Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos

Comment analyser l’état de Dell Endpoint Security Suite Enterprise et de Threat Defense Endpoint

Resumen: L’état des points de terminaison peut être analysé dans Dell Endpoint Security Suite Enterprise et Dell Threat Defense à l’aide de ces instructions.

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Síntomas

Remarque :
  • depuis mai 2022, Dell Endpoint Security Suite Enterprise n’est plus couvert par les services de maintenance. Ce produit et ses articles ne sont plus mis à jour par Dell.
  • depuis mai 2022, Dell Threat Defense n’est plus couvert par les services de maintenance. Ce produit et ses articles ne sont plus mis à jour par Dell.
  • Pour plus d’informations, consultez la politique de cycle de vie du produit (fin de support et fin de vie) pour Dell Data Security. Si vous avez des questions concernant des articles, contactez votre équipe des ventes ou endpointsecurity@dell.com.
  • Consultez l’article sur la sécurité des points de terminaison pour plus d’informations sur les produits actuels.

Les états des points de terminaison Dell Endpoint Security Suite Enterprise et Dell Threat Defense peuvent être retirés d’un point de terminaison spécifique pour une analyse approfondie des menaces, des exploits et des scripts.


Produits concernés :

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Plates-formes concernées :

  • Windows
  • Mac
  • Linux

Causa

Sans objet

Resolución

Les administrateurs Dell Endpoint Security Suite Enterprise ou Dell Threat Defense peuvent accéder à un point de terminaison individuel pour vérifier :

  • Le contenu des logiciels malveillants
  • L’état des logiciels malveillants
  • Le type de logiciels malveillants

Un administrateur ne doit effectuer ces étapes que lors du dépannage des raisons pour lesquelles le moteur ATP (Advanced Threat Prevention) a mal classé un fichier. Cliquez sur Access ou Review pour plus d’informations.

Accès

L’accès aux informations relatives aux logiciels malveillants varie entre Windows,macOSet Linux. Pour plus d’informations, cliquez sur le système d’exploitation approprié.

Par défaut, Windows n’enregistre pas les informations détaillées relatives aux logiciels malveillants.

  1. Cliquez avec le bouton droit de la souris sur le menu Démarrer de Windows, puis cliquez sur Exécuter.

Exécuter

  1. Dans l’interface d’exécution, saisissez regedit puis appuyez sur CTRL + MAJ + ENTRÉE. Cette commande permet d’exécuter l’éditeur du registre en tant qu’administrateur.

Interface d’exécution

  1. Dans l’Éditeur du Registre, accédez à HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. Dans le volet de gauche, cliquez avec le bouton droit de la souris sur Bureau, puis sélectionnez Autorisations.

Autorisations

  1. Cliquez sur Advanced (Avancé).

Advanced (Avancé)

  1. Cliquez sur Propriétaire.

Onglet Owner

  1. Cliquez sur Autres utilisateurs ou groupes.

Autres utilisateurs ou groupes.

  1. Recherchez votre compte dans le groupe, puis cliquez sur OK.

Compte sélectionné

  1. Cliquez sur OK.

OK

  1. Assurez-vous que la case Contrôle total est cochée pour votre groupe ou nom d’utilisateur, puis cliquez sur OK.

SLN310044_en_US__9ddpkm1371i

Remarque : dans cet exemple, DDP_Admin (étape 8) est membre du groupe Utilisateurs.
  1. À HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, cliquez avec le bouton droit de la souris sur le dossier Bureau, sélectionnez Nouveau, puis cliquez sur Valeur DWORD (32 bits).

Nouveau DWORD

  1. Nommez le DWORD StatusFileEnabled.

StatusFileEnabled

  1. Double-cliquez sur StatusFileEnabled.

Modifier le DWORD

  1. Renseignez les données de valeur avec 1 puis appuyez sur OK.

DWORD mis à jour

  1. À HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, cliquez avec le bouton droit de la souris sur le dossier Bureau, sélectionnez Nouveau, puis cliquez sur Valeur DWORD (32 bits).

Nouveau DWORD

  1. Nommez le DWORD StatusFileType.

StatusFileType

  1. Double-cliquez sur StatusFileType.

Modifier le DWORD

  1. Renseignez les données de valeur avec l’une ou l’autre des 0 ou 1. Une fois que les données de valeur ont été renseignées, appuyez sur OK.

DWORD mis à jour

Remarque : Choix de données de valeur :
  • 0 = format de fichier JSON
  • 1 = format XML
  1. À HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, cliquez avec le bouton droit de la souris sur le dossier Bureau, sélectionnez Nouveau, puis cliquez sur Valeur DWORD (32 bits).

