Analiza stanu punktu końcowego obrony przed zagrożeniem rozwiązania Dell Endpoint Security Suite Enterprise

Tabla de contenido

Artículo detallado

Síntomas

Causa

Resolución

Información adicional

Videos

Productos afectados

Deje sus comentarios

Resumen: Stan punktów końcowych można przeanalizować w rozwiązaniu Dell Endpoint Security Suite Enterprise i Dell Threat Defense na podstawie tych instrukcji.

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Consulte estos recursos

Síntomas

Uwaga:

Od maja 2022 r. oprogramowanie Dell Endpoint Security Suite Enterprise osiągnęło koniec konserwacji. Ten produkt i związane z nim artykuły nie są już aktualizowane przez Dell.
W maju 2022 r. oprogramowanie Dell Threat Defense osiągnęło koniec konserwacji. Ten produkt i związane z nim artykuły nie są już aktualizowane przez Dell.
Aby uzyskać więcej informacji, należy zapoznać się z zasadami cyklu eksploatacji produktu (koniec wsparcia technicznego i koniec eksploatacji) w zakresie bezpieczeństwa danych firmy Dell. Jeśli masz pytania dotyczące innych artykułów, skontaktuj się z działem sprzedaży lub napisz wiadomość na adres endpointsecurity@dell.com.
Aby uzyskać dodatkowe informacje na temat obecnych produktów, zapoznaj się z artykułem Endpoint Security.

Statusy punktów końcowych Dell Endpoint Security Suite Enterprise i Dell Threat Defense można pobierać z określonego punktu końcowego w celu szczegółowego przeglądu zagrożeń, wykorzystania i skryptów.

Dotyczy produktów:

Dell Endpoint Security Suite Enterprise
Dell Threat Defense

Dotyczy platform:

Windows
Mac
Linux

Causa

Nie dotyczy

Resolución

Administratorzy rozwiązania Dell Endpoint Security Suite Enterprise lub Dell Threat Defense mogą uzyskać dostęp do pojedynczego punktu końcowego w celu sprawdzenia:

zawartości złośliwego oprogramowania
stanu złośliwego oprogramowania
typu złośliwego oprogramowania

Administrator powinien wykonać te czynności tylko w przypadku rozwiązywania problemów z nieprawidłową klasyfikacją pliku przez zaawansowany mechanizm zapobiegania zagrożeniom (ATP). Aby uzyskać więcej informacji, kliknij opcję Access (Dostęp) lub Review (Sprawdź ).

Access

Dostęp do informacji o złośliwym oprogramowaniu różni się w zależności od systemu Windows, macOS i Linux. Aby uzyskać więcej informacji, kliknij odpowiedni system operacyjny.

Windows

Domyślnie system Windows nie rejestruje szczegółowych informacji o złośliwym oprogramowaniu.

Prawym przyciskiem myszy kliknij menu Start systemu Windows, a następnie kliknij opcję Uruchom.

W menu Uruchom wpisz regedit a następnie naciśnij kombinację klawiszy CTRL + SHIFT + ENTER. Edytor rejestru zostanie uruchomiony jako administrator.

W Edytorze rejestru przejdź do HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
W lewym okienku kliknij prawym przyciskiem myszy punkt Pulpit, a następnie wybierz opcję Pozwolenia.

Kliknij opcję Advanced (Zaawansowane).

Kliknij opcję Właściciel.

Kliknij opcję Inni użytkownicy i grupy.

Wyszukaj swoje konto w grupie, a następnie kliknij OK.

Kliknij przycisk OK.

Upewnij się, że grupa lub nazwa użytkownika ma zaznaczoną opcję Pełna kontrola, a następnie kliknij OK.

Uwaga: W tym przykładzie DDP_Admin (krok 8) należy do grupy Użytkownicy.

O HKEY_LOCAL_MACHINE\Software\Cylance\Desktopkliknij prawym przyciskiem myszy folder Pulpit , wybierz opcję Nowy, a następnie kliknij wartość DWORD (32-bitowa).

Nadaj dwordowi nazwę StatusFileEnabled.

Kliknij dwukrotnie StatusFileEnabled.

Wypełnij dane wartości za pomocą 1 a następnie naciśnij przycisk OK.

O HKEY_LOCAL_MACHINE\Software\Cylance\Desktopkliknij prawym przyciskiem myszy folder Pulpit , wybierz opcję Nowy, a następnie kliknij wartość DWORD (32-bitowa).

Nadaj dwordowi nazwę StatusFileType.

Kliknij dwukrotnie StatusFileType.

Wypełnij dane wartości 0 lub 1. Po wypełnieniu danych wartości naciśnij OK.

Uwaga: Wyboru danych wartości:

0 = format pliku JSON
1 = Format XML

O HKEY_LOCAL_MACHINE\Software\Cylance\Desktopkliknij prawym przyciskiem myszy folder Pulpit , wybierz opcję Nowy, a następnie kliknij wartość DWORD (32-bitowa).

Nadaj dwordowi nazwę StatusPeriod.

Kliknij dwukrotnie StatusPeriod.

Wypełnij dane wartości liczbą od 15 na 60 a następnie kliknij przycisk OK.

