Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000124896

Analysera slutpunktsstatus för Dell Endpoint Security Suite Enterprise och Threat Defense

Summary: Slutpunktsstatusar kan analyseras i Dell Endpoint Security Suite Enterprise och Dell Threat Defense med hjälp av de här anvisningarna.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Obs!

Slutpunktsstatus för Dell Endpoint Security Suite Enterprise och Dell Threat Defense kan hämtas från en specifik slutpunkt för djupgående granskning av hot, sårbarheter och skript.

Berörda produkter:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Berörda plattformar:

  • Windows
  • Mac
  • Linux

Cause

Inte applicerbart

Resolution

Administratörer för Dell Endpoint Security Suite Enterprise eller Dell Threat Defense har åtkomst till en enskild slutpunkt för granskning:

  • Innehåll från skadlig kod
  • Status för skadlig kod
  • Typ av skadlig kod

En administratör bör endast utföra dessa steg när de felsöker varför ATP-motorn (Advanced Threat Prevention) felklassade en fil. Klicka på Access eller Review om du vill ha mer information.

Access

Åtkomst till information om skadlig programvara varierar mellan Windows, macOS och Linux. Klicka på operativsystemen om du vill ha mer information om dem.

Som standard registrerar Windows inte djupgående information om skadlig programvara.

  1. Högerklicka på Windows startmeny och klicka sedan på Kör.

Kör

  1. I run UI (kör gränssnitt) skriver du regedit och tryck sedan på CTRL + SKIFT + RETUR. Då körs Registereditorn som administratör.

Körgränssnittt

  1. I Registereditorn går du till HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. I den vänstra rutan högerklickar du på Skrivbordet och väljer sedan Behörigheter.

Behörigheter

  1. Klicka på Advanced (avancerat).

Avancerade

  1. Klicka på Owner (ägare).

Fliken Owner

  1. Klicka på Other users or groups (andra användare eller grupper).

Andra användare eller grupper

  1. Sök efter ditt konto i gruppen och klicka sedan på OK.

Valt konto

  1. Klicka på OK.

OK

  1. Kontrollera att hela kontrollen är markerad för gruppen eller användarnamnet och klicka sedan på OK.

SLN310044_en_US__9ddpkm1371i

Obs! I det här exemplet är DDP_Admin (steg 8) medlem i gruppen Användare.
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktophögerklickar du skrivbordsmappen, väljer Ny och klickar sedan på DWORD-värde (32-bitars).

Nytt DWORD

  1. Namnge DWORD StatusFileEnabled.

StatusFileEnabled

  1. Dubbelklicka på StatusFileEnabled.

Redigera DWORD

  1. Fyll i värdedata med 1 och sedan på OK.

Uppdaterat DWORD

  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktophögerklickar du skrivbordsmappen, väljer Ny och klickar sedan på DWORD-värde (32-bitars).

Nytt DWORD

  1. Namnge DWORD StatusFileType.

Statusfiltyp

  1. Dubbelklicka på StatusFileType.

Redigera DWORD

  1. Fyll i värdedata med antingen 0 eller 1. När värdedata har fyllts i trycker du på OK.

Uppdaterat DWORD

Obs! Värdedataval:
  • 0 = JSON filformat
  • 1 = XML-format
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktophögerklickar du skrivbordsmappen, väljer Ny och klickar sedan på DWORD-värde (32-bitars).

Nytt DWORD

  1. Namnge DWORD StatusPeriod.

Statusperiod

  1. Dubbelklicka på StatusPeriod.

Redigera DWORD

  1. Fyll i värdedata med ett nummer från 15 Att 60 och klicka sedan på OK.

Uppdaterat DWORD

Obs! Statusperiod är hur ofta filen skrivs.
15 = 15 sekunders intervall
60 = 60 sekunders intervall
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktophögerklickar du på mappen Skrivbord , väljer Ny och klickar sedan på String Value.

