Dell Threat Defense Administrator Guide

Tipo
Administrator Guide
Dell Threat Defense
Guida all'installazione e dell'amministratore
Con tecnologia Cylance
v17.11.06
© 2017 Dell Inc.
Marchi registrati e marchi commerciali usati nella suite di documenti di Dell Threat Defense: Dell
e il logo Dell sono marchi di Dell Inc.
Microsoft
®
, Windows
®
, Windows Server
®
, Active Directory
®
, Azure
®
ed Excel
®
sono marchi registrati di Microsoft Corporation negli Stati
Uniti e/o in altri paesi. OneLogin
è un marchio di OneLogin, Inc. OKTA
è un marchio di Okta, Inc. PINGONE
è un marchio di Ping
Identity Corporation. Mac OS
®
e OS X
®
sono marchi registrati di Apple, Inc. negli Stati Uniti e/o in altri paesi.
06-11-2017
Le informazioni contenute nel presente documento sono soggette a modifica senza preavviso.
Guida all'installazione e dell'amministratore | 3
Sommario
PANORAMICA .................................................................................................................................................. 6
Funzionamento ................................................................................................................................................ 6
Informazioni su questa guida............................................................................................................................ 6
CONSOLE .......................................................................................................................................................... 7
Accesso ........................................................................................................................................................... 7
Criterio del dispositivo ..................................................................................................................................... 7
Azioni file .................................................................................................................................................... 7
Impostazioni protezione ............................................................................................................................... 8
Registri agente ............................................................................................................................................. 9
Procedure consigliate per i criteri ............................................................................................................... 10
Zone .............................................................................................................................................................. 11
Proprietà delle zone .................................................................................................................................... 12
Regola di zona ........................................................................................................................................... 12
Elenco dei dispositivi della zona ................................................................................................................ 14
Procedure consigliate per la gestione delle zone ......................................................................................... 14
Gestione utenti ............................................................................................................................................... 16
Informazioni relative alla rete ........................................................................................................................ 17
Firewall ..................................................................................................................................................... 17
Proxy ......................................................................................................................................................... 17
Dispositivi ..................................................................................................................................................... 18
Gestione dei dispositivi .............................................................................................................................. 18
Minacce e attività ....................................................................................................................................... 19
Dispositivi duplicati ................................................................................................................................... 20
Aggiornamento dell'agente ............................................................................................................................. 21
Dashboard ..................................................................................................................................................... 22
Protezione Minacce ..................................................................................................................................... 23
Tipi di file .................................................................................................................................................. 23
Punteggio Cylance ..................................................................................................................................... 23
Visualizzazione delle informazioni sulle minacce ....................................................................................... 24
Affrontare le minacce ................................................................................................................................. 26
Affrontare le minacce in un dispositivo specifico ....................................................................................... 26
Affrontare globalmente le minacce ............................................................................................................. 27
Protezione Controllo script .......................................................................................................................... 27
Elenco globale ............................................................................................................................................... 28
4 | Guida all'installazione e dell'amministratore
Aggiungere all'elenco file sicuri per certificato ........................................................................................... 28
Profilo ........................................................................................................................................................... 30
Account ..................................................................................................................................................... 30
Registrazione di controllo .......................................................................................................................... 30
Impostazioni .............................................................................................................................................. 30
APPLICAZIONE .............................................................................................................................................. 31
Threat Defense Agent .................................................................................................................................... 31
Agente di Windows ....................................................................................................................................... 31
Requisiti di sistema .................................................................................................................................... 31
Installare l'agente – Windows ..................................................................................................................... 32
Parametri di installazione di Windows ........................................................................................................ 32
Installare l'agente di Windows usando Wyse Device Manager (WDM) ....................................................... 33
Messa in quarantena tramite la riga di comando ......................................................................................... 35
Disinstallare l'agente .................................................................................................................................. 35
Agente macOS ............................................................................................................................................... 36
Requisiti di sistema .................................................................................................................................... 36
Installare l'agente macOS ........................................................................................................................ 37
Parametri di installazione di macOS ........................................................................................................... 37
Installare l'agente ....................................................................................................................................... 38
Disinstallare l'agente .................................................................................................................................. 39
Servizio agente .............................................................................................................................................. 39
Menu dell'agente ........................................................................................................................................ 40
Abilitare le opzioni avanzate dell'interfaccia utente dell'agente ................................................................... 41
Macchine virtuali ........................................................................................................................................... 42
Disinstallazione protetta da password ............................................................................................................. 42
Per creare una password di disinstallazione ................................................................................................ 42
Integrazioni.................................................................................................................................................... 43
Syslog/SIEM.............................................................................................................................................. 43
Autenticazione personalizzata .................................................................................................................... 44
Rapporto dati minacce................................................................................................................................ 45
RISOLUZIONE DEI PROBLEMI ..................................................................................................................... 45
Supporto ........................................................................................................................................................ 46
Parametri di installazione ........................................................................................................................... 46
Problemi relativi alle prestazioni ................................................................................................................ 46
Problemi di aggiornamento, stato e connettivi .......................................................................................... 46
Abilitazione della registrazione debug ........................................................................................................ 46
Guida all'installazione e dell'amministratore | 5
Incompatibilità di Controllo script .................................................................................................................. 47
APPENDICE A: GLOSSARIO .......................................................................................................................... 48
APPENDICE B: GESTIONE DELLE ECCEZIONI .......................................................................................... 48
File ............................................................................................................................................................ 48
Script ......................................................................................................................................................... 49
Certificati ................................................................................................................................................... 49
APPENDICE C: AUTORIZZAZIONI UTENTE ............................................................................................... 49
APPENDICE D: FILTRO DI SCRITTURA BASATO SU FILE ....................................................................... 50
6 | Guida all'installazione e dell'amministratore
PANORAMICA
Dell Threat Defense, con tecnologia Cylance, rileva e blocca i malware prima che possano colpire un dispositivo.
Cylance usa un approccio matematico nell'identificazione dei malware, usando tecniche di apprendimento
automatico invece di firme reattive, sistemi basati sull'attendibilità o sandbox. Questo approccio rende inutili
nuovi malware, virus, bot e future varianti. Threat Defense analizza le potenziali esecuzioni dei file in cerca
di malware nel sistema operativo.
