Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Slik analyserer du sluttpunktstatus for Dell Endpoint Security Suite Enterprise og Threat Defense

Summary: Sluttpunktstatuser kan analyseres i Dell Endpoint Security Suite Enterprise og Dell Threat Defense ved hjelp av disse instruksjonene.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Merk:

Endepunktstatusene Dell Endpoint Security Suite Enterprise og Dell Threat Defense kan hentes fra et bestemt endepunkt for grundig gjennomgang av trusler, utnyttelser og skript.


Berørte produkter:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Berørte plattformer:

  • Windows
  • Mac
  • Linux

Cause

Ikke aktuelt

Resolution

Administratorer av Dell Endpoint Security Suite Enterprise eller Dell Threat Defense kan få tilgang til et enkelt sluttpunkt for gjennomgang:

  • Innhold på skadelig programvare
  • Skadelig programvare
  • Type skadelig programvare

En administrator bør bare utføre disse trinnene når han feilsøker hvorfor DEN avanserte TRUSSELFORebyggingsmotoren (ATP) feilklassifiserte en fil. Klikk på Access (Tilgang) eller Review (Se gjennom) for å få mer informasjon.

Access

Tilgang til informasjon om skadelig programvare varierer mellom Windows, macOS og Linux. Hvis du vil ha mer informasjon, kan du klikke på det aktuelle operativsystemet.

Som standard registrerer ikke Windows dyptgående informasjon om skadelig programvare.

  1. Høyreklikk på Windows-startmenyen, og klikk deretter på Kjør.

Kjør

  1. Skriv inn i Kjør-grensesnittet regedit og trykk deretter på CTRL+SHIFT+ENTER. Dette kjører Registerredigering som administrator.

Kjør-brukergrensesnittet

  1. Gå til Registerredigering i Registerredigering HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. Høyreklikk på Skrivebordet i den venstre ruten, og velg deretter Tillatelser.

Tillatelser

  1. Klikk på Advanced (Avansert).

Avansert

  1. Klikk på Owner (Eier).

Eier-kategorien

  1. Klikk på Andre brukere eller grupper.

Andre brukere eller grupper

  1. Søk etter kontoen din i gruppen, og klikk deretter på OK.

Konto valgt

  1. Klikk på OK.

OK

  1. Kontroller at gruppe- eller brukernavnet ditt har full kontroll , og klikk deretter på OK.

SLN310044_en_US__9ddpkm1371i

Merk: I eksempelet er DDP_Admin (trinn 8) medlem av brukergruppen.
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktophøyreklikker du på skrivebordsmappen , velger Ny og klikker deretter på DWORD-verdi (32-biters).

Nytt DWORD

  1. Gi DWORD navnet StatusFileEnabled.

StatusFileEnabled

  1. Dobbeltklikk på StatusFileEnabled.

Rediger DWORD

  1. Fyll ut verdidata med 1 og trykk deretter på OK.

Oppdatert DWORD

  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktophøyreklikker du på skrivebordsmappen , velger Ny og klikker deretter på DWORD-verdi (32-biters).

Nytt DWORD

  1. Gi DWORD navnet StatusFileType.

StatusFileType

  1. Dobbeltklikk på StatusFileType.

Rediger DWORD

  1. Fyll ut verdidata med en av 0 eller 1. Når verdidata er fylt ut, trykker du på OK.

Oppdatert DWORD

Merk: Verdidatavalg:
  • 0 = JSON-filformat
  • 1 = XML-format
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktophøyreklikker du på skrivebordsmappen , velger Ny og klikker deretter på DWORD-verdi (32-biters).

Nytt DWORD

  1. Gi DWORD navnet StatusPeriod.

StatusPeriod

  1. Dobbeltklikk på StatusPeriod.

Rediger DWORD

  1. Fyll ut verdidata med et tall fra 15 Å 60 og klikk deretter på OK.

Oppdatert DWORD

Merk: StatusPeriod er hvor ofte filen skrives.
15 = 15 sekunders intervall
60 = 60 sekunders intervall
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktophøyreklikker du på skrivebordsmappen , velger Ny og klikker deretter på String Value.

