Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Analysieren des Endpunktstatus mit Dell Endpoint Security Suite Enterprise und Threat Defense

Summary: Mithilfe dieser Anweisungen kann in Dell Endpoint Security Suite Enterprise und Dell Threat Defense der Endpunktstatus analysiert werden.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Hinweis:

Die Endpunktstatus von Dell Endpoint Security Suite Enterprise und Dell Threat Defense können von einem bestimmten Endpunkt abgerufen werden, um Bedrohungen, Exploits und Skripte eingehend zu überprüfen.


Betroffene Produkte:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Betroffene Plattformen:

  • Windows
  • Mac
  • Linux

Cause

Unzutreffend

Resolution

AdministratorInnen von Dell Endpoint Security Suite Enterprise oder Dell Threat Defense können auf einen einzelnen Endpunkt zugreifen, um Folgendes zu überprüfen:

  • Malware-Inhalte
  • Malware-Status
  • Malware-Typ

Ein Administrator sollte diese Schritte nur bei der Fehlerbehebung durchführen, warum die ATP-Engine (Advanced Threat Prevention) eine Datei falsch klassifiziert hat. Klicken Sie auf Zugriff oder Überprüfung , um weitere Informationen zu erhalten.

Access

Der Zugriff auf Malware-Informationen unterscheidet sich zwischen Windows, macOS und Linux. Klicken Sie für weitere Informationen auf das entsprechende Betriebssystem.

Standardmäßig erfasst Windows keine detaillierten Malware-Informationen.

  1. Klicken Sie mit der rechten Maustaste auf das Startmenü von Windows und klicken Sie auf Run (Ausführen).

Ausführen

  1. Geben Sie in der Benutzeroberfläche ausführen folgende Schritte ein: regedit und drücken Sie dann STRG + UMSCHALT + EINGABETASTE. Dadurch wird der Registrierungseditor als Administrator ausgeführt.

UI ausführen

  1. Navigieren Sie im Registrierungs-Editor zu HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf Desktop und wählen Sie dann Berechtigungen aus.

Berechtigungen

  1. Klicken Sie auf Erweitert.

Erweitert

  1. Klicken Sie auf Besitzer.

Registerkarte „Besitzer“

  1. Klicken Sie auf Weitere Benutzer oder Gruppen.

Weitere Benutzer oder Gruppen

  1. Suchen Sie in der Gruppe nach Ihrem Konto und klicken Sie dann auf OK.

Konto ausgewählt

  1. Klicken Sie auf OK.

OK

  1. Stellen Sie sicher, dass für Ihre Gruppe oder Ihren Nutzernamen Vollständige Kontrolle aktiviert ist und klicken Sie dann auf OK.

SLN310044_en_US__9ddpkm1371i

Hinweis: In diesem Beispiel ist DDP_Admin (Schritt 8) ein Mitglied der Nutzergruppe.
  1. Auf HKEY_LOCAL_MACHINE\Software\Cylance\Desktopklicken Sie mit der rechten Maustaste auf den Desktop-Ordner , wählen Sie Neu aus und klicken Sie dann auf DWORD(32-Bit)-Wert.

Neues DWORD

  1. Benennen des DWORD StatusFileEnabled.

StatusFileEnabled

  1. Doppelklicken Sie auf StatusFileEnabled.

DWORD bearbeiten

  1. Wertedaten mit 1 und drücken Sie dann "OK".

DWORD aktualisiert

  1. Auf HKEY_LOCAL_MACHINE\Software\Cylance\Desktopklicken Sie mit der rechten Maustaste auf den Desktop-Ordner , wählen Sie Neu aus und klicken Sie dann auf DWORD(32-Bit)-Wert.

Neues DWORD

  1. Benennen des DWORD StatusFileType.

StatusFileType

  1. Doppelklicken Sie auf StatusFileType.

DWORD bearbeiten

  1. Geben Sie Wertedaten mit einem der folgenden Werte ein: 0 oder 1. Sobald Wertdaten eingegeben wurden, klicken Sie auf OK.

DWORD aktualisiert

Hinweis: Wertauswahl:
  • 0 = JSON-Dateiformat
  • 1 = XML-Format
  1. Auf HKEY_LOCAL_MACHINE\Software\Cylance\Desktopklicken Sie mit der rechten Maustaste auf den Desktop-Ordner , wählen Sie Neu aus und klicken Sie dann auf DWORD(32-Bit)-Wert.

Neues DWORD

  1. Benennen des DWORD StatusPeriod.

StatusPeriod

  1. Doppelklicken Sie auf StatusPeriod.

DWORD bearbeiten

  1. Geben Sie Wertedaten mit einer Zahl ein, die von 15 to 60 und klicken Sie dann auf OK.

DWORD aktualisiert

Hinweis: StatusPeriod gibt an, wie oft die Datei geschrieben wird.
15 = 15-Sekunden-Intervall
60 = 60-Sekunden-Intervall
  1. Auf HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klicken Sie mit der rechten Maustaste auf den Desktop-Ordner , wählen Sie Neu aus und klicken Sie dann auf String Value.