Questa guida spiega l'utilizzo della Threat Defense Console, l'installazione di Threat Defense Agent e come
configurare entrambi.
Funzionamento
Threat Defense è costituito da un piccolo agente, installato in ciascun host, che comunica con la console basata
su cloud. L'agente rileva e impedisce l'esecuzione dei malware nell'host usando modelli matematici testati,
non richiede una connettività continua al cloud o aggiornamenti continui della firma e lavora sia in reti aperte che
isolate. Man mano che il panorama delle minacce si evolve, anche Threat Defense lo fa. Facendo costantemente
pratica su enormi insiemi di dati reali, Threat Defense rimane sempre un passo avanti agli utenti non autorizzati.
Minaccia: quando una minaccia viene scaricata nel dispositivo o c'è un tentativo di exploit.
Rilevamento delle minacce: il modo in cui Threat Defense Agent identifica le minacce.
o Analisi dei processi: analizza i processi in esecuzione nel dispositivo.
o Controllo delle esecuzioni: analizza i processi solo quando vengono eseguiti. Include tutti i file
che vengono eseguiti all'avvio, che sono impostati sull'esecuzione automatica e che vengono
eseguiti manualmente dall'utente.
Analisi: il modo in cui i file vengono identificati come dannosi o sicuri.
o Ricerca di punteggi di minacce nel cloud: il modello matematico nel cloud usato per assegnare
un punteggio alle minacce.
o Locale: il modello matematico integrato nell'agente. Consente l'analisi quando il dispositivo non
è connesso a Internet.
Azione: ciò che fa l'agente quando un file viene identificato come una minaccia.
o Globale: controlla le impostazioni dei criteri, tra cui Quarantena globale ed Elenco file sicuri.
o Locale: verifica la presenza di file inseriti manualmente nei gruppi In quarantena e Ignorato.
Informazioni su questa guida
Dell consiglia agli utenti di familiarizzare con la console basata su cloud prima di installare l'agente negli
endpoint. Comprendere in che modo vengono gestiti gli endpoint rende più semplice proteggerli e conservarli.
Questo flusso di lavoro è un consiglio. Gli utenti possono avvicinarsi alla distribuzione nel proprio ambiente nel
modo che più è loro congeniale.
Esempio: le zone contribuiscono a raggruppare i dispositivi nell'organizzazione. Per esempio, configurare
una zona con una regola di zona che aggiunge automaticamente nuovi dispositivi a una zona in base a criteri
selezionati (come sistema operativo, nome del dispositivo o nome del dominio).
Nota: le istruzioni per l'installazione dell'agente vengono date dopo le informazioni sui criteri e sulle zone.
Se necessario, gli utenti possono iniziare con l'installazione dell'agente.
Guida all'installazione e dell'amministratore | 7
CONSOLE
Threat Defense Console è un sito Web al quale si accede per visualizzare le informazioni sulle minacce per
l'organizzazione. La console rende semplice organizzare i dispositivi in gruppi (zone), configurare quali azioni
intraprendere quando vengono individuate minacce in un dispositivo (criterio) e scaricare i file di installazione (agente).
Threat Defense Console supporta le seguenti lingue.
Francese Tedesco Italiano Giapponese
Portoghese (Spagna) Coreano Spagnolo Portoghese (Brasile)
Tabella 1: Lingue supportate in Threat Defense Console
Accesso
All'attivazione dell'account si riceve un messaggio di posta elettronica con le informazioni di accesso per Threat
Defense Console. Fare clic sul collegamento nel messaggio di posta elettronica per andare alla pagina di accesso
o andare a:
Nord America: http://dellthreatdefense.com
Europa: http://dellthreatdefense-eu.cylance.com
Criterio del dispositivo
Un criterio definisce il modo in cui l'agente gestisce i malware che incontra. Ad esempio, è possibile mettere
automaticamente in Quarantena un malware o ignorarlo se si trova in una determinata cartella. Ciascun dispositivo
deve essere in un criterio e solo un criterio può essere applicato a un dispositivo. Restringere un dispositivo ad un unico
criterio elimina funzionalità che possono entrare in conflitto (come il blocco di un file che dovrebbe essere consentito
per quel dispositivo). Se non viene assegnato alcun criterio, il dispositivo viene posto nel criterio predefinito.
Per il criterio predefinito è abilitato solo il Controllo delle esecuzioni, che analizza i processi solo quando vengono
eseguiti. Questo fornisce una protezione base per il dispositivo, non interrompe le operazioni in atto nel dispositivo
e fornisce tempo per testare le funzionalità del criterio prima di distribuirlo nell'ambiente di produzione.
Per aggiungere un criterio
1. Accedere alla console (http://dellthreatdefense.com) come amministratore. Solo gli amministratori
possono creare i criteri.
2. Selezionare Impostazioni > Criteri dispositivo.
3. Fare clic su Aggiungi nuovo criterio.
4. Immettere un nome criterio e selezionare le opzioni del criterio.
5. Fare clic su Crea.
Azioni file
IMPOSTAZIONI > Criterio dispositivo > [selezionare un criterio] > Azioni file
Azioni file fornisce diverse opzioni per gestire i file rilevati da Threat Defense come non sicuri o anomali.
Suggerimento: per ulteriori informazioni sulla classificazione di file non sicuri o anomali, fare riferimento
alla sezione Protezione - Minacce
.
8 | Guida all'installazione e dell'amministratore
Quarantena automatica con Controllo delle esecuzioni
Questa funzione consente di mettere in quarantena o bloccare il file non sicuro o anomalo per impedirne
l'esecuzione. Mettendo il file in quarantena, questo viene spostato dalla sua posizione originale alla directory
della quarantena, ovvero C:\ProgramData\Cylance\Desktop\q.
Alcuni malware sono progettati per rilasciare altri file in determinate directory e continuano a farlo fino a quando
il file viene rilasciato. Threat Defense modifica il file rilasciato in modo che non venga eseguito per far sì che
questo tipo di malware non rilasci pin continuazione il file rimosso.
