Dell Endpoint Security Suite Enterprise Schnellstarthandbuch für Advanced Threat Prevention v3.1 August 2021 Rev.
Hinweise, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen können. VORSICHT: Ein VORSICHTSHINWEIS warnt vor möglichen Beschädigungen der Hardware oder vor Datenverlust und zeigt, wie diese vermieden werden können. WARNUNG: Mit WARNUNG wird auf eine potenziell gefährliche Situation hingewiesen, die zu Sachschäden, Verletzungen oder zum Tod führen kann. © 2012-2021 Dell Inc. All rights reserved.
Inhaltsverzeichnis Kapitel 1: Einleitung.........................................................................................................................4 Kontaktieren des Dell ProSupports..................................................................................................................................... 4 Kapitel 2: Erste Schritte.................................................................................................................. 5 Bereitstellung eines Mandanten........
1 Einleitung Vor dem Durchführen von Aufgaben, die in diesem Handbuch erläutert werden, müssen die folgenden Komponenten installiert werden: ● Endpoint Security Suite Enterprise – siehe Endpoint Security Suite Enterprise Erweitertes Installationshandbuch oder Endpoint Security Suite Enterprise Einfaches Installationshandbuch ● Security Management Server oder Security Management Server Virtual – siehe Installations- und Migrationshandbuch für Security Management Server oder Schnellstart- und Installationshan
2 Erste Schritte Dieses Kapitel erläutert die empfohlenen Schritte, um mit dem Einsatz von Advanced Threat Prevention zu beginnen. Die empfohlenen Schritte, um mit dem Einsatz von Advanced Threat Prevention zu beginnen, umfassen die folgenden Phasen: ● Bereitstellung eines Mandanten für Advanced Threat Prevention ○ Erforderlich, um Advanced Threat Prevention bereitzustellen ○ Die Lizenzen für Advanced Threat Prevention müssen auf dem Dell Server vorhanden sein.
Bereitstellung und Kommunikation mit Agenten Die folgenden Diagramme veranschaulichen die Bereitstellung des Advanced Threat Prevention-Dienstes.
Das folgende Diagramm veranschaulicht die Agentenkommunikation für Advanced Threat Prevention. Das folgende Diagramm zeigt die Dell Server-Architektur und -Kommunikation.
Integritätsüberprüfung des BIOS-Image aktivieren Die Integritätsüberprüfung des BIOS-Image ist standardmäßig aktiviert, wenn der Hauptschalter für Advanced Threat Prevention aktiviert ist. Eine Übersicht über die Integritätsüberprüfung des BIOS-Image finden Sie unter Prozess für die Integritätsüberprüfung des BIOS-Image. Überprüfungsvorgang Das folgende Diagramm veranschaulicht die Integritätsüberprüfung des BIOS-Abbildes.
Wenn die Richtlinie BIOS-Gewährleistung aktivieren in der Verwaltungskonsole ausgewählt ist, validiert der Cylance-Mandant einen BIOS-Hash auf Endpunkt-Computern, um sicherzustellen, dass das BIOS nicht von der werkseitigen Dell Version verändert wurde, was einen möglichen Angriffspunkt darstellen würde. Wenn eine Gefahr erkannt wird, wird eine Benachrichtigung an den Dell Server gesendet und der IT-Administrator wird in der Remote-Verwaltungskonsole über diesen Vorfall benachrichtigt.
Dell Computermodelle, auf denen die Integritätsüberprüfung des BIOS-Abbildes unterstützt wird ● ● ● ● ● ● ● ● ● ● ● Latitude 7370 Latitude E5270 Latitude E5470 Latitude E5570 Latitude E7270 Latitude E7470 Latitude Rugged 5414 Latitude Rugged 7214 Extreme Latitude Rugged 7414 OptiPlex 3040 OptiPlex 3240 ● ● ● ● ● ● ● ● ● ● ● Precision Mobile Workstation 3510 Precision Mobile Workstation 5510 Precision Workstation 3620 Precision Workstation 7510 Precision Workstation 7710 Precision Workstation T3420 Venue
● Festlegen von E-Mail- oder Dashboard-Benachrichtigungen für Advanced Threat Prevention-Warnungen ● Sichern und Herunterladen bestehender Advanced Threat Prevention-Zertifikate ANMERKUNG: Die Sicherheitsadministratorrolle ist erforderlich für das Anzeigen, Ändern oder Festlegen von Richtlinien. Zum Anzeigen oder Ändern der vorhandenen Administratorrechte gehen Sie wie folgt vor: 1. Klicken Sie im linken Fensterbereich auf Bestückungen > Administratoren. 2.
● Dell Server-Ausnahmen – Ein Dell Server-Kommunikationsfehler wirkt sich auf die Zustellung der folgenden Benachrichtigungen aus: Threat Protection, Aktualisierung, Konfig, Wissensdatenbank und Ankündigung. Nach Auswahl einer oder mehrerer Benachrichtigungsarten klicken Sie zur Anwendung Ihrer Auswahl irgendwo oberhalb der Liste. Wählen Sie Ausgewählte Elemente löschen aus, um die Auswahl in dieser Liste zurückzusetzen.
