Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Sådan analyserer du status for Dell Endpoint Security Suite Enterprise og Threat Defense-slutpunkt

Résumé: Slutpunktsstatusser kan analyseres i Dell Endpoint Security Suite Enterprise og Dell Threat Defense vha. denne vejledning.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Symptômes

Bemærk:
  • Fra og med maj 2022 har Dell Endpoint Security Suite Enterprise nået slutningen af vedligeholdelsen. Dette produkt og dets artikler opdateres ikke længere af Dell.
  • Fra og med maj 2022 har Dell Threat Defense nået slutningen af vedligeholdelsen. Dette produkt og dets artikler opdateres ikke længere af Dell.
  • Du kan få flere oplysninger ved at se produktets livscykluspolitik for Dell Data Security (udfasning og udfasning). Hvis du har spørgsmål til alternative artikler, kan du kontakte din salgsafdeling eller endpointsecurity@dell.com.
  • Se Slutpunktssikkerhed for at få yderligere oplysninger om aktuelle produkter.

Dell Endpoint Security Suite Enterprise og Dell Threat Defense-slutpunktsstatusser kan trækkes fra et specifikt slutpunkt for en dybdegående gennemgang af trusler, udnyttelser og scripts.


Berørte produkter:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Berørte platforme:

  • Windows
  • Mac
  • Linux

Cause

Ikke relevant

Résolution

Dell Endpoint Security Suite Enterprise- eller Dell Threat Defense-administratorer kan få adgang til et individuelt slutpunkt for at gennemse:

  • Malwareindhold
  • Malwaretilstand
  • Malwaretype

En administrator bør kun udføre disse trin, når du foretager fejlfinding af, hvorfor ATP-programmet (Advanced Threat Prevention) har fejlklassificering af en fil. Klik på Åbn eller Gennemse for at få flere oplysninger.

Access

Adgangen til malware-oplysninger varierer mellem Windows, macOS og Linux. Du finder flere oplysninger ved at klikke på det pågældende operativsystem.

Windows registrerer som standard ikke dybdegående malwareoplysninger.

  1. Højreklik på startmenuen i Windows, og klik herefter på Kør.

Kør

  1. I brugergrænsefladen Kør skal du skrive regedit og derefter trykke på CTRL+SHIFT+ENTER. Dette kører registreringsdatabasens redigeringsprogram som admin.

Brugergrænsefladen Kør

  1. I registreringsdatabasens redigeringsprogram skal du gå til HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. Højreklik på Skrivebord i venstre rude, og vælg derefter Tilladelser.

Tilladelser

  1. Klik på Advanced.

Avanceret

  1. Klik på Ejer.

Fanen Ejer

  1. Klik på Andre brugere eller grupper.

Andre brugere eller grupper

  1. Søg efter din konto i gruppen, og klik derefter på OK.

Konto valgt

  1. Klik på OK.

OK

  1. Kontroller, at din gruppe eller dit brugernavn har Fuld kontrol, og klik derefter på OK.

SLN310044_en_US__9ddpkm1371i

Bemærk: I eksemplet er DDP_Admin (trin 8) medlem af gruppen Brugere.
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktopskal du højreklikke på mappen Skrivebord, vælge Ny og derefter klikke på DWORD-værdi (32-bit).

Nyt DWORD

  1. Navngiv DWORD StatusFileEnabled.

StatusFileEnabled

  1. Dobbeltklik på StatusFileEnabled.

Rediger DWORD

  1. Udfyld Værdidata med 1 og derefter trykke på OK.

Opdateret DWORD

  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktopskal du højreklikke på mappen Skrivebord, vælge Ny og derefter klikke på DWORD-værdi (32-bit).

Nyt DWORD

  1. Navngiv DWORD StatusFileType.

StatusFileType

  1. Dobbeltklik på StatusFileType.

Rediger DWORD

  1. Udfyld Værdidata med enten 0 eller 1. Når værdidata er udfyldt, skal du trykke på OK.

Opdateret DWORD

Bemærk: Værdidatavalg:
  • 0 = JSON-filformat
  • 1 = XML-format
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktopskal du højreklikke på mappen Skrivebord, vælge Ny og derefter klikke på DWORD-værdi (32-bit).