Suggerimento: Dell consiglia di testare la quarantena automatica su un numero ridotto di dispositivi prima
di applicarla nell'ambiente di produzione. È necessario osservare i risultati dei test per garantire che non venga
bloccata l'esecuzione di applicazioni fondamentali per l'attività.
Caricamento automatico
Dell consiglia agli utenti di abilitare il caricamento automatico per i file non sicuri e anomali. Threat Defense
carica automaticamente qualsiasi file non sicuro o anomalo in Cylance Infinity Cloud per eseguire un'analisi p
approfondita del file e fornire ulteriori dettagli.
Threat Defense carica e analizza solo file eseguibili di tipo Portable Executable (PE) sconosciuti. Se lo stesso
file sconosciuto viene individuato in più dispositivi nell'organizzazione, Threat Defense carica solo un file per
l'analisi, non un file per ciascun dispositivo.
Criterio Elenco file sicuri
Aggiungere file che sono considerati sicuri, al livello del criterio. L'agente non applicherà nessuna azione per le
minacce ai file in questo elenco.
Per ulteriori informazioni su come gestire le eccezioni file (in quarantena o sicuri) ai vari livelli (Locale, Criterio
o Globale), vedere l'Appendice B: Gestione delle eccezioni
.
1. Accedere alla console (http://dellthreatdefense.com) come amministratore. Solo gli amministratori
possono creare i criteri.
2. Selezionare Impostazioni > Criteri dispositivo.
3. Aggiungere un nuovo criterio o modificare un criterio esistente.
4. Fare clic su Aggiungi file in Criterio Elenco file sicuri.
5. Immettere le informazioni SHA256. Facoltativamente è possibile includere MD5 e il nome del file se è noto.
6. Selezionare una categoria per identificare meglio l'utilizzo di questo file.
7. Immettere un motivo per aggiungere il file al Criterio Elenco file sicuri.
8. Fare clic su Invia.
Impostazioni protezione
IMPOSTAZIONI > Criterio dispositivo > [selezionare un criterio] >
Impostazioni protezione
Controllo delle esecuzioni
Threat Defense monitora sempre l'esecuzione di processi dannosi e avvisa quando si verificano tentativi di
esecuzione da parte di file non sicuri o anomali.
Impedisci arresto del servizio dal dispositivo
Se selezionato, il servizio Threat Defense è protetto dall'arresto manuale o da parte di un altro processo.
Guida all'installazione e dell'amministratore | 9
Copia campioni di malware
Consente di specificare una condivisione di rete in cui copiare campioni di malware. Questo permette agli utenti
di eseguire personalmente l'analisi dei file che Threat Defense considera non sicuri o anomali.
Supporta le condivisioni di rete CIFS/SMB.
Specificare un percorso di condivisione di rete. Esempio: c:\test.
Tutti i file che rispondono ai criteri vengono copiati nella condivisione di rete, compresi i duplicati.
Non viene eseguito alcun test di unicità.
I file non vengono compressi.
I file non sono protetti da password.
AVVERTENZA: I FILE NON SONO PROTETTI DA PASSWORD. PRESTARE
ATTENZIONE IN MODO CHE NON VENGA ESEGUITO ALCUN FILE DANNOSO.
Controllo script
Controllo script protegge i dispositivi bloccando l'esecuzione di script attivi e script PowerShell dannosi.
1. Accedere alla console (http://dellthreatdefense.com
).
2. Selezionare Impostazioni > Criteri dispositivo.
3. Selezionare un criterio e fare clic su Impostazioni protezione.
4. Selezionare la casella di controllo per abilitare Controllo script.
a. Avviso: monitora gli script in esecuzione nell'ambiente. Consigliato per la distribuzione iniziale.
b. Blocca: consente l'esecuzione degli script solo da cartelle specifiche. Usare dopo averlo testato
in modalità Avviso.
c. Approva script in cartelle (e sottocartelle): le esclusioni delle cartelle di script devono
specificare il relativo percorso della cartella.
d. Blocca utilizzo console PowerShell: impedisce l'avvio della console PowerShell. Questa opzione
offre ulteriore protezione contro l'utilizzo di one-liner PowerShell.
Nota: se lo script avvia la console PowerShell e Controllo script è impostato in modo da bloccare
la console PowerShell, lo script avrà esito negativo. Si consiglia agli utenti di modificare gli
script per richiamare gli script PowerShell e non la console PowerShell.
5. Fare clic su Salva.
Registri agente
IMPOSTAZIONI > Criterio dispositivo > [selezionare un criterio] >
Registri agente
Abilitare Registri agente nella console per caricare i file di registro e consentire la visualizzazione nella console.
1. Accedere alla console (http://dellthreatdefense.com).
2. Selezionare Impostazioni > Criteri dispositivo.
3. Selezionare un criterio e fare clic su Registri agente. Assicurarsi che il dispositivo selezionato per i file
di registro sia assegnato a questo criterio.
4. Selezionare Abilita caricamento automatico dei file di registro e fare clic su Salva.
10 | Guida all'installazione e dell'amministratore
5. Fare clic sulla scheda Dispositivi e selezionare un dispositivo.
6. Fare clic su Registri agente. Vengono visualizzati i file di registro.
7. Fare clic su un file di registro. Il nome del file di registro è la data del registro.
Procedure consigliate per i criteri
Quando i criteri vengono creati per la prima volta, Dell consiglia di implementare le funzionalità dei criteri usando
un approccio a fasi per assicurarsi che non vi siano ripercussioni su prestazioni e funzionamento. Creare nuovi
criteri con p funzionali abilitate man mano che si comprende meglio il funzionamento di Threat Defense
nell'ambiente.
1. In fase di creazione di criteri iniziali, abilitare solo Caricamento automatico.
a. L'agente usa Controllo delle esecuzioni e Monitoraggio dei processi per analizzare
esclusivamente i processi in esecuzione.
Include tutti i file che vengono eseguiti all'avvio, che sono impostati sull'esecuzione automatica
e che vengono eseguiti manualmente dall'utente.
L'agente invia solamente gli avvisi alla console. Nessun file viene bloccato o messo in quarantena.
b. Controllare la console per eventuali avvisi di minaccia.
L'obiettivo è trovare applicazioni o processi che devono essere eseguiti nell'endpoint e che sono
considerati una minaccia (anomali o non sicuri).
