Dell Endpoint Security Suite Enterprise Guia de início rápido do Advanced Threat Prevention v2.9 December 2020 Rev.
Notas, avisos e advertências NOTA: Uma NOTA indica informações importantes que ajudam você a usar melhor o seu produto. CUIDADO: um AVISO indica possíveis danos ao hardware ou a possibilidade de perda de dados e informa como evitar o problema. ATENÇÃO: uma ADVERTÊNCIA indica possíveis danos à propriedade, lesões corporais ou risco de morte. © 2012-2020 Dell Inc. All rights reserved. A Dell, a EMC, e outras marcas são marcas comerciais da Dell Inc. ou suas subsidiárias.
Índice Capítulo 1: Introdução..................................................................................................................... 4 Entre em contato com o Dell ProSupport.......................................................................................................................... 4 Capítulo 2: Introdução.....................................................................................................................5 Provisionar um locatário...................................
1 Introdução Antes de executar tarefas explicadas neste guia, os seguintes componentes precisam estar instalados: ● Endpoint Security Suite Enterprise - consulte o Guia de instalação avançada do Endpoint Security Suite Enterprise ou o Guia de instalação básica do Endpoint Security Suite Enterprise ● Security Management Server ou Security Management Server Virtual - consulte o Guia de instalação e migração do Security Management Server ou o Guia de instalação e início rápido de servidor Security Management S
2 Introdução Este capítulo detalha as etapas recomendadas para começar a administrar o Advanced Threat Prevention. As etapas recomendadas para começar a administrar o Advanced Threat Prevention incluem as seguintes fases: ● Provisionar um locatário para o Advanced Threat Prevention ○ Necessário para implementar o Advanced Threat Prevention ○ As licenças do Advanced Threat Prevention precisam estar presentes no Dell Server.
Provisionamento e comunicação do agente Os diagramas a seguir ilustram o processo de provisionamento do serviço Advanced Threat Prevention.
O diagrama a seguir ilustra o processo de comunicação do agente do Advanced Threat Prevention. O diagrama a seguir ilustra a arquitetura e a comunicação do Dell Server.
Habilitar a verificação da integridade da imagem da BIOS A política de verificação da integridade da imagem da BIOS está habilitada por padrão quando o interruptor principal do Advanced Threat Prevention está habilitado. Para obter uma visão geral do processo de verificação de integridade da imagem da BIOS, consulte Processo de verificação da integridade da imagem da BIOS. Processo de verificação O diagrama a seguir ilustra o processo de verificação de integridade da imagem do BIOS.
Se a política Ativar certificação de BIOS estiver selecionada no Management Console, o locatário do Cylance valida um hash do BIOS nos sistemas dos usuários finais para garantir que o BIOS não foi modificado na versão de fábrica da Dell, o que é um possível vetor de ataque. Se uma ameaça for detectada, uma notificação será passada para o Dell Server e o administrador de TI será alertado no Remote Management Console.
Modelos de computador Dell compatíveis com a Verificação de integridade da imagem do BIOS ● ● ● ● ● ● ● ● ● ● Latitude E5270 Latitude E5470 Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extreme Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● ● ● ● Precision Mobile Workstation 5510 Precision Workstation 3620 Precision Workstation 7510 Precision Workstation 7710 Precision Workstation T3420 Venue 10 Pro 5056 Venue Pro 5855 Venue XPS 12 9250 XPS 13 9350
● Fazer backup e download de certificados existentes no Advanced Threat Prevention NOTA: A função administrador de segurança é necessária para visualizar, modificar ou confirmar políticas. Para ver ou modificar permissões de administrador existentes, siga essas etapas: 1. 2. 3. 4. No painel esquerdo, clique em Populações > Administradores. Pesquise ou selecione pela linha que mostra o nome de usuário do administrador adequado para ver os Detalhes de usuário.
Níveis de prioridade NOTA: Os níveis de prioridade de notificação não estão relacionados aos níveis de prioridade mostrados no painel, exceto na área Notificações. As prioridades são Crítica, Alta, Média e Baixa. Esses níveis de prioridade só são relativos entre si dentro de um tipo de notificação. Você pode selecionar os níveis de prioridade das notificações a serem incluídas na área de notificações do painel ou nas listas de notificações por e-mail.