Nouveau DWORD

  1. Nommez le DWORD StatusPeriod.

StatusPeriod

  1. Double-cliquez sur StatusPeriod.

Modifier le DWORD

  1. Renseignez les données de valeur avec un nombre allant de 15 to 60 puis cliquez sur OK.

DWORD mis à jour

Remarque : StatusPeriod correspond à la fréquence d’écriture du fichier.
15 = intervalle de 15 secondes
60 = intervalle de 60 secondes
  1. À HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, cliquez avec le bouton droit de la souris sur le dossier Bureau , sélectionnez Nouveau, puis cliquez sur String Value.

Nouvelle chaîne

  1. Nommer la chaîne StatusFilePath.

StatusFilePath

  1. Double-cliquez sur StatusFilePath.

Modifier la chaîne

  1. Renseignez les données de valeur avec l’emplacement d’écriture du fichier d’état, puis cliquez sur OK.

Chaîne modifiée

Remarque :
  • Chemin par défaut : <CommonAppData>\Cylance\Status\Status.json
  • Exemple de chemin : C:\ProgramData\Cylance
  • Les fichiers .json (JavaScript Object Notation) s’ouvrent avec un éditeur de document texte ASCII.

Les informations détaillées relatives aux logiciels malveillants se trouvent dans le fichier Status.json à l’emplacement :

/Library/Application Support/Cylance/Desktop/Status.json
 
Remarque : Les fichiers .json (JavaScript Object Notation) s’ouvrent avec un éditeur de document texte ASCII.

Les informations détaillées relatives aux logiciels malveillants se trouvent dans le fichier Status.json à l’emplacement :

/opt/cylance/desktop/Status.json
 
Remarque : Les fichiers .json (JavaScript Object Notation) s’ouvrent avec un éditeur de document texte ASCII.

Révision

Le contenu du fichier d’état inclut des informations détaillées sur plusieurs catégories, notamment les menaces, les exploits et les scripts. Cliquez sur les informations appropriées pour en savoir plus.

Contenu du fichier d’état :

snapshot_time date et l’heure auxquelles les informations d’état ont été collectées. La date et l’heure correspondent à celles configurées sur l’appareil.
ProductInfo
  • version: Version de l’agent Advanced Threat Prevention sur l’appareil
  • last_communicated_timestamp: Date et heure de la dernière vérification d’une mise à jour de l’agent
  • serial_number: Jeton d’installation utilisé pour enregistrer l’agent
  • device_name: Nom du périphérique sur lequel l’agent est installé
Policy
  • type: État de l’agent en ligne ou hors ligne
  • id: Identifiant unique de la stratégie
  • name: Nom de la politique
ScanState
  • last_background_scan_timestamp: Date et heure de la dernière analyse de détection des menaces en arrière-plan
  • drives_scanned: Liste des lettres de lecteur analysées
Threats
  • count: Nombre de menaces détectées
  • max: Nombre maximal de menaces dans le fichier d’état
  • Menace
    • file_hash_id: Affiche les informations de hachage SHA256 pour la menace
    • file_md5: Hachage MD5
    • file_path: chemin d’accès à la menace. Inclut le nom du fichier
    • is_running: la menace est-elle en cours d’exécution sur l’appareil ? Vrai ou faux
    • auto_run: le jeu de fichiers de menaces est-il configuré pour s’exécuter automatiquement ? Vrai ou faux
    • file_status: affiche l’état actuel de la menace, par exemple Autorisé, En cours d’exécution ou Mis en quarantaine. Consultez le tableau Menaces : Table FileState
    • file_type: Affiche le type de fichier, tel que Portable Executable (PE), Archive ou PDF. Consultez le tableau Menaces : Table FileType
    • score: affiche l’indice Cylance. L’indice affiché dans le fichier d’état est compris entre 1 000 et -1 000. Dans la console, la plage est comprise entre 100 et -100
    • file_size: Affiche la taille du fichier, en octets
Exploits
  • count: Nombre d’exploits détectés
  • max: Nombre maximal d’exploits dans le fichier d’état
  • Exploit
    • ProcessId: Affiche l’ID de processus de l’application identifiée par la protection de la mémoire
    • ImagePath: chemin d’accès de l’emplacement d’origine de l’exploit. Inclut le nom du fichier
    • ImageHash: Affiche les informations de hachage SHA256 pour l’exploit
    • FileVersion: Affiche le numéro de version du fichier exploit
    • Username: Affiche le nom de l’utilisateur qui a été connecté au périphérique lorsque l’exploit s’est produit
    • Groups: Affiche le groupe auquel l’utilisateur connecté est associé
    • Sid: Identifiant de sécurité (SID) de l’utilisateur connecté
    • ItemType: Affiche le type d’exploit, qui se rapporte aux types de violation
    Remarque :
    • State: Affiche l’état actuel de l’exploit, par exemple Autorisé, Bloqué ou Arrêté
    Remarque :
    • Consultez le tableau Exploits : Tableau d’état
    • MemDefVersion: Version de la protection de la mémoire utilisée pour identifier l’exploit, généralement le numéro de version de l’agent
    • Count: Nombre de tentatives d’exécution de l’exploit
Scripts
  • count: Nombre de scripts exécutés sur le périphérique
  • max: Nombre maximal de scripts dans le fichier d’état
  • Script
    • script_path: chemin d’accès de l’emplacement d’origine du script. Inclut le nom du fichier
    • file_hash_id: Affiche les informations de hachage SHA256 du script
    • file_md5: Affiche les informations de hachage MD5 du script, le cas échéant.
    • file_sha1: Affiche les informations de hachage SHA1 du script, le cas échéant.
    • drive_type: Identifie le type de disque d’où provient le script, comme Fixed
    • last_modified: Date et heure de la dernière modification du script
    • interpreter:
      • name: Nom de la fonction de contrôle des scripts qui a identifié le script malveillant
      • version: Numéro de version de la fonction de contrôle des scripts
    • username: Affiche le nom de l’utilisateur qui a été connecté au périphérique lors du lancement du script.
    • groups: Affiche le groupe auquel l’utilisateur connecté est associé
    • sid: Identifiant de sécurité (SID) de l’utilisateur connecté
    • action: Affiche l’action effectuée sur le script, par exemple Autorisé, Bloqué ou Terminé. Consultez le tableau Scripts : Tableau des actions