Configurare un criterio o un'impostazione della console per consentirne l'esecuzione se si verifica
questa condizione (ad esempio, escludere le cartelle in un criterio, a policy, ignorare i file per tale
dispositivo o aggiungere i file all'Elenco file sicuri).
c. Usare questo criterio iniziale per un giorno per consentire l'esecuzione e l'analisi delle
applicazioni e dei processi che vengono normalmente usati nel dispositivo.
IMPORTANTE: possono esserci applicazioni e processi che vengono eseguiti
periodicamente in un dispositivo (ad esempio, una volta al mese) che possono essere
considerati una minaccia. L'utente deve decidere se desidera eseguirli nel corso del criterio
iniziale o ricordare di monitorare il dispositivo quando vengono eseguiti come pianificato.
2. In Impostazioni protezione, abilitare Termina processi principali e processi secondari non sicuri in
esecuzione al termine di Controllo delle esecuzioni e Monitoraggio dei processi.
Termina processi non sicuri e loro sottoprocessi in esecuzione termina i processi (e i sottoprocessi),
indipendentemente dallo stato, quando viene rilevata una minaccia (EXE o MSI).
3. In Azioni file attivare Quarantena automatica.
Quarantena automatica sposta eventuali file dannosi nella cartella Quarantena.
4. In Impostazioni protezione attivare Controllo script.
In questo modo gli utenti sono protetti dagli script dannosi che vengono eseguiti nel dispositivo.
Gli utenti possono approvare gli script da eseguire per cartelle specifiche.
Le esclusioni delle cartelle di Controllo script devono specificare un percorso relativo della cartella
(ad esempio, \Cases\ScriptsAllowed).
Guida all'installazione e dell'amministratore | 11
Zone
Una zona è un modo di organizzare e gestire i dispositivi. Ad esempio, i dispositivi possono essere suddivisi
in base alla geografia o alla funzione. Se c'è un gruppo di dispositivi di importanza strategica, questi possono
essere raggruppati insieme e alla zona può essere assegnata una priorità elevata. Inoltre, i criteri sono applicati
al livello della zona, quindi i dispositivi possono essere raggruppati in una zona in base al criterio applicato
a tali dispositivi.
Un'organizzazione ha una zona predefinita (Fuorizona) alla quale possono accedere solo gli amministratori.
I nuovi dispositivi vengono assegnati alla Fuorizona, a meno che vi siano regole di zona che assegnano
automaticamente i dispositivi alle zone.
È possibile assegnare manager e utenti di zona a una zona, consentendo loro di visualizzare in che modo tale zona
è configurata. Questo consente anche ai manager e agli utenti di zona di accedere ai dispositivi per i quali sono
responsabili. Deve essere creata almeno una zona per consentire a chiunque abbia un ruolo di manager o utente
di zona di visualizzarlo.
Un dispositivo può appartenere a più zone, ma solo un criterio può essere applicato a un dispositivo. Consentire più
zone fornisce una certa flessibilità nel modo in cui i dispositivi vengono raggruppati. Restringere un dispositivo
a un unico criterio elimina funzionalità che possono entrare in conflitto (come il blocco di un file che dovrebbe
essere consentito per quel dispositivo).
La presenza di dispositivi in più zone può verificarsi per i motivi seguenti:
Il dispositivo viene aggiunto manualmente in più zone
Il dispositivo è conforme alle regole di più di una zona
Il dispositivo è g presente in una zona e in seguito è conforme alle regole di un'altra zona
Per i metodi di utilizzo delle zone consigliati, vedere Procedure consigliate per la gestione delle zone
.
Per aggiungere una zona
1. Accedere alla console (http://dellthreatdefense.com) come amministratore. Solo gli amministratori
possono creare le zone.
2. Fare clic su Zone.
3. Fare clic su Aggiungi nuova zona.
4. Immettere un Nome zona, selezionare un Criterio e selezionare un Valore. Una zona deve avere
un criterio associato. Il valore è la priorità per la zona.
5. Fare clic su Salva.
Per aggiungere dispositivi a una zona
1. Accedere alla console (http://dellthreatdefense.com) con un account amministratore o manager di zona.
2. Fare clic su Zone.
3. Fare clic su una zona dal relativo elenco. I dispositivi attualmente presenti nella zona vengono visualizzati
nell'Elenco dei dispositivi della zona nella parte inferiore della pagina.
4. Fare clic su Aggiungi dispositivi alla zona. Viene visualizzato un elenco di dispositivi.
5. Selezionare ciascun dispositivo da aggiungere alla zona e fare clic su Salva. Facoltativamente,
selezionare Applica criteri di zona ai dispositivi selezionati. Aggiungere un dispositivo a una zona non
comporta automaticamente l'applicazione del criterio della zona perché la zona potrebbe essere usata per
organizzare i dispositivi, non per gestire il criterio per quei dispositivi.
12 | Guida all'installazione e dell'amministratore
Per rimuovere una zona
1. Accedere alla console (http://dellthreatdefense.com) come amministratore. Solo gli amministratori
possono rimuovere le zone.
2. Fare clic su Zone.
3. Selezionare le caselle di controllo delle zone da rimuovere.
4. Fare clic su Rimuovi
5. Fare clic su quando viene visualizzato il messaggio che chiede di confermare la rimozione della zona
selezionata.
Proprietà delle zone
Le proprietà delle zone possono essere modificate secondo le necessità.
Informazioni sulla priorità delle zone
Alle zone possono essere assegnati diversi livelli di priorità (Bassa, Normale o Alta) che classificano la rilevanza
o l'importanza dei dispositivi in tali zone. In diverse aree della dashboard, i dispositivi vengono visualizzati in
base alla priorità per aiutare a identificare a quali dispositivi è necessario prestare immediatamente attenzione.
La priorità può essere impostata quando viene creata la zona o può essere modificata la zona per cambiare
il valore della priorità.
Per modificare le proprietà delle zone
1. Accedere alla console (http://dellthreatdefense.com
) come amministratore o manager di zona.
