Dell Endpoint Security Suite Enterprise Guia de Iniciação Rápida do Advanced Threat Prevention v2.9 December 2020 Rev.
Notas, avisos e advertências NOTA: uma NOTA fornece informações importantes para ajudar a utilizar melhor o produto. AVISO: Um AVISO indica danos potenciais no hardware ou uma perda de dados e diz como pode evitar esse problema. ADVERTÊNCIA: Uma ADVERTÊNCIA indica potenciais danos no equipamento, lesões corporais ou morte. © 2012-2020 Dell Inc. All rights reserved. Dell, EMC e outras marcas comerciais pertencem à Dell Inc ou às suas subsidiárias.
Índice Capítulo1: Introdução...................................................................................................................... 4 Contacte o Dell ProSupport................................................................................................................................................. 4 Capítulo2: Introdução......................................................................................................................5 Configurar um inquilino.........................
1 Introdução Antes de efetuar as tarefas descritas neste guia, têm de ser instalados os seguintes componentes: ● Endpoint Security Suite Enterprise - Consulte o Guia de instalação avançada do Endpoint Security Suite Enterprise ou o Guia de instalação básica do Endpoint Security Suite Enterprise ● Servidores Security Management Server ou Security Management Server Virtual - Consulte o Guia de instalação e migração do Security Management Server ou o Guia de instalação e guia de início rápido do servidor Secur
2 Introdução Este capítulo descreve os passos recomendados para começar a administrar o Advanced Threat Prevention.
Aprovisionamento e comunicação do agente Os seguintes diagramas ilustram o processo de aprovisionamento do serviço do Advanced Threat Prevention.
O diagrama seguinte ilustra o processo de comunicação do agente do Advanced Threat Prevention. O diagrama seguinte ilustra a arquitetura e a comunicação do Dell Server.
Ativar a verificação da integridade de imagem do BIOS A política de verificação da integridade de imagem do BIOS está ativada por predefinição quando a opção principal do Advanced Threat Prevention está ativada. Para obter uma descrição geral do processo de verificação da integridade de imagem do BIOS, consulte Processo de verificação da integridade de imagem do BIOS. Processo de verificação O diagrama seguinte ilustra o processo de verificação da integridade de imagem do BIOS.
Se a política Ativar a garantia do BIOS for selecionada na Management Console, o inquilino Cylance valida o hash do BIOS nos computadores de endpoint para assegurar que o BIOS não foi modificado face à versão de fábrica da Dell, o qual é um possível vetor de ataques. Se for detetada uma ameaça, é transmitida uma notificação para o Dell Server e o administrador de TI é alertado na Remote Management Console.
Modelos de computador Dell suportados pela Verificação da integridade de imagem do BIOS ● ● ● ● ● ● ● ● ● Latitude E5470 Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extreme Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● ● ● Estação de trabalho Precision 3620 Estação de trabalho Precision 7510 Estação de trabalho Precision 7710 Estação de trabalho Precision T3420 Venue 10 Pro 5056 Venue Pro 5855 XPS 12 9250 XPS 13 9350 XPS 9550 Configurar a atual
NOTA: A função de administrador de segurança é necessária para visualizar, modificar ou consolidar políticas. Para visualizar ou modificar os privilégios de administrador existentes, siga os passos abaixo: 1. 2. 3. 4. No painel esquerdo, clique em Populações > Administradores. Procure ou selecione a linha que apresenta o nome de utilizador do administrador adequado para apresentar os Detalhes do utilizador. Visualize ou modifique os papéis de administrador no painel à direita. Clique em Guardar.
Selecione Limpar itens selecionados para reiniciar as seleções nesta lista. Níveis de Prioridade: NOTA: Os níveis de prioridade de notificação não estão relacionados com os níveis de prioridade apresentados no painel, a não ser na área de notificações. As prioridades são Crítica, Alta, Média e Baixa. Estes níveis de prioridade estão apenas ligados entre si dentro de um tipo de notificação.