Ny sträng

  1. Namnge strängen StatusFilePath.

StatusfilePath

  1. Dubbelklicka på StatusFilePath.

Redigera sträng

  1. Fyll i värdedata med den plats som statusfilen ska skrivas till och klicka sedan på OK.

Redigerad sträng

Obs!
  • Standardsökväg: <CommonAppData>\Cylance\Status\Status.json
  • Exempelsökväg: C:\ProgramData\Cylance
  • En .json-fil (JavaScript Object Notation) kan öppnas i en ASCII-textdokumentedigerare.

Detaljerad information om skadliga program finns i filen Status.json på:

/Library/Application Support/Cylance/Desktop/Status.json
 
Obs! En .json-fil (JavaScript Object Notation) kan öppnas i en ASCII-textdokumentedigerare.

Detaljerad information om skadliga program finns i filen Status.json på:

/opt/cylance/desktop/Status.json
 
Obs! En .json-fil (JavaScript Object Notation) kan öppnas i en ASCII-textdokumentedigerare.

Recension

Statusfilens innehåll innehåller detaljerad information om flera kategorier, inklusive hot, angrepp och skript. Klicka på lämplig information om du vill ha mer information om den.

Statusfilsinnehåll:

snapshot_time Datum och tid då statusinformationen samlats in. Datum och tid är lokala för enheten.
ProductInfo
  • version: Advanced Threat Prevention Agent-version på enheten
  • last_communicated_timestamp: Datum och tid för den senaste sökningen efter en agentuppdatering
  • serial_number: Installationstoken som används för att registrera agenten
  • device_name: Namnet på den enhet som agenten är installerad på
Policy
  • type: Status för huruvida agenten är online eller offline
  • id: Unikt ID för policyn
  • name: Principnamn
ScanState
  • last_background_scan_timestamp: Datum och tid för den senaste Genomsökningen av Background Threat Detection
  • drives_scanned: Lista över enhetsbokstäver skannade
Threats
  • count: Antalet hot som hittats
  • max: Maximalt antal hot i statusfilen
  • Hot
    • file_hash_id: Visar sha256-hashinformation för hotet
    • file_md5: MD5-hash
    • file_path: Sökvägen till hotet hittades. Innehåller filnamnet
    • is_running: Körs hotet på enheten för närvarande? Sant eller falskt
    • auto_run: Är hotfilen inställd på att köras automatiskt? Sant eller falskt
    • file_status: Visar det aktuella läget för hotet, som Allowed, Running eller Quarantined. Se hoten: Filstate-tabell
    • file_type: Visar filtyp, som PE (Portable Executable), Archive eller PDF. Se hoten: Filtypstabell
    • score: Visar Cylance-poängen. Poängen som visas i statusfilen sträcker sig från 1000 till -1 000. I konsolen är intervallet 100 till -100
    • file_size: Visar filstorleken, i byte
Exploits
  • count: Antalet sårbarheter som hittas
  • max: Maximalt antal sårbarheter i statusfilen
  • Utnyttja
    • ProcessId: Visar process-ID för programmet som identifieras av Memory Protection
    • ImagePath: Sökvägen till sårbarheten kommer från. Innehåller filnamnet
    • ImageHash: Visar SHA256-hashinformation för sårbarheten
    • FileVersion: Visar versionsnumret för sårbarhetsfilen
    • Username: Visar namnet på den användare som var inloggad på enheten när sårbarheten inträffade
    • Groups: Visar den grupp som den inloggade användaren är associerad med
    • Sid: Säkerhetsidentifieraren (SID) för den inloggade användaren
    • ItemType: Visar sårbarhetstypen som relaterar till typerna av överträdelser
    Obs!
    • Statligt: Visar aktuellt läge för sårbarheten, t.ex. Tillåten, blockerad eller avslutad
    Obs!
    • Se sårbarheterna: Tillståndstabell
    • MemDefVersion: Den version av Memory Protection som används för att identifiera sårbarheten, vanligtvis agentens versionsnummer
    • Count: Antal gånger som angreppsförsöket har körts
Scripts
  • count: Antalet skript som körs på enheten
  • max: Maximalt antal skript i statusfilen
  • Skript
    • script_path: Sökvägen till skriptet kommer från. Innehåller filnamnet
    • file_hash_id: Visar sha256-hashinformation för skriptet
    • file_md5: Visar MD5-hashinformation för skriptet, om tillgängligt
    • file_sha1: Visar SHA1-hashinformation för skriptet, om tillgängligt
    • drive_type: Identifierar den typ av enhet som skriptet kommer från, till exempel Fixed
    • last_modified: Datum och tidpunkt då skriptet senast ändrades
    • interpreter:
      • name: Namnet på skriptkontrollfunktionen som identifierade det skadliga skriptet
      • version: Versionsnumret för skriptkontrollfunktionen
    • username: Visar namnet på den användare som var inloggad på enheten när skriptet startades
    • groups: Visar den grupp som den inloggade användaren är associerad med
    • sid: Säkerhetsidentifieraren (SID) för den inloggade användaren
    • action: Visar den åtgärd som utförs i skriptet, t.ex. Allowed, Blocked eller Terminated. Se skripten: Åtgärdstabell

