Dell Endpoint Security Suite Enterprise Guide de démarrage rapide d’Advanced Threat Prevention v3.1 Août 2021 Rév.
Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit. PRÉCAUTION : ATTENTION vous avertit d’un risque de dommage matériel ou de perte de données et vous indique comment éviter le problème. AVERTISSEMENT : un AVERTISSEMENT signale un risque d’endommagement du matériel, de blessure corporelle, voire de décès. © 2012-2021 Dell Inc. All rights reserved.
Table des matières Chapitre 1: Introduction...................................................................................................................4 Contacter Dell ProSupport................................................................................................................................................... 4 Chapitre 2: Démarrer...................................................................................................................... 5 Provision a Tenant..................
1 Introduction Avant d'effectuer les tâches décrites dans ce guide, vous devez avoir installé les composants suivants : ● Endpoint Security Suite Enterprise : voir le Guide d'installation avancée d'Endpoint Security Suite Enterprise et le Guide d'installation de base d'Endpoint Security Suite Enterprise.
2 Démarrer Ce chapitre indique les étapes recommandées pour commencer l'administration d'Advanced Threat Prevention. Les étapes recommandées pour commencer l'administration d'Advanced Threat Prevention comprennent les phases suivantes : ● Configuration d'un locataire pour Advanced Threat Protection ○ Requise pour déployer Advanced Threat Prevention ○ Les licences Advanced Threat Prevention doivent être présentes sur Dell Server.
Démarrer
Le diagramme suivant illustre le processus de communication agent d'Advanced Threat Prevention. Le schéma suivant illustre l'architecture et la communication de Dell Server.
Activation de la vérification de l'intégrité de l'image BIOS La règle de vérification de l'intégrité de l'image du BIOS est activée par défaut lorsque le commutateur principal d'Advanced Threat Prevention est activé. Pour obtenir un aperçu du processus de vérification de l'intégrité de l'image BIOS, voir la section Processus de vérification de l'intégrité de l'image BIOS. Processus de vérification Le diagramme suivant illustre le processus de vérification de l'intégrité de l'image BIOS.
Si la règle Activer l'assurance du BIOS est sélectionnée dans la console de gestion, le locataire Cylance vérifie une valeur de hachage BIOS sur les ordinateurs de points de terminaison afin de garantir que le BIOS n'a pas été modifié par rapport à la version d'usine Dell, ce qui est un vecteur d'attaque possible. Si une menace est détectée, une notification est transmise à Dell Server et l'administrateur informatique est averti dans la console de gestion à distance.
Modèles d'ordinateur Dell pris en charge avec la vérification de l'intégrité de l'image BIOS ● ● ● ● ● ● ● ● ● Latitude E5470 Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extrême Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● ● ● Precision Workstation 3620 Precision Workstation 7510 Precision Workstation 7710 Precision Workstation T3420 Venue 10 Pro 5056 Venue Pro 5855 Venue XPS 12 9250 XPS 13 9350 XPS 9550 Configuration de la mise à jour automat
Pour afficher ou modifier les privilèges de l'administrateur existants, procédez comme suit : 1. Dans le volet gauche, cliquez sur Populations > Administrateurs. 2. Recherchez ou sélectionnez la ligne qui affiche le nom d'utilisateur de l'administrateur approprié pour afficher les détails de l'utilisateur. 3. Affichez ou modifiez les rôles d'administrateur dans le volet droit. 4. Cliquez sur Enregistrer.
REMARQUE : Les niveaux de priorité des notifications ne sont pas liés aux niveaux de priorité affichés sur le tableau de bord autres que ceux de la zone des notifications. Les priorités sont Critique, Élevée, Moyenne et Basse. Ces niveaux de priorité sont mutuellement relatifs dans un type de notification. Vous pouvez sélectionner les niveaux de priorité des notifications à inclure dans les listes de la zone des notifications sur le tableau de bord ou de notifications par e-mail.