Ny streng

  1. Gi strengen et navn StatusFilePath.

StatusFilePath

  1. Dobbeltklikk på StatusFilePath.

Rediger streng

  1. Fyll ut Verdidata med plasseringen du vil skrive statusfilen til, og klikk deretter på OK.

Redigert streng

Merk:
  • Standardbane: <CommonAppData>\Cylance\Status\Status.json
  • Eksempel på bane: C:\ProgramData\Cylance
  • En JSON-fil (JavaScript Object Notation) kan åpnes i et redigeringsprogram for ASCII-tekstdokument.

Dyptgående informasjon om skadelig programvare er i Status.json-filen på:

/Library/Application Support/Cylance/Desktop/Status.json
 
Merk: En JSON-fil (JavaScript Object Notation) kan åpnes i et redigeringsprogram for ASCII-tekstdokument.

Dyptgående informasjon om skadelig programvare er i Status.json-filen på:

/opt/cylance/desktop/Status.json
 
Merk: En JSON-fil (JavaScript Object Notation) kan åpnes i et redigeringsprogram for ASCII-tekstdokument.

Gjennomgang

Innholdet i statusfilen inneholder detaljert informasjon om flere kategorier, inkludert trusler, utnyttelser og skript. Klikk på den aktuelle informasjonen for å lære mer om den.

Statusfilinnhold:

snapshot_time Dato og klokkeslett statusinformasjonen ble samlet inn. Dato og klokkeslett er lokalt for enheten.
ProductInfo
  • version: Advanced Threat Prevention Agent-versjon på enheten
  • last_communicated_timestamp: Dato og klokkeslett for siste kontroll av en agentoppdatering
  • serial_number: Installasjonstoken som brukes til å registrere agenten
  • device_name: Navnet på enheten agenten er installert på
Policy
  • type: Status for om agenten er tilkoblet eller frakoblet
  • id: Unik identifikator for policyen
  • name: Policynavn
ScanState
  • last_background_scan_timestamp: Dato og klokkeslett for siste skanning av trusseloppdagelse i bakgrunnen
  • drives_scanned: Liste over skannede stasjonsbokstaver
Threats
  • count: Antall trusler funnet
  • max: Maksimalt antall trusler i statusfilen
  • Trusselen
    • file_hash_id: Viser HASH-informasjon om SHA256 for trusselen
    • file_md5: MD5-hash
    • file_path: Banen der trusselen ble funnet. Inkluderer filnavnet
    • is_running: Kjører trusselen på enheten for øyeblikket? Sann eller usant
    • auto_run: Er trusselfilen satt til å kjøres automatisk? Sann eller usant
    • file_status: Viser gjeldende tilstand for trusselen, for eksempel Allowed (Tillatt), Running (Kjøring) eller Quarantined (Karantene). Se truslene: FileState-tabell
    • file_type: Viser filtypen, for eksempel Portable Executable (PE), Archive (Arkiv) eller PDF. Se truslene: FileType-tabell
    • score: Viser Cylance-poengsummen. Poengsummen som vises i statusfilen, varierer fra 1000 til -1000. I konsollen er området 100 til –100
    • file_size: Viser filstørrelse, i byte
Exploits
  • count: Antall utnyttelser funnet
  • max: Maksimalt antall utnyttelser i statusfilen
  • Utnytte
    • ProcessId: Viser prosess-ID-en til applikasjonen som er identifisert av minnebeskyttelsen
    • ImagePath: Banen der utnyttelsen stammer fra. Inkluderer filnavnet
    • ImageHash: Viser HASH-informasjon om SHA256 for utnyttelse
    • FileVersion: Viser versjonsnummeret til utnyttelsesfilen
    • Username: Viser navnet på brukeren som ble logget på enheten da utnyttelsen oppsto
    • Groups: Viser gruppen som den påloggede brukeren er tilknyttet
    • Sid: Sikkerhetsidentifikatoren (SID) for den påloggede brukeren
    • ItemType: Viser utnyttelsestypen, som er relatert til typene brudd
    Merk:
    • Staten: Viser gjeldende tilstand for utnyttelsen, for eksempel Allowed (Tillatt), Blocked (Blokkert) eller Terminated (Avsluttet)
    Merk:
    • Se utnyttelsene: Tilstandstabell
    • MemDefVersion: Versjonen av minnebeskyttelsen som brukes til å identifisere utnyttelsen, vanligvis agentversjonsnummeret
    • Count: Antall ganger utnyttelsen forsøkte å kjøre
Scripts
  • count: Antall skript som kjøres på enheten
  • max: Maksimalt antall skript i statusfilen
  • Skript
    • script_path: Banen der skriptet stammer fra. Inkluderer filnavnet
    • file_hash_id: Viser HASH-informasjon om SHA256 for skriptet
    • file_md5: Viser MD5 hash-informasjon for skriptet, hvis tilgjengelig
    • file_sha1: Viser SHA1 hash-informasjon for skriptet, hvis tilgjengelig
    • drive_type: Identifiserer typen stasjon som skriptet stammer fra, for eksempel Fast
    • last_modified: Datoen og klokkeslettet da skriptet sist ble endret
    • interpreter:
      • name: Navnet på skriptkontrollfunksjonen som identifiserte det skadelige skriptet
      • version: Versjonsnummeret til funksjonen for skriptkontroll
    • username: Viser navnet på brukeren som ble logget på enheten da skriptet ble startet
    • groups: Viser gruppen som den påloggede brukeren er tilknyttet
    • sid: Sikkerhetsidentifikatoren (SID) for den påloggede brukeren
    • action: Viser handlingen som utføres på skriptet, for eksempel Allowed (Tillatt), Blocked (Blokkert) eller Terminated (Avsluttet). Se skriptene: Handlingstabell