Uwaga: StatusPeriod to często zapisywany plik.
15 = 15-sekundowy interwał
60 = interwał 60 sekund

O HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, kliknij prawym przyciskiem myszy folder Pulpit , wybierz opcję Nowy, a następnie kliknij String Value.

Nazwij ciąg znaków StatusFilePath.

Kliknij dwukrotnie StatusFilePath.

Wpisz w polu Dane wartości lokalizację do zapisania pliku stanu, a następnie kliknij OK.

Uwaga:

Domyślna ścieżka: <CommonAppData>\Cylance\Status\Status.json
Przykładowa ścieżka: C:\ProgramData\Cylance
Plik .json (JavaScript Object Notation) można otworzyć w edytorze dokumentów tekstowych ASCII.

macOS

Szczegółowe informacje o złośliwym oprogramowaniu znajdują się w pliku Status.json pod adresem:

/Library/Application Support/Cylance/Desktop/Status.json

Uwaga: Plik .json (JavaScript Object Notation) można otworzyć w edytorze dokumentów tekstowych ASCII.

Linux

Szczegółowe informacje o złośliwym oprogramowaniu znajdują się w pliku Status.json pod adresem:

/opt/cylance/desktop/Status.json

Uwaga: Plik .json (JavaScript Object Notation) można otworzyć w edytorze dokumentów tekstowych ASCII.

Analiza

Zawartość pliku stanu zawiera szczegółowe informacje na temat wielu kategorii, w tym zagrożeń, wykorzystania luk i skryptów. Kliknij odpowiednie informacje, aby dowiedzieć się więcej na ten temat.

Spis treści

Zawartość pliku stanu:

`snapshot_time`	Data i godzina zebrania informacji o stanie. Data i godzina są lokalne dla urządzenia.
`ProductInfo`	`version`: Wersja agenta Advanced Threat Prevention na urządzeniu `last_communicated_timestamp`: Data i godzina ostatniego sprawdzania aktualizacji agenta `serial_number`: Token instalacji używany do rejestracji agenta `device_name`: Nazwa urządzenia zainstalowanego przez agenta
`Policy`	`type`: Status tego, czy agent jest w trybie online czy offline `id`: Unikatowy identyfikator zasady `name`: Nazwa zasady
`ScanState`	`last_background_scan_timestamp`: Data i godzina ostatniego skanowania wykrywania zagrożeń w tle `drives_scanned`: Lista zeskanowanych liter napędów
`Threats`	`count`: Liczba znalezionych zagrożeń `max`: Maksymalna liczba zagrożeń w pliku statusu Zagrożenie `file_hash_id`: Wyświetla informacje o skrótach SHA256 dla zagrożenia `file_md5`: Skrót MD5 `file_path`: Ścieżka, w której znaleziono zagrożenie. Zawiera nazwę pliku `is_running`: Czy zagrożenie obecnie występuje na urządzeniu? Prawda lub fałsz `auto_run`: Czy plik zagrożenia jest uruchamiany automatycznie? Prawda lub fałsz `file_status`: Wyświetla bieżący stan zagrożenia, np. dozwolony, uruchomiony lub poddany kwarantannie. Patrz Zagrożenia: Tabela FileState `file_type`: Wyświetla typ pliku, np. Portable Executable (PE), Archive lub PDF. Patrz Zagrożenia: Tabela FileType `score`: Wyświetla wynik Cylance. Wynik wyświetlany w pliku statusu wynosi od 1000 do -1000. W konsoli zakres wynosi od 100 do -100 `file_size`: Wyświetla rozmiar pliku w bajtach
`Exploits`	`count`: Liczba znalezionych wykorzystania `max`: Maksymalna liczba exploitów w pliku statusu Exploit `ProcessId`: Wyświetla identyfikator procesu aplikacji zidentyfikowanej przez ochronę pamięci `ImagePath`: Ścieżka, z której pochodzi wykorzystanie luki. Zawiera nazwę pliku `ImageHash`: Wyświetla informacje o skrótach SHA256 dla wykorzystania `FileVersion`: Wyświetla numer wersji pliku wykorzystania `Username`: Wyświetla nazwę użytkownika, który zalogował się do urządzenia w momencie wykorzystania `Groups`: Wyświetla grupę, z która jest powiązany zalogowany użytkownik `Sid`: Identyfikator zabezpieczeń (SID) dla zalogowanego użytkownika `ItemType`: Wyświetla typ wykorzystania, który dotyczy typów naruszeń Uwaga: Patrz Wykorzystanie luk: Tabela typów elementów Listę typów naruszeń można sprawdzić w definicjach kategorii Ochrona pamięci Enterprise rozwiązania Dell Endpoint Security Suite. State: Wyświetla bieżący stan wykorzystania, np. Dozwolony, Zablokowany lub Zakończony Uwaga: Patrz Wykorzystanie luk: Tabela stanu `MemDefVersion`: Wersja ochrony pamięci używana do identyfikacji wykorzystania, zazwyczaj numer wersji agenta `Count`: Liczba prób wykorzystania
`Scripts`	`count`: Liczba skryptów uruchamianych na urządzeniu `max`: Maksymalna liczba skryptów w pliku statusu Script `script_path`: Ścieżka, z której pochodzi skrypt. Zawiera nazwę pliku `file_hash_id`: Wyświetla informacje o skrótach SHA256 dla skryptu `file_md5`: Wyświetla informacje o skrótach MD5 dla skryptu, jeśli są dostępne `file_sha1`: Wyświetla informacje skrótu SHA1 dla skryptu, jeśli są dostępne `drive_type`: Określa typ dysku, z którego pochodzi skrypt, na przykład Fixed `last_modified`: Data i godzina ostatniej modyfikacji skryptu `interpreter`: `name`: Nazwa funkcji kontroli skryptów, która zidentyfikowała złośliwy skrypt `version`: Numer wersji funkcji kontroli skryptów `username`: Wyświetla nazwę użytkownika, który zalogował się do urządzenia po uruchomieniu skryptu `groups`: Wyświetla grupę, z która jest powiązany zalogowany użytkownik `sid`: Identyfikator zabezpieczeń (SID) dla zalogowanego użytkownika `action`: Wyświetla działanie podjęte w skrypcie, takie jak Dozwolone, Zablokowane lub Zakończone. Patrz Skrypty: Tabela działań

