Manualshelf

Administrator Guide

ManualsBrandsDell ManualsConverged InfrastructureEndpoint Security Suite Enterprise
11121314151617181920
Minacce
Questo capitolo descrive come identificare e gestire le minacce rilevate in un ambiente aziendale dopo l'installazione di Advanced Threat
Prevention.
Identificare una minaccia
Visualizzare gli eventi di minaccia
Punteggio Cylance e aggiornamenti del modello di minaccia
Visualizzare dati dettagliati sulla minaccia
Gestire una minaccia
Esportare i dati della minaccia in CSV
Gestire l'Elenco file in quarantena
Identificare una minaccia
Notifiche di posta elettronica e dashboard
Se sono state impostate notifiche di posta elettronica per Threat Protection e Advanced Threat Event, un amministratore riceverà una
notifica relativa a eventi e minacce Advanced Threat Prevention.
Il riepilogo delle notifiche della dashboard nella Management Console mostra le minacce e gli eventi Advanced Threat Prevention, come i
tipi di notifica Threat Protection e Advanced Threat Events.
Tipo di protezione da minacce - Un avviso di minaccia da Advanced Threat Prevention.
Tipo di evento di minaccia avanzato - Un evento rilevato da Advanced Threat Prevention. Un evento non è necessariamente una
minaccia.
La tabella seguente descrive in dettaglio le etichette, la gravità e le informazioni sulle minacce.
Etichetta
Gravità Dettagli
ThreatFound Critico
Indica che su un dispositivo è stato identificato un eseguibile portatile
(PE), ma che non è stato bloccato o messo in quarantena sull'endpoint,
indicando quindi una minaccia attiva sul sistema.
ThreatBlocked Avviso
Indica che un eseguibile portatile è stato identificato sul dispositivo, ma la
sua esecuzione è stata bloccata. Questa minaccia non è stata messa in
quarantena, probabilmente perché il criterio di quarantena automatica
non è stato abilitato oppure perché il file si trova in una posizione in cui
non è possibile eseguire la scrittura con l'Account di SISTEMA locale
(share di rete, dispositivo USB che è stato rimosso, ecc.).
ThreatTerminated Avviso
Indica che un eseguibile portatile (PE) è stato identificato sul dispositivo e
il relativo processo è stato terminato, poiché era in stato di esecuzione
attiva. Ciò non indica che anche il file è stato messo in quarantena, poiché
il PE potrebbe essere stato eseguito da un'altra posizione. Si consiglia di
cercare un altro evento correlato a questo endpoint ed eseguibile per
convalidare che la minaccia sia stata contrastata correttamente.
MemoryViolationBlocked Avviso
Indica che un eseguibile o uno script ha tentato l'esecuzione, ma ha
violato il criterio Protezione della memoria o Controllo script. L'esecuzione
dell'eseguibile o dello script è stata bloccata di conseguenza. In genere,
questo indica che il criterio correlato di Protezione della memoria o
Controllo script indicato è stato impostato su Blocca.
4
14 Minacce