Nyt DWORD

  1. Navngiv DWORD StatusPeriod.

Statusperiod

  1. Dobbeltklik på Statusperiod.

Rediger DWORD

  1. Udfyld Værdidata med et tal fra 15 Til 60 og klik derefter på OK.

Opdateret DWORD

Bemærk: Statusperiod er, hvor ofte filen skrives.
15 = 15 sekunders interval
60 = 60 sekunders interval
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, højreklik på mappen Skrivebord , vælg Ny, og klik derefter på String Value.

Ny streng

  1. Navngiv strengen StatusFilePath.

StatusFilePath

  1. Dobbeltklik på StatusFilePath.

Rediger streng

  1. Udfyld Værdidata med den placering, hvor statusfilen skal skrives, og klik derefter på OK.

Redigeret streng

Bemærk:
  • Standardsti: <CommonAppData>\Cylance\Status\Status.json
  • Eksempel på sti: C:\ProgramData\Cylance
  • En .json-fil (JavaScript Object Notation) kan åbnes i et ASCII-tekstdokumentredigeringsprogram.

Dybdegående malwareoplysninger findes i Status.json-filen på:

/Library/Application Support/Cylance/Desktop/Status.json
 
Bemærk: En .json-fil (JavaScript Object Notation) kan åbnes i et ASCII-tekstdokumentredigeringsprogram.

Dybdegående malwareoplysninger findes i Status.json-filen på:

/opt/cylance/desktop/Status.json
 
Bemærk: En .json-fil (JavaScript Object Notation) kan åbnes i et ASCII-tekstdokumentredigeringsprogram.

Anmeld

Statusfilens indhold indeholder detaljerede oplysninger om flere kategorier, herunder trusler, udnyttelser og scripts. Klik på de relevante oplysninger for at få mere at vide om det.

Statusfilindhold:

snapshot_time Den dato og det klokkeslæt, hvor statusoplysningerne blev indsamlet. Datoen og klokkeslættet er lokalt for enheden.
ProductInfo
  • version: Avanceret Threat Prevention-agentversion på enheden
  • last_communicated_timestamp: Dato og klokkeslæt for sidste kontrol af en agentopdatering
  • serial_number: Installationstoken, der bruges til at registrere agenten
  • device_name: Navnet på den enhed, som agenten er installeret på
Policy
  • type: Status på, om agenten er online eller offline
  • id: Entydig identifikator for politikken
  • name: Navn på politik
ScanState
  • last_background_scan_timestamp: Dato og klokkeslæt for sidste scanning af baggrundstrusler
  • drives_scanned: Liste over scannede drevbogstaver
Threats
  • count: Antallet af fundne trusler
  • max: Det maksimale antal trusler i statusfilen
  • Trussel
    • file_hash_id: Viser SHA256-hash-oplysningerne for truslen
    • file_md5: MD5-hash
    • file_path: Den sti, hvor truslen blev fundet. Med filnavnet
    • is_running: Kører truslen i øjeblikket på enheden? Sand eller falsk
    • auto_run: Er trusselsfilen indstillet til at køre automatisk? Sand eller falsk
    • file_status: Viser den aktuelle tilstand for truslen, f.eks. Tilladt, Kører eller Sat i karantæne. Se truslerne: FileState-tabel
    • file_type: Viser filtypen, som f.eks. Portable Executable (PE), Archive eller PDF. Se truslerne: FileType-tabel
    • score: Viser Cylance-scoren. Den score, der vises i statusfilen, varierer fra 1000 til -1000. I konsollen er intervallet 100 til -100
    • file_size: Viser filstørrelsen i byte
Exploits
  • count: Antallet af fundne udnyttelser
  • max: Det maksimale antal udnyttelser i statusfilen
  • Udnytte
    • ProcessId: Viser proces-id'et for det program, der er identificeret af Memory Protection
    • ImagePath: Den sti, hvor udnyttelse stammer fra. Med filnavnet
    • ImageHash: Viser SHA256-hash-oplysningerne for udnyttelse
    • FileVersion: Viser versionsnummeret for udnyttelsesfilen
    • Username: Viser navnet på den bruger, der blev logget ind på enheden, da udnyttelsesudnyttelsen indtraf
    • Groups: Viser den gruppe, som den bruger, der er logget på, er tilknyttet
    • Sid: Security Identifier (SID) for den bruger, der er logget på
    • ItemType: Viser udnyttelsestypen, som relaterer til overtrædelsestyperne
    Bemærk:
    • Staten: Viser den aktuelle tilstand for udnyttelse, f.eks. Tilladt, Blokeret eller Afsluttet
    Bemærk:
    • Se udnyttelserne: Tilstandstabel
    • MemDefVersion: Den version af Memory Protection, der bruges til at identificere udnyttelseskoden, typisk agentversionsnummeret
    • Count: Det antal gange, udnyttelsesforsøget forsøgte at køre
Scripts
  • count: Antallet af scripts, der køres på enheden
  • max: Det maksimale antal scripts i statusfilen
  • Script
    • script_path: Den sti, som scriptet stammer fra. Med filnavnet
    • file_hash_id: Viser SHA256 hash-oplysninger for scriptet
    • file_md5: Viser MD5-hash-oplysninger for scriptet, hvis de er tilgængelige
    • file_sha1: Viser SHA1-hash-oplysningerne for scriptet, hvis de er tilgængelige
    • drive_type: Identificerer den type drev, som scriptet stammer fra, som f.eks. Fixed
    • last_modified: Den dato og det klokkeslæt, hvor scriptet sidst blev ændret
    • interpreter:
      • name: Navnet på scriptstyringsfunktionen, der identificerede det skadelige script
      • version: Versionsnummeret for scriptstyringsfunktionen
    • username: Viser navnet på den bruger, der blev logget på enheden, da scriptet blev startet
    • groups: Viser den gruppe, som den bruger, der er logget på, er tilknyttet
    • sid: Security Identifier (SID) for den bruger, der er logget på
    • action: Viser den handling, der udføres på scriptet, f.eks. Tilladt, Blokeret eller Afsluttet. Se scripts: Handlingstabel