Neuer String

  1. Benennen der Zeichenfolge StatusFilePath.

StatusFilePath

  1. Doppelklicken Sie auf StatusFilePath.

String bearbeiten

  1. Geben Sie unter Wertdaten den Speicherort ein, an den die Statusdatei geschrieben werden soll, und klicken Sie dann auf OK.

String bearbeitet

Hinweis:
  • Standardpfad: <CommonAppData>\Cylance\Status\Status.json
  • Beispielpfad: C:\ProgramData\Cylance
  • Eine .json-Datei (JavaScript Object Notation) kann in einem ASCII-Textdokumenteditor geöffnet werden.

Detaillierte Malware-Informationen befinden sich in der Datei Status.json unter:

/Library/Application Support/Cylance/Desktop/Status.json
 
Hinweis: Eine .json-Datei (JavaScript Object Notation) kann in einem ASCII-Textdokumenteditor geöffnet werden.

Detaillierte Malware-Informationen befinden sich in der Datei Status.json unter:

/opt/cylance/desktop/Status.json
 
Hinweis: Eine .json-Datei (JavaScript Object Notation) kann in einem ASCII-Textdokumenteditor geöffnet werden.

Überprüfung

Der Inhalt der Statusdatei umfasst detaillierte Informationen zu mehreren Kategorien, einschließlich Bedrohungen, Exploits und Skripte. Klicke auf die entsprechenden Informationen, um mehr darüber zu erfahren.

Inhalt der Statusdatei:

snapshot_time Datum und Uhrzeit der Erfassung der Statusinformationen. Datum und Uhrzeit gelten lokal für das Gerät.
ProductInfo
  • version: Advanced Threat Prevention Agent-Version auf dem Gerät
  • last_communicated_timestamp: Datum und Uhrzeit der letzten Überprüfung auf eine Agent-Aktualisierung
  • serial_number: Installationstoken, das zum Registrieren des Agent verwendet wird
  • device_name: Name des Geräts, auf dem der Agent installiert ist
Policy
  • type: Status, ob der Agent online oder offline ist
  • id: Eindeutige Kennung für die Policy
  • name: Policy-Name
ScanState
  • last_background_scan_timestamp: Datum und Uhrzeit des letzten Scans zur Erkennung von Hintergrundbedrohungen
  • drives_scanned: Liste der gescannten Laufwerksbuchstaben
Threats
  • count: Die Anzahl der gefundenen Bedrohungen
  • max: Die maximale Anzahl von Bedrohungen in der Statusdatei
  • Threat
    • file_hash_id: Zeigt die SHA256-Hash-Informationen für die Bedrohung an.
    • file_md5: MD5-Hash
    • file_path: Der Pfad, unter dem die Bedrohung gefunden wurde. Enthält den Dateinamen
    • is_running: Wird die Bedrohung derzeit auf dem Gerät ausgeführt? Wahr oder falsch
    • auto_run: Wird die Bedrohungsdatei automatisch ausgeführt? Wahr oder falsch
    • file_status: Zeigt den aktuellen Status der Bedrohung an, z. B. „Allowed“, „Running“ oder „Quarantined“. Siehe Tabelle Threats: FileState-Tabelle
    • file_type: Zeigt den Dateityp an, z. B. Portable Executable (PE), Archive oder PDF. Siehe Tabelle Threats: Dateityptabelle
    • score: Zeigt die Cylance-Bewertung an. Die in der Statusdatei angezeigten Bewertungen reichen von 1000 bis -1000. In der Konsole liegt der Bereich zwischen 100 und -100.
    • file_size: Zeigt die Dateigröße in Byte an.
Exploits
  • count: Die Anzahl der gefundenen Exploits
  • max: Die maximale Anzahl von Exploits in der Statusdatei
  • Exploit
    • ProcessId: Zeigt die Prozess-ID der Anwendung an, die durch Memory Protection identifiziert wird.
    • ImagePath: Der Pfad, von dem der Exploit stammt. Enthält den Dateinamen
    • ImageHash: Zeigt die SHA256-Hash-Informationen für den Exploit an.
    • FileVersion: Zeigt die Versionsnummer der Exploit-Datei an.
    • Username: Zeigt den Namen des Benutzers an, der beim Exploit am Gerät angemeldet war.
    • Groups: Zeigt die Gruppe an, der der angemeldete Benutzer zugeordnet ist.
    • Sid: Die Sicherheitskennung (SID) für den angemeldeten Benutzer
    • ItemType: Zeigt den Exploit-Typ an, der sich auf die Verstoßtypen bezieht.
    Hinweis:
    • State: Zeigt den aktuellen Status des Exploits an, z. B. "Zulässig", "Blockiert" oder "Beendet".
    Hinweis:
    • Siehe Tabelle Exploits: Zustandstabelle
    • MemDefVersion: Die Version von Memory Protection, die zur Identifizierung des Exploits verwendet wird, in der Regel die Versionsnummer des Agent
    • Count: Die Anzahl der Versuche, mit denen der Exploit ausgeführt wurde
Scripts
  • count: Die Anzahl der auf dem Gerät ausgeführten Skripte
  • max: Die maximale Anzahl von Skripten in der Statusdatei
  • Skript
    • script_path: Der Pfad, von dem das Skript stammt. Enthält den Dateinamen
    • file_hash_id: Zeigt die SHA256-Hash-Informationen für das Skript an.
    • file_md5: Zeigt die MD5-Hash-Informationen für das Skript an, falls verfügbar
    • file_sha1: Zeigt die SHA1-Hash-Informationen für das Skript an, falls verfügbar
    • drive_type: Identifiziert den Laufwerkstyp, von dem das Skript abstammt, wie "Fixed".
    • last_modified: Datum und Uhrzeit der letzten Änderung des Skripts
    • interpreter:
      • name: Der Name der Skriptsteuerungsfunktion, die das schädliche Skript identifiziert hat
      • version: Die Versionsnummer der Skriptsteuerungsfunktion
    • username: Zeigt den Namen des Benutzers an, der beim Starten des Skripts am Gerät angemeldet war.
    • groups: Zeigt die Gruppe an, der der angemeldete Benutzer zugeordnet ist.
    • sid: Die Sicherheitskennung (SID) für den angemeldeten Benutzer
    • action: Zeigt die Aktion an, die für das Skript durchgeführt wird, z. B. Zulässig, Blockiert oder Beendet. Siehe Tabelle Scripts: Aktionstabelle

