如何分析 Dell Endpoint Security Suite Enterprise 和 Threat Defense 端點狀態
Resumen: 您可以使用這些指示在 Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 中分析端點狀態。
Este artículo se aplica a
Este artículo no se aplica a
Este artículo no está vinculado a ningún producto específico.
No se identifican todas las versiones del producto en este artículo.
Síntomas
注意:
- 截至 2022 年 5 月,Dell Endpoint Security Suite Enterprise 已達到維護結束的期限。Dell 已不再更新此產品及其文章。
- 截至 2022 年 5 月,Dell Threat Defense 已達到其維護結束時間。Dell 已不再更新此產品及其文章。
- 如需詳細資訊,請參閱 Dell 資料安全性的產品生命週期 (支援結束與生命週期結束) 政策。如果您對其他文章有任何問題,請聯絡您的銷售團隊或聯絡 endpointsecurity@dell.com。
- 請參考端點安全性,以取得有關目前產品的其他資訊。
Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 端點狀態可從特定端點提取,以深入檢閱威脅、利用行為和指令檔。
受影響的產品:
- Dell Endpoint Security Suite Enterprise
- Dell Threat Defense
受影響的平台:
- Windows
- Mac
- Linux
Causa
不適用
Resolución
Dell Endpoint Security Suite Enterprise 或 Dell Threat Defense 系統管理員可存取個別端點以檢閱:
- 惡意軟體內容
- 惡意軟體狀態
- 惡意軟體類型
系統管理員只有在疑難排解進階威脅預防 (ATP) 引擎錯誤分類檔案時,才應執行這些步驟。如需詳細資訊,請按一下 [Access] (存取或 檢閱 )。
存取
在 Windows、macOS 和 Linux 之間對惡意軟體資訊的存取會有所不同。如需詳細資訊,請按一下適當的作業系統。
根據預設,Windows 不會深入記錄惡意軟體資訊。
- 以滑鼠右鍵按一下 Windows 開始功能表,然後按一下執行。
- 在執行 UI 中鍵入
regedit然後按下 CTRL+SHIFT+ENTER這會以管理員的身分執行 Registry Editor。
- 在登錄編輯器中,移至
HKEY_LOCAL_MACHINE\Software\Cylance\Desktop。 - 在左窗格中,以滑鼠右鍵按一下桌面,然後選取權限。
- 按一下進階。
- 按一下擁有者。
- 按一下其他使用者或群組。
- 在群組中搜尋您的帳戶,然後按一下確定。
- 按一下確定。
- 請確定您的群組或使用者名稱已勾選完全控制,然後按一下確定。
注意:在範例中,DDP_Admin (步驟 8) 是使用者群組的成員。
- 在
HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,以滑鼠右鍵按一下 桌面 資料夾,選取 「New」,然後按一下 DWORD (32 位) 值。
- 為 DWORD 命名
StatusFileEnabled。
- 按兩下 StatusFileEnabled。
- 使用
1然後按 「OK」。
- 在
HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,以滑鼠右鍵按一下 桌面 資料夾,選取 「New」,然後按一下 DWORD (32 位) 值。
- 為 DWORD 命名
StatusFileType。
- 按兩下 StatusFileType。
- 使用任一種資料填入價值資料
0或1。填入值資料後,按下確定。
注意:值資料選擇:
0= JSON 檔案格式1= XML 格式
- 在
HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,以滑鼠右鍵按一下 桌面 資料夾,選取 「New」,然後按一下 DWORD (32 位) 值。
- 為 DWORD 命名
StatusPeriod。
- 按兩下 StatusPeriod。
- 以各種數量填入價值資料
15變更為60然後按一下 「OK」。
注意:StatusPeriod 是寫入檔案的頻率。
15 = 15 秒間隔
60 = 60 秒間隔
15 = 15 秒間隔
60 = 60 秒間隔
- 在
HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,以滑鼠右鍵按一下 桌面 資料夾,選取 「新增」,然後按一下String Value。
- 命名字串
StatusFilePath。
- 按兩下 StatusFilePath。
- 將值資料填入要寫入狀態檔案的位置,然後按一下確定。
注意:
- 預設路徑:
