Article Number: 000124896
Les états des points de terminaison Dell Endpoint Security Suite Enterprise et Dell Threat Defense peuvent être retirés d’un point de terminaison spécifique pour une analyse approfondie des menaces, des exploits et des scripts.
Sans objet
Les administrateurs Dell Endpoint Security Suite Enterprise ou Dell Threat Defense peuvent accéder à un point de terminaison individuel pour vérifier :
Un administrateur ne doit effectuer ces étapes que lors du dépannage des raisons pour lesquelles le moteur ATP (Advanced Threat Prevention) a mal classé un fichier. Cliquez sur Access ou Review pour plus d’informations.
L’accès aux informations relatives aux logiciels malveillants varie entre Windows,macOSet Linux. Pour plus d’informations, cliquez sur le système d’exploitation approprié.
Par défaut, Windows n’enregistre pas les informations détaillées relatives aux logiciels malveillants.
regedit
puis appuyez sur CTRL + MAJ + ENTRÉE. Cette commande permet d’exécuter l’éditeur du registre en tant qu’administrateur.HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
.HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
, cliquez avec le bouton droit de la souris sur le dossier Bureau, sélectionnez Nouveau, puis cliquez sur Valeur DWORD (32 bits).StatusFileEnabled
.1
puis appuyez sur OK.HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
, cliquez avec le bouton droit de la souris sur le dossier Bureau, sélectionnez Nouveau, puis cliquez sur Valeur DWORD (32 bits).StatusFileType
.0
ou 1
. Une fois que les données de valeur ont été renseignées, appuyez sur OK.0
= format de fichier JSON1
= format XMLHKEY_LOCAL_MACHINE\Software\Cylance\Desktop
, cliquez avec le bouton droit de la souris sur le dossier Bureau, sélectionnez Nouveau, puis cliquez sur Valeur DWORD (32 bits).StatusPeriod
.15
to 60
puis cliquez sur OK.HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
, cliquez avec le bouton droit de la souris sur le dossier Bureau , sélectionnez Nouveau, puis cliquez sur String Value
.StatusFilePath
.<CommonAppData>\Cylance\Status\Status.json
C:\ProgramData\Cylance
Les informations détaillées relatives aux logiciels malveillants se trouvent dans le fichier Status.json à l’emplacement :
/Library/Application Support/Cylance/Desktop/Status.json
Les informations détaillées relatives aux logiciels malveillants se trouvent dans le fichier Status.json à l’emplacement :
/opt/cylance/desktop/Status.json
Le contenu du fichier d’état inclut des informations détaillées sur plusieurs catégories, notamment les menaces, les exploits et les scripts. Cliquez sur les informations appropriées pour en savoir plus.
snapshot_time |
date et l’heure auxquelles les informations d’état ont été collectées. La date et l’heure correspondent à celles configurées sur l’appareil. |
ProductInfo |
|
Policy |
|
ScanState |
|
Threats |
|
Exploits |
|
Scripts |
|
Les menaces ont plusieurs catégories numériques à déchiffrer en File_Status, FileState et FileType. Référencez la catégorie appropriée pour les valeurs à attribuer.
Le champ File_Status est une valeur décimale calculée en fonction des valeurs activées par FileState (voir le tableau dans la section FileState). Par exemple, une valeur décimale de 9 pour file_status est calculée à partir de l’identification du fichier comme menace (0x01) et de sa mise en quarantaine (0x08).
Aucune | 0x00 |
Menace | 0x01 |
Suspect | 0x02 |
Autorisé | 0x04 |
Mis en quarantaine | 0x08 |
En cours d’exécution | 0x10 |
Corrompu | 0x20 |
Non prise en charge | 0 |
PE | 1 |
Archive | 2 |
3 | |
OLE | 4 |
Il existe deux catégories de menaces basées sur des chiffres qu’il faut aller chercher dans ItemType et State.
Référencez la catégorie appropriée pour les valeurs à attribuer.
StackPivot |
1 | Falsification de la pile |
StackProtect |
2 | Protection de la pile |
OverwriteCode |
3 | Écrasement du code |
OopAllocate |
4 | Allocation de mémoire à distance |
OopMap |
5 | Mappage à distance de la mémoire |
OopWrite |
6 | Écriture à distance dans la mémoire |
OopWritePe |
7 | Écriture de PE à distance dans la mémoire |
OopOverwriteCode |
8 | Écrasement à distance du code |
OopUnmap |
9 | Démappage à distance de la mémoire |
OopThreadCreate |
10 | Création à distance de threads |
OopThreadApc |
11 | APC planifié à distance |
LsassRead |
12 | Lecture LSASS |
TrackDataRead |
13 | Grattage de mémoire |
CpAllocate |
14 | Allocation de mémoire à distance |
CpMap |
15 | Mappage à distance de la mémoire |
CpWrite |
16 | Écriture à distance dans la mémoire |
CpWritePe |
17 | Écriture de PE à distance dans la mémoire |
CpOverwriteCode |
18 | Écrasement à distance du code |
CpUnmap |
19 | Démappage à distance de la mémoire |
CpThreadCreate |
20 | Création à distance de threads |
CpThreadApc |
21 | APC planifié à distance |
ZeroAllocate |
22 | Aucune allocation |
DyldInjection |
23 | Injection DYLD |
MaliciousPayload |
24 | Charge utile malveillante |
Oop
références Out of ProcessCp
référence le processus enfantAucune | 0 |
Autorisé | 1 |
Bloqué | 2 |
Terminé | 3 |
Il existe une seule catégorie d’exploit basée sur des chiffres qu’il faut aller chercher dans Action.
Aucune | 0 |
Autorisé | 1 |
Bloqué | 2 |
Terminé | 3 |
Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.
Dell Threat Defense, Dell Endpoint Security Suite Enterprise
20 Nov 2023
12
Solution