Bedrohungen haben mehrere numerisch basierte Kategorien, die in File_Status, FileState und FileType entschlüsselt werden müssen. Verweisen Sie auf die entsprechende Kategorie für die zuzuweisenden Werte.

File_Status

Das feld File_Status ist ein Dezimalwert, der basierend auf den Werten berechnet wird, die von FileState aktiviert werden (siehe Tabelle im Abschnitt FileState). Beispielsweise wird ein Dezimalwert von 9 für file_status daraus berechnet, dass die Datei als Bedrohung (0x01) identifiziert und in Quarantäne (0x08) verschoben wurde.

file_status und file_type

FileState

Threats: FileState

Keine 0x00
Threat 0x01
Suspicious 0x02
Erlaubt 0x04
Quarantined 0x08
Running 0x10
Corrupt 0x20

FileType

Threats: FileType

Nicht unterstützt 0
PE 1
Archiv 2
PDF 3
OLE 4

Exploits haben zwei numerische Kategorien, die in ItemType und State aufgeschlüsselt werden.

ItemType und State

Verweisen Sie auf die entsprechende Kategorie für die zuzuweisenden Werte.

ItemType

Exploits: ItemType

StackPivot 1 Stack Pivot
StackProtect 2 Stack schützen
OverwriteCode 3 Code überschreiben
OopAllocate 4 Remote-Zuordnung des Arbeitsspeichers
OopMap 5 Remote-Zuordnung des Arbeitsspeichers
OopWrite 6 Remote-Schreiben in Arbeitsspeicher
OopWritePe 7 Remote-Schreiben von PE in Arbeitsspeicher
OopOverwriteCode 8 Remote-Überschreiben von Code
OopUnmap 9 Remote-Aufheben der Arbeitsspeicherzuordnung
OopThreadCreate 10 Remote-Thread-Erstellung
OopThreadApc 11 Remote-APC geplant
LsassRead 12 LSASS lesen
TrackDataRead 13 RAM-Scraping
CpAllocate 14 Remote-Zuordnung des Arbeitsspeichers
CpMap 15 Remote-Zuordnung des Arbeitsspeichers
CpWrite 16 Remote-Schreiben in Arbeitsspeicher
CpWritePe 17 Remote-Schreiben von PE in Arbeitsspeicher
CpOverwriteCode 18 Remote-Überschreiben von Code
CpUnmap 19 Remote-Aufheben der Arbeitsspeicherzuordnung
CpThreadCreate 20 Remote-Thread-Erstellung
CpThreadApc 21 Remote-APC geplant
ZeroAllocate 22 Nullzuweisung
DyldInjection 23 DYLD-Injektion
MaliciousPayload 24 Böswillige Payload
 
Hinweis:

State

Exploits: State

Keine 0
Erlaubt 1
Blocked 2
Terminated 3

Exploits haben eine einzige numerische Kategorie, die in Action entschlüsselt wird.

Aktion

Scripts: Aktion

Keine 0
Erlaubt 1
Blocked 2
Terminated 3

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: Solution
Last Modified: 20 Nov 2023
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.