3 Richtlinien Dieses Kapitel erläutert die Richtlinienverwaltung für Advanced Threat Prevention. ● Aktivieren von Advanced Threat Prevention ● Empfohlene Richtlinieneinstellungen ● Richtlinienänderungen festlegen Die vollständige Liste der Richtlinien für Advanced Threat Prevention und ihre Beschreibungen finden Sie in der AdminHelp, die in der Verwaltungskonsole verfügbar ist.
4 Bedrohungen, die innerhalb der letzten 24 Stunden und insgesamt Dieses Kapitel erläutert die Identifizierung und Verwaltung von Bedrohungen, die nach der Installation von Advanced Threat Prevention in einer Unternehmensumgebung auftreten können.
Bezeichnung Schweregrad Details oder Skriptsteuerungsrichtlinie verstoßen hat. Die Ausführung der ausführbaren Datei oder des Skripts wurde anschließend blockiert. In der Regel ist dies ein Hinweis darauf, dass der korrelierende Speicherschutz oder die Skript-Steuerungsrichtlinie auf Blockieren eingestellt wurde.
Auf der Registerkarte „Advanced Threats“ werden ausführliche Ereignisinformationen für das gesamte Unternehmen auf dynamische Weise angezeigt. Sie enthält außerdem eine Liste mit Geräten, auf denen Ereignisse stattgefunden haben, mit den jeweiligen Aktionen, die auf den Geräten hinsichtlich des Ereignisses durchgeführt wurden. Gehen Sie folgendermaßen vor, um die Registerkarte „Enterprise Advanced Threats“ aufzurufen: 1. Klicken Sie im linken Bereich auf Bestückungen > Unternehmen. 2.
aktuellen Status. Wenn sich der Cylance Score für eine Datei von 10 auf 20 ändert, bleibt der Dateistatus abnormal und die Datei wird in der aktualisierten Modellliste angezeigt (wenn diese Datei auf Geräten in Ihrer Organisation existiert). Vergleich des aktuellen Modells mit dem neuen Modell Sie können die Unterschiede zwischen dem aktuellen Modell und dem neuen Modell überprüfen.
Erweiterte Unternehmensbedrohungen verwalten Auf der Registerkarte „Schutz“ finden Sie Informationen zu potenziell schädlichen Dateien und Skripten. Tabelle der Bedrohungen Von der Tabelle der Bedrohungen können Sie eine Bedrohung exportieren, unter Quarantäne stellen oder der sicheren Liste hinzufügen. Sie können eine Bedrohung auch manuell der globalen Quarantäneliste hinzufügen. In der Tabelle sind alle Ereignisse aufgeführt, die innerhalb der Organisation gefunden wurden.
5 Getrennter Modus Der getrennte Modus ermöglicht einem Dell Server die Verwaltung der Advanced Threat Prevention-Endpunkte ohne Client-Verbindung mit dem Internet oder externen Netzwerk. Der getrennte Modus ermöglicht dem Dell Server außerdem die Verwaltung von Clients ohne Internetverbindung oder einen bereitgestellten und gehosteten Advanced Threat Prevention-Dienst. Der Dell Server erfasst im getrennten Modus alle Ereignis- und Bedrohungsdaten.
Identifizierung und Verwaltung von Bedrohungen im getrennten Modus Zur Verwaltung von Bedrohungen im getrennten Modus müssen Sie zuerst die folgenden Advanced Threat Prevention-Richtlinien festlegen, je nachdem welche für Ihr Unternehmen gelten: ● Global zulassen ● Quarantäneliste ● Sichere Liste Diese Richtlinien werden nur dann an den Advanced Threat Prevention-Client gesendet, wenn der Dell Server einen Installationstoken für den getrennten Modus mit dem Präfix „DELLAG“ erkennt.
6 Fehlerbehebung Wiederherstellen von Advanced Threat Prevention Wiederherstellen des Dienstes Um den Advanced Threat Prevention-Dienst wiederherzustellen, benötigen Sie das gesicherte Zertifikat. 1. Klicken Sie im linken Bereich der Verwaltungskonsole auf Verwaltung > Dienstverwaltung. 2. Klicken Sie auf Advanced Threat Prevention-Dienst wiederherstellen. 3.
Der Registrierungswert ist aktiviert, wenn der Advanced Threat Prevention-Dienst startet oder immer dann, wenn der Wert sich ändert. Wenn der Registrierungswert nicht vorhanden ist, gibt es keine Änderung auf der Protokollierungsebene. Verwenden Sie diese Registrierungseinstellung nur für Prüfungs-/Debugging-Aktivitäten, da sie die Ausführlichkeitsstufe für andere Komponenten steuert, einschließlich Encryption und Encryption Management Agent.