Dell Threat Defense Guida all'installazione e dell'amministratore Con tecnologia Cylance v17.11.
© 2017 Dell Inc. Marchi registrati e marchi commerciali usati nella suite di documenti di Dell Threat Defense: Dell™ e il logo Dell sono marchi di Dell Inc. Microsoft®, Windows®, Windows Server®, Active Directory®, Azure® ed Excel® sono marchi registrati di Microsoft Corporation negli Stati Uniti e/o in altri paesi. OneLogin™ è un marchio di OneLogin, Inc. OKTA™ è un marchio di Okta, Inc. PINGONE™ è un marchio di Ping Identity Corporation. Mac OS® e OS X® sono marchi registrati di Apple, Inc.
Sommario PANORAMICA .................................................................................................................................................. 6 Funzionamento ................................................................................................................................................ 6 Informazioni su questa guida............................................................................................................................ 6 CONSOLE ...................
Aggiungere all'elenco file sicuri per certificato ........................................................................................... 28 Profilo ........................................................................................................................................................... 30 Account ..................................................................................................................................................... 30 Registrazione di controllo ............
Incompatibilità di Controllo script .................................................................................................................. 47 APPENDICE A: GLOSSARIO .......................................................................................................................... 48 APPENDICE B: GESTIONE DELLE ECCEZIONI .......................................................................................... 48 File ........................................................................
PANORAMICA Dell Threat Defense, con tecnologia Cylance, rileva e blocca i malware prima che possano colpire un dispositivo. Cylance usa un approccio matematico nell'identificazione dei malware, usando tecniche di apprendimento automatico invece di firme reattive, sistemi basati sull'attendibilità o sandbox. Questo approccio rende inutili nuovi malware, virus, bot e future varianti. Threat Defense analizza le potenziali esecuzioni dei file in cerca di malware nel sistema operativo.
CONSOLE Threat Defense Console è un sito Web al quale si accede per visualizzare le informazioni sulle minacce per l'organizzazione. La console rende semplice organizzare i dispositivi in gruppi (zone), configurare quali azioni intraprendere quando vengono individuate minacce in un dispositivo (criterio) e scaricare i file di installazione (agente). Threat Defense Console supporta le seguenti lingue.
Quarantena automatica con Controllo delle esecuzioni Questa funzione consente di mettere in quarantena o bloccare il file non sicuro o anomalo per impedirne l'esecuzione. Mettendo il file in quarantena, questo viene spostato dalla sua posizione originale alla directory della quarantena, ovvero C:\ProgramData\Cylance\Desktop\q. Alcuni malware sono progettati per rilasciare altri file in determinate directory e continuano a farlo fino a quando il file viene rilasciato.
Copia campioni di malware Consente di specificare una condivisione di rete in cui copiare campioni di malware. Questo permette agli utenti di eseguire personalmente l'analisi dei file che Threat Defense considera non sicuri o anomali. • Supporta le condivisioni di rete CIFS/SMB. • Specificare un percorso di condivisione di rete. Esempio: c:\test. • Tutti i file che rispondono ai criteri vengono copiati nella condivisione di rete, compresi i duplicati. Non viene eseguito alcun test di unicità.
5. Fare clic sulla scheda Dispositivi e selezionare un dispositivo. 6. Fare clic su Registri agente. Vengono visualizzati i file di registro. 7. Fare clic su un file di registro. Il nome del file di registro è la data del registro. Procedure consigliate per i criteri Quando i criteri vengono creati per la prima volta, Dell consiglia di implementare le funzionalità dei criteri usando un approccio a fasi per assicurarsi che non vi siano ripercussioni su prestazioni e funzionamento.
Zone Una zona è un modo di organizzare e gestire i dispositivi. Ad esempio, i dispositivi possono essere suddivisi in base alla geografia o alla funzione. Se c'è un gruppo di dispositivi di importanza strategica, questi possono essere raggruppati insieme e alla zona può essere assegnata una priorità elevata. Inoltre, i criteri sono applicati al livello della zona, quindi i dispositivi possono essere raggruppati in una zona in base al criterio applicato a tali dispositivi.
Per rimuovere una zona 1. Accedere alla console (http://dellthreatdefense.com) come amministratore. Solo gli amministratori possono rimuovere le zone. 2. Fare clic su Zone. 3. Selezionare le caselle di controllo delle zone da rimuovere. 4. Fare clic su Rimuovi 5. Fare clic su Sì quando viene visualizzato il messaggio che chiede di confermare la rimozione della zona selezionata. Proprietà delle zone Le proprietà delle zone possono essere modificate secondo le necessità.
