Article Number: 000124896
Статуси кінцевих точок Dell Endpoint Security Suite Enterprise і Dell Threat Defense можна отримати з певної кінцевої точки для поглибленого аналізу загроз, експлойтів і сценаріїв.
Не застосовується
Адміністратори Dell Endpoint Security Suite Enterprise або Dell Threat Defense можуть отримати доступ до окремої кінцевої точки для перегляду:
Адміністратор повинен виконувати ці кроки лише під час усунення неполадок, через які механізм розширеного запобігання загрозам (ATP) неправильно класифікував файл. Натисніть кнопку Access або Review , щоб отримати додаткові відомості.
Доступ до інформації про зловмисне програмне забезпечення залежить від Windows, macOS і Linux. Для отримання додаткових відомостей виберіть відповідну операційну систему.
За промовчанням Windows не записує докладні відомості про зловмисне програмне забезпечення.
regedit
і натисніть сполучення клавіш CTRL+SHIFT+ENTER. Це запускає редактор реєстру від імені адміністратора.HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
.HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
, клацніть правою кнопкою миші папку Робочий стіл, виберіть пункт Створити, а потім виберіть пункт Значення DWORD (32-розрядне).StatusFileEnabled
.1
, а потім натисніть кнопку OK.HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
, клацніть правою кнопкою миші папку Робочий стіл, виберіть пункт Створити, а потім виберіть пункт Значення DWORD (32-розрядне).StatusFileType
.0
або 1
. Заповнивши дані про значення, натисніть OK.0
= Формат файлу JSON1
= Формат XMLHKEY_LOCAL_MACHINE\Software\Cylance\Desktop
, клацніть правою кнопкою миші папку Робочий стіл, виберіть пункт Створити, а потім виберіть пункт Значення DWORD (32-розрядне).StatusPeriod
.15
до 60
і натисніть кнопку ОК.HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
, клацніть правою кнопкою миші папку Робочий стіл , виберіть пункт Створити, а потім виберіть команду String Value
.StatusFilePath
.<CommonAppData>\Cylance\Status\Status.json
C:\ProgramData\Cylance
Детальна інформація про шкідливе програмне забезпечення міститься у файлі Status.json за адресою:
/Library/Application Support/Cylance/Desktop/Status.json
Детальна інформація про шкідливе програмне забезпечення міститься у файлі Status.json за адресою:
/opt/cylance/desktop/Status.json
Вміст файлу стану містить детальну інформацію про кілька категорій, включаючи загрози, експлойти та сценарії. Натисніть на відповідну інформацію, щоб дізнатися про це більше.
snapshot_time |
Дата й час збирання відомостей про стан. Дата й час вказуються локально для пристрою. |
ProductInfo |
|
Policy |
|
ScanState |
|
Threats |
|
Exploits |
|
Scripts |
|
Загрози мають кілька числових категорій, які потрібно розшифрувати в File_Status, FileState і FileType. Посилайтеся на відповідну категорію для значень, які потрібно присвоїти.
Поле File_Status — це десяткове значення, обчислене на основі значень, увімкнених FileState (див. таблицю в розділі FileState). Наприклад, десяткове значення 9 для file_status обчислюється на основі файлу, який визначено як загрозу (0x01) і поміщено файл у карантин (0x08).
Ніхто | 0x00 |
Загроза | 0x01 |
Підозрілі | 0x02 |
Дозволило | 0x04 |
На карантині | 0x08 |
Біг | 0x10 |
Корумпованих | 0x20 |
Непідтримуваний | 0 |
ФОП | 1 |
Архів | 2 |
У форматі PDF | 3 |
ОЛЕ | 4 |
Експлойти мають дві числові категорії, які потрібно розшифрувати як у ItemType , так і в State.
Посилайтеся на відповідну категорію для значень, які потрібно присвоїти.
StackPivot |
1 | Стек Pivot |
StackProtect |
2 | Захист стека |
OverwriteCode |
3 | Перезаписати код |
OopAllocate |
4 | Віддалений розподіл пам'яті |
OopMap |
5 | Віддалене відображення пам'яті |
OopWrite |
6 | Віддалений запис в пам'ять |
OopWritePe |
7 | Віддалений запис PE в пам'ять |
OopOverwriteCode |
8 | Віддалений перезапис коду |
OopUnmap |
9 | Віддалене розблокування карти пам'яті |
OopThreadCreate |
10 | Створення віддалених потоків |
OopThreadApc |
11 | Віддалений APC за розкладом |
LsassRead |
12 | LSASS Читати |
TrackDataRead |
13 | Скрейпінг оперативної пам'яті |
CpAllocate |
14 | Віддалений розподіл пам'яті |
CpMap |
15 | Віддалене відображення пам'яті |
CpWrite |
16 | Віддалений запис в пам'ять |
CpWritePe |
17 | Віддалений запис PE в пам'ять |
CpOverwriteCode |
18 | Віддалений перезапис коду |
CpUnmap |
19 | Віддалене розблокування карти пам'яті |
CpThreadCreate |
20 | Створення віддалених потоків |
CpThreadApc |
21 | Віддалений APC за розкладом |
ZeroAllocate |
22 | Нульовий розподіл |
DyldInjection |
23 | Ін'єкція DYLD |
MaliciousPayload |
24 | Шкідливе корисне навантаження |
Oop
Список використаних джерел Поза процесомCp
список використаних джерел Дочірній процесНіхто | 0 |
Дозволило | 1 |
Заблоковано | 2 |
Припинено | 3 |
Експлойти мають єдину числову категорію, яку потрібно розшифрувати в Дії.
Ніхто | 0 |
Дозволило | 1 |
Заблоковано | 2 |
Припинено | 3 |
Щоб зв'язатися зі службою підтримки, зверніться за номерами телефонів міжнародної служби підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову інформацію та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.
Dell Threat Defense, Dell Endpoint Security Suite Enterprise
20 Nov 2023
12
Solution