3 Políticas Este capítulo apresenta detalhes sobre a gestão de políticas do Advanced Threat Prevention. ● Ativar o Advanced Threat Prevention ● Definições de políticas recomendadas ● Consolidar modificações de políticas Para obter a lista completa de políticas do Advanced Threat Prevention e as respetivas descrições, consulte AdminHelp, disponível na Management Console.
4 Ameaças colocadas Este capítulo apresenta detalhes sobre como identificar e gerir ameaças encontradas num ambiente empresarial após a instalação do Advanced Threat Prevention.
Etiqueta Gravidade Detalhes MemoryViolationTerminated Aviso Indica que houve uma tentativa de execução de um executável ou script, que estava a ser executado de forma ativa e em violação da política de Proteção de Memória ou de Controlo de Script. O executável ou script foi subsequentemente terminado. Normalmente, é indicativo de que a política de Proteção de Memória ou de Controlo de Script correlacionada descrita foi definida para Terminar.
● Proteção - Indica os ficheiros e scripts potencialmente prejudiciais e os respetivos detalhes, incluindo os dispositivos nos quais se encontram os ficheiros e scripts. ● Agentes - Fornece informações sobre os dispositivos que executam o cliente Advanced Threat Prevention, bem como a opção de exportar as informações ou remover dispositivos da lista. ● Lista global - Indica os ficheiros em Quarentena global e na Lista segura e oferece a opção de mover os ficheiros para estas listas.
Para identificar as classificações que podem afetar a sua organização, a Dell recomenda a seguinte abordagem: 1. Aplique um filtro na coluna Novo estado para apresentar todos os ficheiros com o estado Não seguro, Anormal e Em quarentena. 2. Aplique um filtro na coluna Estado da produção para apresentar todos os ficheiros com o estado Seguro. 3. Aplique um filtro na coluna Classificação para apresentar apenas as ameaças com o estado Fidedigno - Local.
convicção da Indústria AV (ligações para VirusTotal.com para comparação com outros fornecedores), a data em que foi encontrado pela primeira vez, SHA256, MD5, informações do ficheiro (autor, descrição, versão) e detalhes da assinatura. Comandos ● Exportar - Exporte os dados da ameaça para um ficheiro CSV. Selecione as linhas a exportar e, em seguida, clique em Exportar. ● Quarentena global - Adicione um ficheiro à lista de quarentena global.
5 Modo Desligado O modo Desligado permite que um Dell Server faça a gestão de endpoints Advanced Threat Prevention sem ligação do cliente à Internet ou a uma rede externa. O modo Desligado também permite que o Dell Server faça a gestão de clientes sem ligação à Internet ou a um serviço Advanced Threat Prevention aprovisionado e alojado. O Dell Server capta todos os eventos e dados de ameaça no modo Desligado.
● Permitir global ● Lista de quarentena ● Lista segura Estas políticas são enviadas para o cliente Advanced Threat Prevention apenas se o Dell Server detetar um token de instalação do modo Desligado, que contém o prefixo "DELLAG". Consulte AdminHelp para obter exemplos destas políticas. Para visualizar os ficheiros que o Advanced Threat Prevention identifica como potenciais ameaças, navegue até Empresa > separador Eventos do Advanced Threat.
6 Resolução de problemas Recuperar o Advanced Threat Prevention Recuperar o serviço Será necessário efetuar uma cópia de segurança do certificado para recuperar o serviço do Advanced Threat Prevention. 1. No painel esquerdo da Management Console, clique em Gestão > Gestão de serviços. 2. Clique em Recuperar serviço do Advanced Threat Prevention. 3. Siga a recuperação do serviço orientada e carregue o certificado do Advanced Threat Prevention quando solicitado.
Debug 15 O valor de registo é verificado quando o serviço Advanced Threat Prevention é iniciado ou sempre que o valor muda. Se o valor de registo não existir, não há qualquer alteração no nível de registo. Utilize esta definição de registo apenas para testar/depurar, uma vez que esta definição de registo controla a verbosidade do registo de outros componentes, incluindo o Encryption Client e o Encryption Management Agent.