Les menaces ont plusieurs catégories numériques à déchiffrer en File_Status, FileState et FileType. Référencez la catégorie appropriée pour les valeurs à attribuer.

File_Status

Le champ File_Status est une valeur décimale calculée en fonction des valeurs activées par FileState (voir le tableau dans la section FileState). Par exemple, une valeur décimale de 9 pour file_status est calculée à partir de l’identification du fichier comme menace (0x01) et de sa mise en quarantaine (0x08).

file_status et file_type

FileState

Menaces : FileState

Aucune 0x00
Menace 0x01
Suspect 0x02
Autorisé 0x04
Mis en quarantaine 0x08
En cours d’exécution 0x10
Corrompu 0x20

FileType

Menaces : FileType

Non prise en charge 0
PE 1
Archive 2
PDF 3
OLE 4

Il existe deux catégories de menaces basées sur des chiffres qu’il faut aller chercher dans ItemType et State.

ItemType et State

Référencez la catégorie appropriée pour les valeurs à attribuer.

ItemType

Exploits : ItemType

StackPivot 1 Falsification de la pile
StackProtect 2 Protection de la pile
OverwriteCode 3 Écrasement du code
OopAllocate 4 Allocation de mémoire à distance
OopMap 5 Mappage à distance de la mémoire
OopWrite 6 Écriture à distance dans la mémoire
OopWritePe 7 Écriture de PE à distance dans la mémoire
OopOverwriteCode 8 Écrasement à distance du code
OopUnmap 9 Démappage à distance de la mémoire
OopThreadCreate 10 Création à distance de threads
OopThreadApc 11 APC planifié à distance
LsassRead 12 Lecture LSASS
TrackDataRead 13 Grattage de mémoire
CpAllocate 14 Allocation de mémoire à distance
CpMap 15 Mappage à distance de la mémoire
CpWrite 16 Écriture à distance dans la mémoire
CpWritePe 17 Écriture de PE à distance dans la mémoire
CpOverwriteCode 18 Écrasement à distance du code
CpUnmap 19 Démappage à distance de la mémoire
CpThreadCreate 20 Création à distance de threads
CpThreadApc 21 APC planifié à distance
ZeroAllocate 22 Aucune allocation
DyldInjection 23 Injection DYLD
MaliciousPayload 24 Charge utile malveillante
 
Remarque :

État

Exploits : État

Aucune 0
Autorisé 1
Bloqué 2
Terminé 3

Il existe une seule catégorie d’exploit basée sur des chiffres qu’il faut aller chercher dans Action.

Action

Scripts : Action

Aucune 0
Autorisé 1
Bloqué 2
Terminé 3

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Información adicional

   

Videos

   

Productos afectados

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Propiedades del artículo
Número del artículo: 000124896
Tipo de artículo: Solution
Última modificación: 20 nov 2023
Versión:  12
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.