2. Fare clic su Zone.
3. Fare clic su una zona dal relativo elenco.
4. Immettere un nuovo nome nel campo Nome per modificare il nome della zona.
5. Selezionare un criterio diverso dal menu a discesa Criterio per modificare il criterio.
6. Selezionare un valore di priorità Bassa, Normale o Alta.
7. Fare clic su Salva.
Regola di zona
I dispositivi possono essere assegnati automaticamente a una zona in base a determinati criteri. Questo processo
automatico è vantaggioso quando si aggiungono molti dispositivi alle zone. Quando vengono aggiunti nuovi
dispositivi che corrispondono a una regola di zona, tali dispositivi vengono automaticamente assegnati a quella
zona. Se è selezionata l'opzione Applica ora a tutti i dispositivi esistenti, tutti i dispositivi preesistenti che
corrispondono alla regola vengono aggiunti a questa zona.
Nota: le regole di zona aggiungono automaticamente i dispositivi a una zona, ma non possono rimuoverli.
Modificare l'indirizzo IP o il nome host del dispositivo non ne causa la rimozione da una zona. I dispositivi
possono essere rimossi manualmente da una zona.
Esiste un'opzione per applicare il criterio di zona ai dispositivi che vengono aggiunti alla zona in quanto
corrispondenti alla regola di zona. Ciò comporta la sostituzione del criterio esistente del dispositivo con il criterio
di zona specificato. Occorre prestare attenzione quando si applica automaticamente un criterio in base alla regola
di zona. Se non viene gestito correttamente, è possibile che un dispositivo venga assegnato al criterio sbagliato per
la sua corrispondenza a una regola di zona.
Visualizzare la pagina Dettagli dispositivo nella console per visualizzare quale criterio è applicato a un dispositivo.
Guida all'installazione e dell'amministratore | 13
Per aggiungere una regola di zona
1. Accedere alla console (http://dellthreatdefense.com
) come amministratore o manager di zona.
2. Fare clic su Zone e selezionare una zona dal relativo elenco.
3. Fare clic su Crea regola in Regola di zona.
4. Specificare i criteri per la zona selezionata. Fare clic sul segno più per aggiungere ulteriori condizioni.
Fare clic sul segno meno per rimuovere una condizione.
5. Fare clic su Salva.
Criteri delle regole di zona
Quando viene aggiunto un nuovo dispositivo all'organizzazione: qualsiasi nuovo dispositivo aggiunto
all'organizzazione che corrisponde alla regola di zona viene aggiunto alla zona.
Quando viene modificato un attributo di un dispositivo: quando gli attributi di un dispositivo esistente
vengono modificati e corrispondono coalla regola di zona, quel dispositivo esistente viene aggiunto alla
zona.
Indirizzo IPv4 nell'intervallo: immettere un intervallo di indirizzo IPv4.
Nome del dispositivo:
o Inizia con: i nomi dei dispositivi devono iniziare con questo.
o Contiene: i nomi dei dispositivi devono contenere questa stringa, ma può essere ovunque
all'interno del nome.
o Termina con: i nomi dei dispositivi devono terminare con questo.
Sistema operativo:
o È: il sistema operativo deve essere il sistema selezionato.
o Non è: il sistema operativo non deve essere il sistema selezionato. Ad esempio, se l'unica regola
di zona stabilisce che il sistema operativo non deve essere Windows 8, allora tutti i sistemi
operativi, compresi dispositivi non Windows, vengono aggiunti alla zona.
Nome dominio:
o Inizia con: il nome dominio deve iniziare con questo.
o Contiene: il nome dominio deve contenere questa stringa, ma può essere ovunque all'interno del
nome.
o Termina con: il nome dominio deve terminare con questo.
Nome distinto:
o Inizia con: il nome distinto deve iniziare con questo.
o Contiene: il nome distinto deve contenere questa stringa, ma può essere ovunque all'interno del
nome.
o Termina con: il nome distinto deve terminare con questo.
Membro di (LDAP):
o È: il membro di (gruppo) deve corrispondere a questo.
o Contiene: il membro di (gruppo) deve contenere questo.
14 | Guida all'installazione e dell'amministratore
Seguenti condizioni soddisfatte:
o Tutte: tutte le condizioni nella regola di zona devono corrispondere per aggiungere il dispositivo.
o Una qualsiasi: almeno una condizione nella regola di zona deve corrispondere per aggiungere
il dispositivo.
Applicazione criterio di zona:
o Non applicare: non applicare il criterio di zona quando i dispositivi vengono aggiunti alla zona.
o Applica: applica il criterio di zona quando i dispositivi vengono aggiunti alla zona.
Avvertenza: applicare automaticamente un criterio di zona può incidere negativamente su alcuni
dei dispositivi nella rete. Applicare automaticamente il criterio di zona solo se si è certi che la
regola individuerà solo i dispositivi che devono avere questo particolare criterio di zona.
Applica ora a tutti i dispositivi esistenti: applica la regola di zona a tutti i dispositivi nell'organizzazione.
Non comporta l'applicazione del criterio di zona.
Informazioni sui Nomi distinti (DN)
Alcune cose da sapere sui Nomi distinti (DN, Distinguished Names) quando vengono usati nelle regole di zona.
I caratteri jolly non sono consentiti, tuttavia la condizione "Contiene" ottiene gli stessi risultati.
Gli errori e le eccezioni dei DN relative all'agente vengono raccolti nei file di registro.
Se l'agente trova informazioni sui DN nel dispositivo, tali informazioni vengono automaticamente inviate
alla console.
Quando si aggiungono informazioni sui DN, devono essere formattate in modo appropriato, come indicato
di seguito.
o Esempio: CN=JDoe,OU=Sales,DC=dell,DC=COM
o Esempio: OU=Demo,OU=SEngineering,OU=Sales
Elenco dei dispositivi della zona
L'Elenco dei dispositivi della zona visualizza tutti i dispositivi assegnati a questa zona. I dispositivi possono
appartenere a più zone. Utilizzare Esporta per scaricare un file CSV con le informazioni per tutti i dispositivi
nell'Elenco dei dispositivi della zona.
Nota: se non ci sono le autorizzazioni per visualizzare una zona e viene comunque fatto clic sul collegamento
della zona nella colonna delle zone, viene visualizzata una pagina di Risorsa non trovata.