Per aggiungere una regola di zona 1. Accedere alla console (http://dellthreatdefense.com) come amministratore o manager di zona. 2. Fare clic su Zone e selezionare una zona dal relativo elenco. 3. Fare clic su Crea regola in Regola di zona. 4. Specificare i criteri per la zona selezionata. Fare clic sul segno più per aggiungere ulteriori condizioni. Fare clic sul segno meno per rimuovere una condizione. 5. Fare clic su Salva.
• • Seguenti condizioni soddisfatte: o Tutte: tutte le condizioni nella regola di zona devono corrispondere per aggiungere il dispositivo. o Una qualsiasi: almeno una condizione nella regola di zona deve corrispondere per aggiungere il dispositivo. Applicazione criterio di zona: o Non applicare: non applicare il criterio di zona quando i dispositivi vengono aggiunti alla zona. o Applica: applica il criterio di zona quando i dispositivi vengono aggiunti alla zona.
Organizzazione delle zone per la gestione degli aggiornamenti Un uso comune delle zone è per contribuire alla gestione degli aggiornamenti dell'agente. Threat Defense supporta la versione più recente dell'agente e quella precedente. Questo consente all'azienda di supportare le finestre di blocco delle modifiche e di eseguire test approfonditi sulle nuove versioni dell'agente.
Dell consiglia di applicare un criterio per impostazione predefinita a tutti i dispositivi in questa zona criteri in ciascuna di queste zone. Prestare attenzione a non mettere un dispositivo in più zone criteri poiché questo può generare un conflitto su quale criterio viene applicato. Ricordare anche che il motore della regola di zona può contribuire ad organizzare automaticamente questi host basati su IP, nome host, sistema operativo e dominio.
Per modificare i ruoli utente 1. Accedere alla console (http://dellthreatdefense.com) come amministratore. Solo gli amministratori possono creare gli utenti. 2. Selezionare Impostazioni > Gestione utenti. 3. Fare clic su un utente. Viene visualizzata la pagina Dettagli utente. 4. Selezionare un ruolo e fare clic su Salva. Per rimuovere utenti 1. Accedere alla console (http://dellthreatdefense.com) come amministratore. Solo gli amministratori possono creare gli utenti. 2.
2. Nell'editor del Registro di sistema, accedere a HKEY_LOCAL_MACHINE\SOFTWARE\Cylance\Desktop. 3. Creare un nuovo valore stringa (REG_SZ): o Nome valore = ProxyServer o Dati valore = impostazioni proxy (ad esempio http://123.45.67.89:8080) L'agente tenta di usare le credenziali dell'utente attualmente connesso per comunicare tramite Internet in ambienti autenticati.
5. Fare clic su Aggiungi nuovo dispositivo per visualizzare una finestra di dialogo con un token di installazione e collegamenti per scaricare il programma di installazione dell'agente. 6. Nella colonna Zone, fare clic su un nome di zona per visualizzare la pagina Dettagli zone. Minacce e attività Visualizza informazioni sulle minacce e altre attività relative al dispositivo selezionato. minacce messe in quarantena nell'arco delle ultime 24 ore e il totale.
1. Nella console: Dispositivi > [fare clic su un dispositivo], selezionare Dettagliato dal menu a discesa Livello di registrazione agente e fare clic su Salva. Dopo che i file di registro dettagliati sono stati caricati, Dell consiglia di modificare nuovamente il livello di registrazione agente in Informazioni. 2. Nel dispositivo, chiudere l'interfaccia utente di Threat Defense (fare clic con il pulsante destro del mouse sull'icona di Threat Defense nella barra delle applicazioni, quindi scegliere Esci).
Aggiornamento dell'agente La manutenzione e la gestione dei Threat Defense Agent sono semplicissime. Gli agenti scaricano automaticamente gli aggiornamenti dalla console e la manutenzione della console viene effettuata da Cylance. L'agente esegue un riscontro con la console ogni 1-2 minuti. La console riporta lo stato attuale dell'agente (Online oppure Offline, Non sicuro o Protetto), le informazioni sulla versione, il sistema operativo e lo stato delle minacce.