Zagrożeniami

Zagrożenia mają wiele kategorii opartych na numerach do odszyfrowania w File_Status, FileState i FileType. Zapoznaj się z odpowiednią kategorią dla wartości, które mają zostać przypisane.

File_Status

Pole File_Status jest wartością dziesiętną obliczoną na podstawie wartości włączonych przez filestate (patrz tabela w sekcji FileState). Na przykład wartość dziesiętna 9 dla statusu_pliku jest obliczana na podstawie pliku zidentyfikowanego jako zagrożenie (0x01), gdzie plik został poddany kwarantannie (0x08).

Stan pliku

Zagrożenia: Stan pliku

None	0x00
Zagrożenie	0x01
Podejrzany	0x02
Dozwolone	0x04
Na kwarantannie	0x08
Działa	0x10
Uszkodzony	0x20

Typ pliku

Zagrożenia: Typ pliku

Brak obsługi	0
PE	1
Archiwalny	2
PDF	3
OLE	4

Wykorzystania luk

Wykorzystania luk mają dwie kategorie numeryczne, które należy odszyfrować zarówno w zakresie typu elementu i stanu.

Zapoznaj się z odpowiednią kategorią dla wartości, które mają zostać przypisane.

Typ elementu

Wykorzystania luk: Typ elementu

`StackPivot`	1	Obracanie stosu
`StackProtect`	2	Ochrona stosu
`OverwriteCode`	3	Nadpisywanie kodu
`OopAllocate`	4	Zdalna alokacja pamięci
`OopMap`	5	Zdalne mapowanie pamięci
`OopWrite`	6	Zdalny zapis do pamięci
`OopWritePe`	7	Zdalny zapis PE do pamięci
`OopOverwriteCode`	8	Kod nadpisania zdalnego
`OopUnmap`	9	Zdalne usuwanie mapowania pamięci
`OopThreadCreate`	10	Tworzenie wątku zdalnego
`OopThreadApc`	11	Zaplanowano zdalne APC
`LsassRead`	12	Odczyt LSASS
`TrackDataRead`	13	RAM Scraping
`CpAllocate`	14	Zdalna alokacja pamięci
`CpMap`	15	Zdalne mapowanie pamięci
`CpWrite`	16	Zdalny zapis do pamięci
`CpWritePe`	17	Zdalny zapis PE do pamięci
`CpOverwriteCode`	18	Kod nadpisania zdalnego
`CpUnmap`	19	Zdalne usuwanie mapowania pamięci
`CpThreadCreate`	20	Tworzenie wątku zdalnego
`CpThreadApc`	21	Zaplanowano zdalne APC
`ZeroAllocate`	22	Alokacja zero
`DyldInjection`	23	Wprowadzanie DYLD
`MaliciousPayload`	24	Szkodliwe obciążenie

Uwaga:

Oop odwołania poza procesem
Cp odwołania do procesu podrzędnego
Aby uzyskać więcej informacji na temat typów naruszeń, zapoznaj się z tematem Definicje kategorii ochrony pamięci rozwiązania Dell Endpoint Security Suite Enterprise.

Stan

Wykorzystania luk: Stan

None	0
Dozwolone	1
Zablokowany	2
Zakończony	3

Skrypty

Wykorzystania luk mają jedną kategorię numeryczną, którą należy odszyfrować w zakresie działania.

Skrypty: Czynność

None	0
Dozwolone	1
Zablokowany	2
Zakończony	3

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

Información adicional

Videos

Productos afectados

Dell Threat Defense, Dell Endpoint Security Suite Enterprise

Número del artículo: 000124896

Tipo de artículo: Solution

Última modificación: 20 nov 2023

Versión: 12

Compruebe si el dispositivo está cubierto por los servicios de soporte.

Analiza stanu punktu końcowego obrony przed zagrożeniem rozwiązania Dell Endpoint Security Suite Enterprise