Procedure consigliate per la gestione delle zone
Si può pensare alle zone come a dei tag, in cui ciascun dispositivo può appartenere a più zone (o avere più tag).
Mentre non ci sono restrizioni sul numero di zone che possono essere create, le procedure consigliate identificano
tre diverse appartenenze a zone tra esecuzione di test, criterio e granularità del ruolo utente all'interno
dell'organizzazione.
Queste tre zone sono costituite da:
Gestione degli aggiornamenti
Gestione dei criteri
Gestione dell'accesso basato sui ruoli
Guida all'installazione e dell'amministratore | 15
Organizzazione delle zone per la gestione degli aggiornamenti
Un uso comune delle zone è per contribuire alla gestione degli aggiornamenti dell'agente. Threat Defense
supporta la versione più recente dell'agente e quella precedente. Questo consente all'azienda di supportare
le finestre di blocco delle modifiche e di eseguire test approfonditi sulle nuove versioni dell'agente.
Esistono tre tipi di zona consigliati usati per dirigere e specificare l'esecuzione del test sull'agente e le fasi
di produzione:
Aggiornamento della zona - Gruppo di prova: queste zone devono avere dispositivi di test che
rappresentano i dispositivi (e i software usati in quei dispositivi) in modo appropriato nell'organizzazione.
Questo consente l'esecuzione di test dell'agente più recente e assicura che la distribuzione di tale agente
ai dispositivi di produzione non interferisca con le procedure aziendali.
Aggiornamento della zona - Gruppo pilota: questa zona può essere usata come zona di test secondaria
o zona di produzione secondaria. Come zona di test secondaria consentirebbe l'esecuzione di test per
nuovi agenti su un gruppo di dispositivi più grande prima dell'implementazione nella produzione. Come
zona di produzione secondaria consentirebbe due versioni differenti dell'agente, ma poi si dovrebbero
gestire due diverse zone di produzione.
Aggiornamento della zona - Produzione: la maggior parte dei dispositivi deve trovarsi in zone
assegnate alla produzione.
Nota: per aggiornare l'agente alla zona di produzione, vedere Aggiornamento dell'agente.
Aggiungere una zona di test o pilota
1. Accedere alla console (http://dellthreatdefense.com
) con un account amministratore o manager di zona.
2. Selezionare Impostazioni > Aggiornamento agente.
3. Per zone di test o pilota:
a. Fare clic su Seleziona zone di test o Seleziona zone pilota.
b. Fare clic su una zona.
Se la zona di produzione è impostata su Aggiorna automaticamente, le zone di test e pilota non
sono disponibili. Modificare Aggiorna automaticamente nella zona di produzione in qualcosa
di diverso per abilitare le zone di test e pilota.
4. Fare clic su Selezionare la versione.
5. Selezionare una versione dell'agente da applicare alla zona di test o pilota.
6. Fare clic su Applica.
Organizzazione delle zone per la gestione dei criteri
Un altro insieme di zone da creare contribuisce ad applicare criteri diversi a tipi di endpoint diversi. Prendere
in considerazione i seguenti esempi:
Zona criteri Workstation
Zona criteri Workstation Esclusioni
Zona criteri Server
Zona criteri Server – Esclusioni
Zona criteri Dirigenti Protezione elevata
16 | Guida all'installazione e dell'amministratore
Dell consiglia di applicare un criterio per impostazione predefinita a tutti i dispositivi in questa zona criteri in
ciascuna di queste zone. Prestare attenzione a non mettere un dispositivo in più zone criteri poiché questo può
generare un conflitto su quale criterio viene applicato. Ricordare anche che il motore della regola di zona può
contribuire ad organizzare automaticamente questi host basati su IP, nome host, sistema operativo e dominio.
Organizzazione delle zone per la gestione dell'accesso basato sui ruoli
L'accesso basato sui ruoli è usato per limitare l'accesso di un utente della console a un sottoinsieme di dispositivi
che ha la responsabilità di gestire. Questo può comprendere la separazione per intervallo di IP, nomi host, sistema
operativo o dominio. Prendere in considerazione i raggruppamenti per posizione geografica, tipo o entrambi.
Esempio:
Zona RBAC Desktop Europa
Zona RBAC Server Asia
Zona RBAC Tappeto rosso (Dirigenti)
Utilizzando gli esempi di zone precedenti, un manager di zona potrebbe essere assegnato a Zona RBAC Desktop
Europa e avrebbe accesso solo ai dispositivi all'interno di tale zona. Se l'utente manager di zona cercasse di
visualizzare altre zone, riceverebbe un messaggio di errore che indica che non ha le autorizzazioni per visualizzarle.
Sebbene un dispositivo possa essere in più zone e il manager di zona sia in grado di visualizzare tale dispositivo,
se cercasse di visualizzare le altre zone cui è associato il dispositivo non gli sarebbe consentito e visualizzerebbe
il messaggio di errore.
In altre parti della console, come ad esempio la dashboard, il manager di zona per Zona RBAC Desktop
Europa sarebbe inoltre limitato alle minacce e ad altre informazioni relative alla zona o ai dispositivi assegnati
a tale zona.
Le stesse restrizioni si applicano agli utenti assegnati a una zona.
Gestione utenti
Gli amministratori hanno autorizzazioni globali e possono aggiungere o rimuovere utenti, assegnare utenti
alle zone (come utenti o manager di zona), aggiungere o rimuovere dispositivi, creare criteri e creare zone.
Gli amministratori possono anche eliminare dalla console utenti, dispositivi, criteri e zone in modo permanente.
Gli utenti e i manager di zona hanno solo accesso e autorizzazioni relativi alla zona cui sono assegnati. Questo si
applica a dispositivi assegnati alla zona, minacce individuate in quei dispositivi e informazioni nella dashboard.
Per un elenco completo delle autorizzazioni utente concesse a ciascun utente, vedere l'Appendice C:
Autorizzazioni utente.
Per aggiungere utenti
1. Accedere alla console (http://dellthreatdefense.com
) come amministratore. Solo gli amministratori
possono creare gli utenti.