Hot har flera numeriskt baserade kategorier att dechiffrera i File_Status, FileState och FileType. Referera till lämplig kategori för de värden som ska tilldelas.

File_Status

Fältet File_Status är ett decimalvärde som beräknas baserat på de värden som aktiveras av FileState (se tabellen i avsnittet FileState). Till exempel beräknas ett decimalvärde på 9 för file_status från filen som identifieras som ett hot (0x01) och filen har karantänats (0x08).

file_status och file_type

Filstate

Hot: Filstate

Inget 0x00
Hot 0x01
Misstänkta 0x02
Tillåten 0x04
Karantän 0x08
Kör 0x10
Korrupta 0x20

Filtyp

Hot: Filtyp

Stöds inte 0
PE 1
Arkiv 2
PDF 3
OLE 4

Sårbarheter har två numeriskt baserade kategorier att dechiffrera i både ItemType och State.

ItemType och state (Objekttyp och tillstånd)

Referera till lämplig kategori för de värden som ska tilldelas.

ItemType

Utnyttjar: ItemType

StackPivot 1 Stackpivot
StackProtect 2 Stackskydd
OverwriteCode 3 Skriv över kod
OopAllocate 4 Fjärrallokering av minne
OopMap 5 Fjärrmappning av minne
OopWrite 6 Fjärrskrivning till minne
OopWritePe 7 Fjärrskrivnings-PE till minne
OopOverwriteCode 8 Kod för överskrivning på distans
OopUnmap 9 Fjärransluten avmappning av minne
OopThreadCreate 10 Skapa fjärrtråd
OopThreadApc 11 Fjärr-APC schemalagt
LsassRead 12 LSASS-läsning
TrackDataRead 13 RAM-avskrackning
CpAllocate 14 Fjärrallokering av minne
CpMap 15 Fjärrmappning av minne
CpWrite 16 Fjärrskrivning till minne
CpWritePe 17 Fjärrskrivnings-PE till minne
CpOverwriteCode 18 Kod för överskrivning på distans
CpUnmap 19 Fjärransluten avmappning av minne
CpThreadCreate 20 Skapa fjärrtråd
CpThreadApc 21 Fjärr-APC schemalagt
ZeroAllocate 22 Noll allokering
DyldInjection 23 DYLD-injektion
MaliciousPayload 24 Skadlig nyttolast
 
Obs!

Läge

Utnyttjar: Läge

Inget 0
Tillåten 1
Blockerade 2
Avslutas 3

Sårbarheter har en enda numeriskt baserad kategori att dechiffrera i åtgärd.

Åtgärd

Skript: Åtgärd

Inget 0
Tillåten 1
Blockerade 2
Avslutas 3

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Additional Information

   

Videos

   

Article Properties

Affected Product

Dell Threat Defense, Dell Endpoint Security Suite Enterprise

Last Published Date

20 Nov 2023

Version

12

Article Type

Solution

Back to Top