3 Políticas Este capítulo detalha o gerenciamento de políticas do Advanced Threat Prevention. ● Habilitar o Advanced Threat Prevention ● Configurações de política recomendadas ● Confirmar as modificações da política Para obter a lista completa de políticas do Advanced Threat Prevention e suas descrições, consulte o AdminHelp, disponível no Management Console.
4 Ameaças Este capítulo apresenta detalhes sobre como identificar e gerenciar ameaças encontradas em um ambiente empresarial, depois da instalação do Advanced Threat Prevention.
Rótulo Severidade Detalhe descrita de Proteção de Memória ou Controle de Scripts foi definida como Bloquear. MemoryViolationTerminated Aviso Indica que um executável ou script foi encontrado em execução ativa, em violação à política de Proteção de Memória ou Controle de Scripts. Posteriormente, o executável ou script foi encerrado. Normalmente, isso indica que a política correlacionada descrita de Proteção de Memória ou Controle de Scripts foi definida como Encerrar.
● Proteção - Lista scripts e arquivos potencialmente prejudiciais e detalhes sobre eles, incluindo os dispositivos nos quais os scripts e arquivos são encontrados. ● Agentes - Fornece informações sobre dispositivos que executam o cliente do Advanced Threat Prevention, além da opção de exportar as informações ou remover dispositivos da lista. ● Lista global - Indica arquivos nas listas Quarentena global e Segura e fornece a opção de mover os arquivos para essas listas.
Para identificar classificações que possam afetar sua organização, a Dell recomenda a seguinte abordagem: 1. Aplique um filtro para a coluna Novo status para mostrar todos os arquivos Inseguros, Anormais e em Quarentena. 2. Aplique um filtro para a coluna Status da produção para mostrar todos os arquivos Seguros. 3. Aplique um filtro para a coluna Classificação para mostrar apenas Confiável - Ameaças locais. Confiável - Os arquivos locais foram examinados pela Cylance e foram considerados Seguros.
Condenação pelo setor de AV (links para VirusTotal.com para comparação com outros fornecedores), a Data em que foi primeiramente encontrado, SHA256, MD5, Informações do arquivo (autor, descrição, versão) e Detalhes da assinatura. Comandos ● Exportar - Exporte os dados de ameaças para um arquivo CSV. Selecione as linhas que deseja exportar e depois clique em Exportar. ● Quarentena global - Adicione um arquivo à lista de quarentena global.
5 Modo desconectado O modo Desconectado permite que um Dell Server gerencie os pontos de extremidade do Advanced Threat Prevention sem conexão do cliente com a Internet ou com a rede externa. O modo Desconectado também permite que o Dell Server gerencie clientes sem conexão com a Internet ou um serviço provisionado e hospedado do Advanced Threat Prevention. No modo Desconectado, o Dell Server captura todos os eventos e dados de ameaça.
Identificar e gerenciar ameaças no modo Desconectado Para gerenciar ameaças no modo Desconectado, você precisa primeiro configurar as seguintes políticas do Advanced Threat Prevention, conforme aplicável à sua organização: ● Permitir global ● Lista de quarentena ● Lista segura Essas políticas serão enviadas para o cliente do Advanced Threat Prevention apenas se o Dell Server detectar um token de instalação do modo Desconectado, que recebe o prefixo "DELLAG".
6 Solução de problemas Recuperar o Advanced Threat Prevention Recuperar serviço Você precisará de seu certificado salvo em backup para recuperar o serviço Advanced Threat Prevention. 1. No painel esquerdo do Management Console, clique em Gerenciamento > Gerenciamento de serviços. 2. Clique em Recuperar o serviço Advanced Threat Prevention. 3. Siga a recuperação de serviço orientada e faça upload do certificado do Advanced Threat Prevention quando solicitado.
Debug 15 O valor do registro é verificado quando o serviço Advanced Threat Prevention é iniciado ou sempre que o valor muda. Se o valor do registro não existir, não haverá mudança no nível de log. Use essa configuração de registro apenas para teste/depuração, pois ela controla o detalhamento do log para outros componentes, incluindo cliente Encryption e o cliente Encryption Management Agent.