2. Selezionare Impostazioni > Gestione utenti.
3. Immettere l'indirizzo di posta elettronica dell'utente.
4. Selezionare un ruolo nel menu a discesa Ruolo.
5. Quando si aggiunge un manager di zona o un utente, selezionare una zona a cui assegnarli.
6. Fare clic su Aggiungi. Viene inviato un messaggio di posta elettronica all'utente con un collegamento per
creare una password.
Guida all'installazione e dell'amministratore | 17
Per modificare i ruoli utente
1. Accedere alla console (http://dellthreatdefense.com
) come amministratore. Solo gli amministratori
possono creare gli utenti.
2. Selezionare Impostazioni > Gestione utenti.
3. Fare clic su un utente. Viene visualizzata la pagina Dettagli utente.
4. Selezionare un ruolo e fare clic su Salva.
Per rimuovere utenti
1. Accedere alla console (http://dellthreatdefense.com
) come amministratore. Solo gli amministratori
possono creare gli utenti.
2. Selezionare Impostazioni > Gestione utenti.
3. Selezionare la casella di controllo dell'utente o degli utenti da rimuovere.
4. Fare clic su Rimuovi
5. Fare clic su quando viene visualizzato il messaggio che chiede di confermare la rimozione.
Informazioni relative alla rete
Configurare la rete per consentire a Threat Defense Agent di comunicare con la console tramite Internet.
Questa sezione si occupa delle impostazioni firewall e delle configurazioni proxy.
Firewall
Per gestire i dispositivi non è necessario nessun software locale. I Threat Defense Agent sono gestiti da
e rispondono alla console (interfaccia utente basata su cloud). La porta 443 (HTTPS) viene utilizzata per
le comunicazioni e deve essere aperta sul firewall affinché gli agenti possano comunicare con la console.
La console è ospitata da Amazon Web Services (AWS) e non è dotata di indirizzi IP fissi. Assicurarsi che
gli agenti possano comunicare con i seguenti siti:
login.cylance.com
data.cylance.com
my.cylance.com
update.cylance.com
api2.cylance.com
download.cylance.com
In alternativa, consentire il traffico HTTPS per *.cylance.com
Proxy
Il supporto proxy per Threat Defense viene configurato tramite una voce di registro. Quando viene configurato
un proxy, l'agente usa l'indirizzo IP e la porta nella voce di registro per tutte le comunicazioni verso l'esterno
ai server della console.
1. Accedere al registro.
Nota: possono essere necessarie autorizzazioni elevate o la proprie del registro a seconda della modalità
con cui è stato installato l'agente (Modalità protetta abilitata oppure no).
18 | Guida all'installazione e dell'amministratore
2. Nell'editor del Registro di sistema, accedere a
HKEY_LOCAL_MACHINE\SOFTWARE\Cylance\Desktop.
3. Creare un nuovo valore stringa (REG_SZ):
o Nome valore = ProxyServer
o Dati valore = impostazioni proxy (ad esempio http://123.45.67.89:8080)
L'agente tenta di usare le credenziali dell'utente attualmente connesso per comunicare tramite Internet in ambienti
autenticati. Se un server proxy autenticato è configurato e un utente non è connesso al dispositivo, l'agente non
può autenticarsi nel proxy e non può comunicare con la console. In questo caso è necessario eseguire una delle
due azioni seguenti:
Configurare il proxy e aggiungere una regola per consentire tutto il traffico verso *.cylance.com.
Usare un criterio proxy diverso, consentendo al proxy non autorizzato l'accesso agli host di Cylance
(*.cylance.com).
In questo modo, se nessun utente è connesso al dispositivo, non è necessario che l'agente si autentichi e dovrebbe
essere in grado di connettersi al cloud e comunicare con la console.
Dispositivi
Una volta che un agente è installato in un endpoint, diventa disponibile come un dispositivo nella console.
Per iniziare a gestire dispositivi, assegnare un criterio (per gestire le minacce identificate), raggruppare
i dispositivi (utilizzando le zone) ed eseguire azioni manualmente su ogni dispositivo (Quarantena e Ignora).
Gestione dei dispositivi
I dispositivi sono computer con un Threat Defense Agent. Gestire i dispositivi dalla console.
1. Accedere alla console (http://dellthreatdefense.com
) come amministratore. Solo gli amministratori possono
gestire i dispositivi.
2. Fare clic su Dispositivi.
3. Selezionare la casella di controllo di un dispositivo per consentire le seguenti azioni:
Esporta: crea e scarica un file CSV. Il file contiene informazioni sul dispositivo (nome, stato
e criterio) per tutti i dispositivi nell'organizzazione.
Rimuovi: rimuove i dispositivi selezionati dal relativo elenco. Questa operazione non disinstalla
l'agente dal dispositivo.
Assegna criterio: consente l'assegnazione dei dispositivi selezionati a un criterio.
Aggiungi dispositivi alla zona: consente di aggiungere i dispositivi selezionati a una o più zone.
4. Fare clic su un dispositivo per visualizzare la pagina Dettagli dispositivo.
Informazioni sul dispositivo: visualizza informazioni come nome host, versione dell'agente
e versione del sistema operativo.
Proprietà dispositivo: consente di modificare il nome dispositivo, il criterio, le zone e il livello
di registrazione.
Minacce e attività: visualizza informazioni sulle minacce e altre attività relative al dispositivo.
Guida all'installazione e dell'amministratore | 19
5. Fare clic su Aggiungi nuovo dispositivo per visualizzare una finestra di dialogo con un token
di installazione e collegamenti per scaricare il programma di installazione dell'agente.
6. Nella colonna Zone, fare clic su un nome di zona per visualizzare la pagina Dettagli zone.
Minacce e attivi
Visualizza informazioni sulle minacce e altre attività relative al dispositivo selezionato.
minacce messe in quarantena nell'arco delle ultime 24 ore e il totale.
Visualizza tutte le minacce individuate nel dispositivo. Per impostazione predefinita, le minacce sono raggruppate
per stato (Non sicuro, Anomalo, In quarantena e Ignorato).
Esporta: crea e scarica un file CSV che contiene informazioni su tutte le minacce individuate nel
dispositivo selezionato. Le informazioni sulle minacce comprendono informazioni come nome, percorso
del file, punteggio Cylance e stato.