3 Stratégies Ce chapitre présente la gestion des règles d'Advanced Threat Prevention. ● Activation d'Advanced Threat Prevention ● Paramètres de règle recommandés ● Validation des modifications des règles Pour consulter la liste complète des règles d'Advanced Threat Prevention et leur description, voir AdminHelp, disponible dans la console de gestion.
4 Menaces Ce chapitre explique comment identifier et gérer les menaces d'un environnement d'entreprise suite à l'installation d'Advanced Threat Prevention.
Étiquette Gravité Détail MemoryViolationTerminated Avertissement Indique qu’un exécutable ou un script s’exécute activement et est en violation de la stratégie Protection de la mémoire ou Contrôle des scripts. L’exécutable ou le script a été arrêté par la suite. En général, cela indique que la stratégie décrite Protection de la mémoire ou Contrôle des scripts en corrélation a été définie sur Arrêter.
● Agents : fournit des informations sur les périphériques exécutant le client Advanced Threat Prevention ainsi que l'option d'exportation des informations ou de suppression des périphériques de la liste. ● Liste globale : répertorie des fichiers dans la liste de Mise en quarantaine globale et la Liste de sécurité et fournit l'option de déplacement des fichiers vers ces listes. ● Options : fournit un moyen d'intégration avec Security Information Event Management (SIEM).
Identifier les classifications Pour identifier les classifications qui peuvent avoir un impact sur votre organisation, Dell recommande l'approche suivante : 1. Appliquez un filtre à la colonne Nouvel état pour afficher tous les fichiers non sûrs, anormaux et mis en quarantaine. 2. Appliquez un filtre à la colonne État de production pour afficher tous les fichiers sûrs. 3. Appliquez un filtre à la colonne Classification pour montrer uniquement les menaces fiables et locales.
Commandes ● Exporter : exportez les données de menace vers un fichier .CSV. Sélectionnez les lignes à exporter, puis cliquez sur Exporter. ● Quarantaine globale : ajoutez un fichier à la liste de quarantaine globale. La menace est mise définitivement en quarantaine depuis tous les périphériques. ● Sûr : ajoutez un fichier à la liste fiable. Le fichier est définitivement considéré comme inoffensif sur tous les périphériques.
5 Mode Déconnecté Le mode Déconnecté permet à un serveur Dell Server de gérer les points de terminaison d'Advanced Threat Prevention sans connexion client à Internet ou à un réseau externe. Il permet également au serveur Dell Server de gérer les clients sans connexion à Internet, ni service Advanced Threat Prevention configuré ou hébergé. Le serveur Dell Server capture toutes les données de menace et d'événements en mode Déconnecté.
Identification et gestion des menaces en mode Déconnecté Pour gérer les menaces en mode Déconnecté, vous devez d'abord définir les règles Advanced Threat Prevention suivantes en fonction des besoins de votre entreprise : ● Autorisation globale ● Liste de quarantaine ● Liste de sécurité Ces règles sont envoyées au client Advanced Threat Prevention uniquement si Dell Server détecte un jeton d'installation en mode Déconnecté, qui comporte le préfixe "DELLAG".
6 Dépannage Récupération d'Advanced Threat Prevention Récupération du service Vous aurez besoin de votre certificat sauvegardé pour récupérer le service Advanced Threat Prevention. 1. Dans le volet gauche de la console de gestion, cliquez sur Gestion > Gestion des services. 2. Cliquez sur Récupérer le service Advanced Threat Prevention. 3. Suivez la procédure de récupération du service guidée et téléchargez le certificat d'Advanced Threat Prevention lorsque vous y êtes invité.
La valeur de registre est vérifiée lorsque le service Advanced Threat Prevention démarre ou à chaque fois que la valeur change. Si la valeur de registre n'existe pas, il n'y a pas de modification du niveau de journalisation. Utilisez ce paramètre de registre uniquement pour les tests/le débogage, car ce paramètre de registre contrôle la verbosité du log pour les autres composants, y compris Encryption et Encryption Management Agent.