<CommonAppData>\Cylance\Status\Status.json - 範例路徑:
C:\ProgramData\Cylance - 可在 ASCII 文字文件編輯器中開啟 .json (JavaScript 物件標記法) 檔案。
Status.json 檔案中包含深入的惡意軟體資訊,位置在:
/Library/Application Support/Cylance/Desktop/Status.json
注意:可在 ASCII 文字文件編輯器中開啟 .json (JavaScript 物件標記法) 檔案。
Status.json 檔案中包含深入的惡意軟體資訊,位置在:
/opt/cylance/desktop/Status.json
注意:可在 ASCII 文字文件編輯器中開啟 .json (JavaScript 物件標記法) 檔案。
檢閱
狀態檔案的內容包含多個類別的詳細資訊,包括威脅、惡意探索和 指令檔。按一下適當的資訊以深入瞭解。
狀態檔案內容:
snapshot_time |
收集狀態資訊的日期和時間。日期和時間是裝置的本機資訊。 |
ProductInfo |
|
Policy |
|
ScanState |
|
Threats |
|
Exploits |
|
Scripts |
|
威脅有多個數位型類別要在 File_Status、 FileState和 FileType中解譯。請參考要指派值的適當類別。
File_Status
File_Status欄位是根據 FileState 啟用的值計算十進位值 (請參閱 FileState 一節中的表格)。例如,從識別為威脅 (0x01) 的檔案中為 file_status 計算 9 的十進位值,且該檔案已隔離 (0x08)。
FileState
Threats: FileState
| 無 | 0x00 |
| 威脅 | 0x01 |
| 可疑 | 0x02 |
| 已允許 | 0x04 |
| 已隔離 | 0x08 |
| 執行中 | 0x10 |
| 損毀 | 0x20 |
FileType
Threats: FileType
| 不支援 | 0 |
| PE | 1 |
| 歸檔 | 2 |
| 3 | |
| OLE | 4 |
惡意探索具有兩個以數字為基礎的類別在 ItemType 和狀態中解碼。
請參考要指派值的適當類別。
ItemType
Exploits: ItemType
StackPivot |
1 | 堆疊轉動 |
StackProtect |
2 | 堆疊保護 |
OverwriteCode |
3 | 覆寫程式碼 |
OopAllocate |
4 | 遠端配置記憶體 |
OopMap |
5 | 遠端對應記憶體 |
OopWrite |
6 | 遠端寫入至記憶體 |
OopWritePe |
7 | 遠端寫入 PE 至記憶體 |
OopOverwriteCode |
8 | 遠端覆寫程式碼 |
OopUnmap |
9 | 遠端取消對應記憶體 |
OopThreadCreate |
10 | 遠端建立執行緒 |
OopThreadApc |
11 | 遠端排程 APC |
LsassRead |
12 | LSASS 讀取 |
TrackDataRead |
13 | RAM 消除 |
CpAllocate |
14 | 遠端配置記憶體 |
CpMap |
15 | 遠端對應記憶體 |
CpWrite |
16 | 遠端寫入至記憶體 |
CpWritePe |
17 | 遠端寫入 PE 至記憶體 |
CpOverwriteCode |
18 | 遠端覆寫程式碼 |
CpUnmap |
19 | 遠端取消對應記憶體 |
CpThreadCreate |
20 | 遠端建立執行緒 |
CpThreadApc |
21 | 遠端排程 APC |
ZeroAllocate |
22 | 零分配 |
DyldInjection |
23 | DYLD 注入 |
MaliciousPayload |
24 | 惡意裝載 |
注意:
Oop參考程式外Cp參考副程式- 如需違規類型的詳細資訊,請參閱 Dell Endpoint Security Suite Enterprise Memory Protection 類別定義。
狀態
Exploits: 狀態
| 無 | 0 |
| 已允許 | 1 |
| 已封鎖 | 2 |
| 已終止 | 3 |
惡意探索具有單一以數字為基礎的類別在動作中解碼。
指令檔:動作
| 無 | 0 |
| 已允許 | 1 |
| 已封鎖 | 2 |
| 已終止 | 3 |
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
Información adicional
Videos
Productos afectados
Dell Threat Defense, Dell Endpoint Security Suite EnterprisePropiedades del artículo
Número del artículo: 000124896
Tipo de artículo: Solution
Última modificación: 20 nov 2023
Versión: 12
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.