Quarantena: mette in quarantena le minacce selezionate. Si tratta di una quarantena locale, ovvero
questa minaccia viene messa in quarantena solo in questo dispositivo. Per mettere in quarantena una
minaccia per tutti i dispositivi nell'organizzazione, accertarsi che la casella di controllo Metti in
quarantena questa minaccia anche ogni volta che viene trovata su qualsiasi dispositivo sia
selezionata (quarantena globale) quando un file viene messo in quarantena.
Ignora: modifica lo stato della minaccia selezionata in Ignorato. È consentita l'esecuzione di un file
ignorato. Si tratta di una condizione locale, ovvero il file è consentito solo in questo dispositivo. Per
consentire questo file su tutti i dispositivi nell'organizzazione, selezionare la casella di controllo
Contrassegna come sicuro anche su tutti i dispositivi (Elenco file sicuri) quando un file viene ignorato.
Tentativi di exploit
Visualizza tutti i tentativi di exploit nel dispositivo. Questo comprende le informazioni sul nome del processo, ID,
tipo e azione intrapresa.
Registri agente
Visualizza i file di registro caricati dall'agente nel dispositivo. Il nome del file di registro è la data del registro.
Per visualizzare i file di registro dell'agente:
1. Caricare il file di registro corrente per un unico dispositivo.
a. Fare clic su Dispositivi > Registri agente.
b. Fare clic su Carica file di registro corrente. Questa operazione potrebbe richiedere alcuni minuti,
in base alle dimensioni del file di registro.
OPPURE
1. Impostazioni dei criteri:
a. Fare clic su Impostazioni > Criterio dispositivo > [selezionare un criterio] > Registri agente
b. Fare clic su Abilita caricamento automatico dei file di registro.
c. Fare clic su Salva.
Per visualizzare registri dettagliati, modificare il livello di registrazione dell'agente prima di caricare qualsiasi file
di registro.
20 | Guida all'installazione e dell'amministratore
1. Nella console: Dispositivi > [fare clic su un dispositivo], selezionare Dettagliato dal menu a discesa
Livello di registrazione agente e fare clic su Salva. Dopo che i file di registro dettagliati sono stati caricati,
Dell consiglia di modificare nuovamente il livello di registrazione agente in Informazioni.
2. Nel dispositivo, chiudere l'interfaccia utente di Threat Defense (fare clic con il pulsante destro del mouse
sull'icona di Threat Defense nella barra delle applicazioni, quindi scegliere Esci).
OPPURE
1. Aprire la riga di comando come amministratore. Immettere la seguente riga di comando, quindi premere Invio.
cd C:\Program Files\Cylance\Desktop
2. Immettere la seguente riga di comando, quindi premere Invio.
Dell.ThreatDefense.exe –a
3. Viene visualizzata l'icona di Threat Defense nella barra delle applicazioni. Fare clic con il pulsante destro
del mouse, scegliere Registrazione, quindi fare clic su Tutto (come Dettagliato nella console).
O (per macOS)
1. Uscire dall'interfaccia utente attualmente in esecuzione.
2. Eseguire il seguente comando dal terminale.
sudo /Applications/Cylance/CylanceUI.app/Contents/MacOS/CylanceUI -a
3. Fare clic con il pulsante destro del mouse sulla nuova interfaccia utente quando si apre. Selezionare
Registrazione > Tutto.
Controllo script
Visualizza tutte le attività rilevanti per Controllo script, come gli script negati.
Dispositivi duplicati
Quando il Threat Defense Agent viene installato per la prima volta in un dispositivo, viene creato un identificativo
univoco usato dalla console per identificare e fare riferimento al dispositivo. Tuttavia, alcuni eventi, come
l'utilizzo di un'immagine di macchina virtuale per creare più sistemi, possono causare la generazione di un secondo
identificatore per lo stesso dispositivo. Selezionare il dispositivo e fare clic su Rimuovi se viene visualizzata una
voce duplicata nella pagina Dispositivi nella console.
Per favorire l'identificazione di tali dispositivi, usare la funzione di ordinamento delle colonne nella pagina
Dispositivi per ordinare e confrontare i dispositivi, generalmente per nome. In alternativa, l'elenco dei dispositivi
può essere esportato come file .CSV e quindi visualizzato in Microsoft Excel o un'applicazione analoga con
funzionali avanzate di ordinamento/organizzazione.
Esempio di utilizzo di Microsoft Excel
1. Aprire il file CSV del dispositivo in Microsoft Excel.
2. Selezionare la colonna del nome dei dispositivi.
3. Dalla scheda Home, selezionare Formattazione condizionale > Regole evidenziazione celle > Valori
duplicati.
4. Accertarsi che sia selezionata l'opzione Duplica, quindi selezionare un'opzione di evidenziazione.
5. Fare clic su OK. Gli elementi duplicati vengono evidenziati.
Nota: il comando Rimuovi rimuove solo il dispositivo dalla pagina Dispositivo. Questo non esegue un comando
di disinstallazione per il Threat Defense Agent. È necessario disinstallare l'agente dall'endpoint.
  • Page 1 1
  • Page 2 2
  • Page 3 3
  • Page 4 4
  • Page 5 5
  • Page 6 6
  • Page 7 7
  • Page 8 8
  • Page 9 9
  • Page 10 10
  • Page 11 11
  • Page 12 12
  • Page 13 13
  • Page 14 14
  • Page 15 15
  • Page 16 16
  • Page 17 17
  • Page 18 18
  • Page 19 19
  • Page 20 20
  • Page 21 21
  • Page 22 22
  • Page 23 23
  • Page 24 24
  • Page 25 25
  • Page 26 26
  • Page 27 27
  • Page 28 28
  • Page 29 29
  • Page 30 30
  • Page 31 31
  • Page 32 32
  • Page 33 33
  • Page 34 34
  • Page 35 35
  • Page 36 36
  • Page 37 37
  • Page 38 38
  • Page 39 39
  • Page 40 40
  • Page 41 41
  • Page 42 42
  • Page 43 43
  • Page 44 44
  • Page 45 45
  • Page 46 46
  • Page 47 47
  • Page 48 48
  • Page 49 49
  • Page 50 50
  • Page 51 51

Dell Threat Defense Administrator Guide

Tipo
Administrator Guide