Trusler har flere numeriske kategorier som skal dechiffreres i File_Status, FileState og FileType. Se den aktuelle kategorien for verdiene som skal tilordnes.

File_Status

Det File_Status feltet er en desimalverdi som beregnes basert på verdiene som aktiveres av FileState (se tabellen i FileState-delen). En desimalverdi på 9 for file_status beregnes for eksempel fra filen som identifiseres som en trussel (0x01), og filen er satt i karantene (0x08).

file_status og file_type

Filstat

Trusler: Filstat

None 0x00
Trusselen 0x01
Mistenkelig 0x02
Tillatt 0x04
Karantene 0x08
Kjører 0x10
Korrupte 0x20

Filtype

Trusler: Filtype

Støttes ikke 0
PE 1
Arkiv 2
PDF 3
OLE 4

Utnyttelser har to numeriske kategorier som skal dechiffreres i både ItemType (Elementtype ) og State (Tilstand).

Elementtype og -tilstand

Se den aktuelle kategorien for verdiene som skal tilordnes.

Varetype

Utnytter: Varetype

StackPivot 1 Stable pivot
StackProtect 2 Stabelbeskyttelse
OverwriteCode 3 Overskrivingskode
OopAllocate 4 Ekstern tilordning av minne
OopMap 5 Ekstern tilordning av minne
OopWrite 6 Ekstern skriving til minne
OopWritePe 7 Ekstern skrive-PE til minne
OopOverwriteCode 8 Ekstern overskrivingskode
OopUnmap 9 Eksternt tilordning av minne
OopThreadCreate 10 Opprettelse av ekstern tråd
OopThreadApc 11 Planlagt ekstern APC
LsassRead 12 LSASS-lesing
TrackDataRead 13 RAM-skraping
CpAllocate 14 Ekstern tilordning av minne
CpMap 15 Ekstern tilordning av minne
CpWrite 16 Ekstern skriving til minne
CpWritePe 17 Ekstern skrive-PE til minne
CpOverwriteCode 18 Ekstern overskrivingskode
CpUnmap 19 Eksternt tilordning av minne
CpThreadCreate 20 Opprettelse av ekstern tråd
CpThreadApc 21 Planlagt ekstern APC
ZeroAllocate 22 Zero Allocate
DyldInjection 23 DYLD-injeksjon
MaliciousPayload 24 Skadelig nyttelast
 
Merk:

Staten

Utnytter: Staten

None 0
Tillatt 1
Blokkert 2
Avsluttet 3

Utnyttelser har en enkelt numerisk basert kategori som skal dechiffreres i Handling.

Handling

Skript: Handling

None 0
Tillatt 1
Blokkert 2
Avsluttet 3

Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: Solution
Last Modified: 20 nov 2023
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.