OPPURE • Gli aggiornamenti possono essere avviati dalla riga di comando. Eseguire il comando seguente dalla directory di Cylance: Dell.ThreatDefense.exe – update Dashboard Una volta eseguito l'accesso alla Threat Defense Console viene visualizzata la pagina Dashboard. La Dashboard fornisce una panoramica delle minacce nell'ambiente e fornisce accesso a informazioni sulla console diverse da una pagina.
Questa classificazione aiuta gli amministratori a stabilire di quali minacce e dispositivi devono occuparsi prima. Fare clic sulla minaccia o sul numero dispositivo per visualizzare informazioni dettagliate su minacce e dispositivi. Eventi di minaccia Visualizza un grafico a linee con il numero di minacce individuate nell'arco degli ultimi 30 giorni. Le linee sono contrassegnate da colori diversi per i file non sicuri, anomali, messi in quarantena, ignorati e cancellati.
Visualizzazione delle informazioni sulle minacce La scheda Protezione nella console visualizza informazioni dettagliate sulle minacce, i dispositivi in cui sono state individuate e le azioni intraprese in detti dispositivi per quelle minacce. Nota: l'elenco delle minacce nella scheda Protezione presenta colonne configurabili. Fare clic sulla freccia GIÙ in una delle colonne per accedere al menu, quindi Mostra/Nascondi vari dettagli delle minacce. Il menu comprende un sottomenu per applicare filtri.
• Ignorato: il file è stato ignorato o inserito tra gli elementi consentiti dall'amministratore. • Anomalo: il file è classificato come Anomalo, ma non è stata eseguita alcuna azione. c. Rapporti probatori • Indicatori di minaccia: osservazioni su un file che il motore di Cylance Infinity ha analizzato. Questi indicatori aiutano a comprendere le motivazioni che sottendono la classificazione di un file e forniscono indicazioni approfondite sugli attributi e il comportamento di un file.
Nota: occasionalmente, le sezioni Indicatori di minacce e Dati dettagliati sulla minaccia non presentano risultati o non sono disponibili. Questo accade quando il file non è stato caricato. La registrazione debug può fornire informazioni approfondite sul motivo per cui il file non è stato caricato. Affrontare le minacce Il tipo di azione da intraprendere per alcune minacce può dipendere dall'utente assegnato di un dispositivo.
Affrontare globalmente le minacce I file aggiunti all'Elenco Quarantena globale o all'Elenco file sicuri globale sono messi in quarantena o consentiti su tutti i dispositivi in tutte le zone. 1. Accedere alla console (http://dellthreatdefense.com) come amministratore. 2. Fare clic su Impostazioni > Elenco globale. 3. Fare clic su Quarantena globale o File sicuri. 4. Fare clic su Aggiungi file. 5. Aggiungere l'SHA256 (obbligatorio) del file, l'MD5, il nome e il motivo per cui si sposta nell'Elenco globale.
• Quando: la data e l'ora in cui è stato eseguito lo script. • Nome utente: il nome dell'utente connesso quando è stato eseguito lo script. • Azione: l'azione intrapresa per lo script (Avviso o Blocca). Elenco globale L'Elenco globale permette a un file di essere contrassegnato per la quarantena o di consentire tali file su tutti i dispositivi nell'organizzazione.
Nota: questa funzionalità attualmente funziona esclusivamente con i sistemi operativi Windows. • Questa funzionalità consente ai clienti di definire un Elenco file sicuri/elementi consentiti per certificato firmato, rappresentato dall'identificazione SHA1 del certificato. • Le informazioni del certificato sono estratte dalla console (Data e ora, Soggetto, Autorità emittente e Identificazione personale). Il certificato non viene caricato o salvato nella console.
Profilo Il menu del profilo (angolo superiore destro) consente la gestione del proprio account, dei registri di controllo della console e l'accesso alla guida del prodotto. Account Modificare la password e le impostazioni di notifica tramite posta elettronica nella pagina Account. 1. Accedere alla console (http://dellthreatdefense.com). 2. Fare clic sul menu del profilo nell'angolo superiore destro e selezionare Account. 3. Per modificare la password: a. Fare clic su Modifica password. b.
APPLICAZIONE Threat Defense Agent I dispositivi vengono aggiunti all'organizzazione installando Threat Defense Agent in ciascun endpoint. Una volta connessi alla console, applicare il criterio (per gestire le minacce identificate) e organizzare i dispositivi in base alle necessità dell'organizzazione. Threat Defense Agent è progettato per usare una quantità minima delle risorse di sistema. L'agente tratta come una priorità i file o i processi che vengono eseguiti poiché questi eventi possono essere dannosi.