Trusler har flere numerisk baserede kategorier, der skal dekodes i File_Status, FileState og FileType. Se den relevante kategori for de værdier, der skal tildeles.

File_Status

Feltet File_Status er en decimalværdi, der er beregnet ud fra de værdier, der er aktiveret af FileState (se tabellen i FileState-afsnittet). F.eks. beregnes en decimalværdi på 9 for file_status ud fra den fil, der identificeres som en trussel (0x01), og filen er blevet sat i karantæne (0x08).

file_status og file_type

Filtilstand

Trusler: Filtilstand

Ingen 0x00
Trussel 0x01
Mistænkelige 0x02
Tilladt 0x04
Karantæne 0x08
Kører 0x10
Korrupte 0x20

Filtype

Trusler: Filtype

Ikke understøttet 0
PE 1
Arkiv 2
PDF 3
OLE 4

Udnyttelser har to numerisk baserede kategorier, der skal dekodes i både ItemType og State.

ItemType og -tilstand

Se den relevante kategori for de værdier, der skal tildeles.

Itemtype

Udnytter: Itemtype

StackPivot 1 Stakdrejning
StackProtect 2 Beskyttelse af stak
OverwriteCode 3 Overskrivningskode
OopAllocate 4 Fjernallokering af hukommelse
OopMap 5 Fjernkortlægning af hukommelse
OopWrite 6 Fjernskrivning til hukommelse
OopWritePe 7 Remote Write PE til hukommelse
OopOverwriteCode 8 Fjernoverskrivningskode
OopUnmap 9 Fjern tilknytning af hukommelse
OopThreadCreate 10 Oprettelse af fjerntråd
OopThreadApc 11 Planlagt fjern-APC
LsassRead 12 LSASS Read
TrackDataRead 13 RAM-kassering
CpAllocate 14 Fjernallokering af hukommelse
CpMap 15 Fjernkortlægning af hukommelse
CpWrite 16 Fjernskrivning til hukommelse
CpWritePe 17 Remote Write PE til hukommelse
CpOverwriteCode 18 Fjernoverskrivningskode
CpUnmap 19 Fjern tilknytning af hukommelse
CpThreadCreate 20 Oprettelse af fjerntråd
CpThreadApc 21 Planlagt fjern-APC
ZeroAllocate 22 Zero Allocate
DyldInjection 23 DYLD-injektion
MaliciousPayload 24 Skadelige data
 
Bemærk:

Tilstand

Udnytter: Tilstand

Ingen 0
Tilladt 1
Blokeret 2
Afsluttet 3

Udnyttelser har en enkelt numerisk baseret kategori, der kan dekodes i Action.

Handling

Scripts: Handling

Ingen 0
Tilladt 1
Blokeret 2
Afsluttet 3

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

Informations supplémentaires

   

Vidéos

   

Produits concernés

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Propriétés de l’article
Numéro d’article: 000124896
Type d’article: Solution
Dernière modification: 20 nov. 2023
Version:  12
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.