, questo indica che il criterio correlato di Protezione della memoria o Controllo script indicato è stato impostato su Termina.
● Agenti - Fornisce informazioni sui dispositivi che eseguono il client Advanced Threat Prevention, nonché la possibilità di esportare le informazioni o rimuovere i dispositivi dall'elenco. ● Elenco globale - Elenca i file negli elenchi quarantena globale e dei file sicuri e fornisce la possibilità di spostare i file in questi elenchi. ● Opzioni - Consente l'integrazione con Security Information Event Management (SIEM, Gestione delle informazioni e degli eventi di sicurezza).
Identificare le classificazioni Per identificare le classificazioni che potrebbero avere un impatto negativo sull'organizzazione, Dell consiglia di adottare l'approccio seguente: 1. Applicare un filtro alla colonna Nuovo stato per visualizzare tutti i file non sicuri, anomali e in quarantena. 2. Applicare un filtro alla colonna Stato di produzione per visualizzare tutti i file sicuri. 3. Applicare un filtro alla colonna Classificazione per mostrare solo i file attendibili e le minacce locali.
Per visualizzare ulteriori informazioni sulle minacce nella tabella, fare clic sulla freccia GIÙ sull'intestazione di una colonna per selezionare e aggiungere le colonne. Nelle colonne, vengono visualizzati i metadati relativi al file, come, ad esempio, classificazioni, punteggio Cylance (livello di fiducia), rilevamento di settore AV (collegamenti a VirusTotal.
5 Modalità disconnessa La modalità disconnessa consente al Dell Server di gestire gli endpoint di Advanced Threat Prevention senza connessione client a Internet o a una rete esterna. La modalità disconnessa consente inoltre al Dell Server di gestire i client senza connessione Internet o un servizio Advanced Threat Prevention sottoposto a provisioning e ospitato. Il Dell Server acquisisce tutti i dati di eventi e minacce in modalità disconnessa.
Identificare e gestire le minacce in modalità disconnessa Per gestire le minacce in modalità disconnessa, è necessario prima impostare i seguenti criteri di Advanced Threat Prevention vigenti nella propria organizzazione: ● Permesso globale ● Elenco quarantena ● Elenco file sicuri Questi criteri vengono inviati al client di Advanced Threat Prevention solo se il Dell Server rileva un token di installazione in modalità disconnessa, preceduto dal prefisso "DELLAG".
6 Risoluzione dei problemi Ripristinare Advanced Threat Prevention Ripristinare il servizio Per eseguire il ripristino del servizio Advanced Threat Prevention, sarà necessario il certificato del quale è stato precedentemente eseguito il backup. 1. Nel riquadro sinistro della Management Console, fare clic su Gestione > Gestione dei servizi. 2. Fare clic su Ripristina servizio Advanced Threat Prevention. 3.
Debug 15 Il valore del registro viene selezionato all'avvio del servizio Advanced Threat Prevention o quando cambia il valore. Se il valore del registro non esiste, non vi è alcun cambiamento a livello di registrazione. Usare questa impostazione di registro solo per esecuzione di test/debug, in quanto controlla i dettagli di registro per altri componenti, inclusi client di crittografia e Encryption Management Agent.