3. Copiare il token di installazione. Il token di installazione è una stringa di caratteri generata in maniera casuale che abilita l'agente a creare rapporti per l'account assegnatogli nella console. Il token di installazione è necessario durante l'installazione, nella procedura di installazione guidata oppure come impostazione dei parametri di installazione. 4. Scaricare il programma di installazione. a. Selezionare il sistema operativo. b. Selezionare il tipo di file da scaricare.
Proprietà Valore APPFOLDER Descrizione Specifica la directory di installazione dell'agente Il percorso predefinito è C:\Program Files\Cylance\Desktop Richiede la versione 1382 o successiva dell'agente •Aggiunge dispositivi a una zona. "Zone_Name" VenueZone •Se la zona non esiste, viene creata mediante il nome fornito. •Sostituire zone_name con il nome di una zona esistente o che si desidera creare.
5. Aggiungere Comandi di script per verificare che i sistemi di destinazione siano WES7 o WES7p. • In Comando di script selezionare Conferma sistema operativo (CO). • Per il valore SO del dispositivo, immettere il sistema operativo appropriato. 6. Per aggiungere elementi usare le doppie frecce. 7. Premere OK quando viene visualizzato il messaggio. 8. Aggiungere il comando per bloccare il thin client e impedire l'interazione dell'utente. • Selezionare Comando script > Lockout User (LU).
21. Accertarsi che l'opzione Attivo sia selezionata, quindi fare clic su Avanti. 22. Fare clic su Avanti dopo aver predisposto WDM per registrare il pacchetto. 23. Fare clic su Fine quando il pacchetto sarà stato registrato. 24. Il pacchetto sarà visibile in Altri pacchetti. 25. Verificare il contenuto del pacchetto: • Aprire Esplora risorse, accedere a C:\inetpub\ftproot\Rapport e individuare la cartella TDx86.
Utilizzo della riga di comando 1. Aprire il prompt dei comandi come amministratore. 2. Utilizzare i seguenti comandi in base al pacchetto di installazione utilizzato per installare l'agente. a. DellThreatDefense_x64.msi i. Disinstallazione standard: msiexec /uninstall DellThreatDefense_x64.msi ii. Windows Installer: msiexec /x DellThreatDefense_x64.msi b. DellThreatDefense_x86.msi i. Disinstallazione standard: msiexec /uninstall DellThreatDefense_x86.msi ii.
Per scaricare il file di installazione 1. Accedere alla console (http://dellthreatdefense.com). 2. Selezionare Impostazioni > Applicazione. 3. Copiare il token di installazione. Il token di installazione è una stringa di caratteri generata in maniera casuale che abilita l'agente a creare rapporti per l'account assegnatogli nella console. Il token di installazione è necessario durante l'installazione, nella procedura di installazione guidata oppure come impostazione dei parametri di installazione. 4.
Proprietà Valore Descrizione InstallToken Token di installazione disponibile nella console NoCylanceUI L'icona dell'agente non deve essere visualizzata all'avvio. L'impostazione predefinita è Visibile. 1: solo gli amministratori locali possono effettuare modifiche al registro e ai servizi. 0o1 SelfProtectionLevel 2: solo l'amministratore di sistema può effettuare modifiche al registro e ai servizi (impostazione predefinita). 0: errore – vengono registrati solo i messaggi di errore.
mostra che il file di installazione cyagent_install_token non ha alcuna estensione. Le impostazioni predefinite in macOS hanno le estensioni nascoste. La creazione manuale di questo file con Text Edit o un altro editor di testo può aggiungere automaticamente un'estensione file che dovrà essere rimossa. Parametri di installazione facoltativi Immettere quanto segue nel Terminale per creare un file (cyagent_install_token) che il programma di installazione utilizza per applicare le opzioni immesse.
Verifica dell'installazione Controllare i seguenti file per verificare che l'installazione dell'agente sia stata completata. 1. La cartella del programma è stata creata. • Predefinito di Windows: C:\Program Files\Cylance\Desktop • Predefinito di macOS: /Applications/DellThreatDefense/ 2. L'icona di Threat Defense è visibile nell'area di notifica del dispositivo di destinazione. Questo non si applica se viene usato il parametro LAUNCHAPP=0 (Windows) o NoCylanceUI (macOS). 3.
• Verificare la disponibilità di aggiornamenti ai criteri: l'agente verifica l'esistenza di aggiornamento ai criteri. Questo potrebbe consistere in modifiche ai criteri esistenti o in una diversa policy da applicare all'agente. Nota: Verificare la presenza di aggiornamenti ai criteri è supportato nella versione 1422 (o versione successiva) per Windows e nella versione 1432 (o versione successiva) per MacOS.
Registrazione Selezionare il livello di informazioni di registro da raccogliere dall'agente. L'impostazione predefinita è Informazioni. Dell consiglia di impostare il livello di registro su Tutto (Dettagliato) quando si esegue la risoluzione dei problemi. Quando la risoluzione dei problemi è stata completata, modificare nuovamente il livello su Informazioni (la registrazione di tutte le informazioni può generare file di registro molto grandi).
Integrazioni Threat Defense Console fornisce l'integrazione con alcuni programmi di terzi. Syslog/SIEM Threat Defense può integrarsi con il software Security Information Event Management (SIEM, Gestione delle informazioni e degli eventi di sicurezza) usando la funzionalità Syslog. Gli eventi Syslog sono registrati nello stesso momento in cui gli eventi dell'agente sono registrati nella console. Per gli indirizzi IP più recenti per i messaggi Syslog, contattare il supporto Dell.
Messaggio di esempio di un evento di minaccia Classificazione delle minacce Ogni giorno centinaia di minacce vengono classificate come malware o Programmi potenzialmente indesiderati (PUP, Potentially Unwanted Programs). Se seleziona questa opzione, l'utente acconsente a ricevere una notifica quando si verificano questi eventi.
• Autenticazione avanzata: fornisce l'accesso con autenticazione a più fattori. • Single Sign-On: fornisce l'accesso con single Sign-On (SSO). Nota: selezionare Autenticazione avanzata o Single Sign-On non influenza le impostazioni di Autenticazione personalizzata perché tutte le impostazioni di configurazione sono gestite dal provider di identità (IdP). • Consenti accesso password: selezionare questa opzione per consentire l'accesso diretto alla console usando SSO.
Supporto Parametri di installazione • • • Qual è il metodo di installazione? Fornire i parametri usati. o Esempio – Windows: usare LAUNCHAPP=0 quando si installa dalla riga di comando per nascondere l'icona dell'agente e la cartella del menu Start in fase di esecuzione. o Esempio – macOS: usare SelfProtectionLevel=1 quando si installa dalla riga di comando per disabilitare Protezione automatica nell'agente.
Incompatibilità di Controllo script Problema: Quando Controllo script è abilitato in alcuni dispositivi, può provocare conflitti con altri software in esecuzione in quei dispositivi. I conflitti sono generalmente dovuti all'agente che si inserisce in determinati processi che vengono richiamati da altri software. Soluzione: A seconda del software, questo problema può essere risolto aggiungendo esclusioni di processi specifici al criterio del dispositivo nella console.
APPENDICE A: GLOSSARIO Anomalo Amministratore Un file sospetto con un punteggio più basso (da 1 a 59) con probabilità più basse di essere un malware Gestore tenant per Threat Defense Agente Host dell'endpoint di Threat Defense che comunica con la console Registro di controllo Registro che registra le azioni eseguite da Threat Defense Console Quarantena automatica Impedisce automaticamente l'esecuzione di tutti i file non sicuri e/o anomali Caricamento automatico Carica automaticamente qualsiasi fil
Criterio: inserisce un file nell'Elenco file sicuri su tutti i dispositivi assegnati a un criterio. Utile per consentire un file per un gruppo di dispositivi (ad esempio, consentire a dispositivi IT di eseguire strumenti che potrebbero essere usati a scopi dannosi, come PsExec). Non è possibile mettere in quarantena un file a livello di Criterio. Globale: mette in quarantena o inserisce nell'Elenco file sicuri un file per l'organizzazione. Mette in quarantena un file dannoso noto nell'organizzazione.
UTENTE Rimozione criterio – Globale Rimozione criterio da una zona minacce messe in quarantena nell'arco delle ultime 24 ore e il totale.
6. Nel filtro di scrittura basato su file escludere le seguenti cartelle: a. C:\Program Files\Cylance\Desktop - L'esclusione di questa cartella consente di mantenere gli aggiornamenti dell'agente in seguito al riavvio del sistema. 7. Utilizzare il seguente comando per escludere la cartella Desktop: fbwfmgr /addexclusion C: “\Program Files\Cylance\Desktop\” a. Si presuppone che l'installazione venga eseguita nella directory predefinita.