Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Analiza stanu punktu końcowego obrony przed zagrożeniem rozwiązania Dell Endpoint Security Suite Enterprise

Résumé: Stan punktów końcowych można przeanalizować w rozwiązaniu Dell Endpoint Security Suite Enterprise i Dell Threat Defense na podstawie tych instrukcji.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Symptômes

Uwaga:

Statusy punktów końcowych Dell Endpoint Security Suite Enterprise i Dell Threat Defense można pobierać z określonego punktu końcowego w celu szczegółowego przeglądu zagrożeń, wykorzystania i skryptów.


Dotyczy produktów:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Dotyczy platform:

  • Windows
  • Mac
  • Linux

Cause

Nie dotyczy

Résolution

Administratorzy rozwiązania Dell Endpoint Security Suite Enterprise lub Dell Threat Defense mogą uzyskać dostęp do pojedynczego punktu końcowego w celu sprawdzenia:

  • zawartości złośliwego oprogramowania
  • stanu złośliwego oprogramowania
  • typu złośliwego oprogramowania

Administrator powinien wykonać te czynności tylko w przypadku rozwiązywania problemów z nieprawidłową klasyfikacją pliku przez zaawansowany mechanizm zapobiegania zagrożeniom (ATP). Aby uzyskać więcej informacji, kliknij opcję Access (Dostęp) lub Review (Sprawdź ).

Access

Dostęp do informacji o złośliwym oprogramowaniu różni się w zależności od systemu Windows, macOS i Linux. Aby uzyskać więcej informacji, kliknij odpowiedni system operacyjny.

Domyślnie system Windows nie rejestruje szczegółowych informacji o złośliwym oprogramowaniu.

  1. Prawym przyciskiem myszy kliknij menu Start systemu Windows, a następnie kliknij opcję Uruchom.

Uruchom

  1. W menu Uruchom wpisz regedit a następnie naciśnij kombinację klawiszy CTRL + SHIFT + ENTER. Edytor rejestru zostanie uruchomiony jako administrator.

Uruchom UI

  1. W Edytorze rejestru przejdź do HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. W lewym okienku kliknij prawym przyciskiem myszy punkt Pulpit, a następnie wybierz opcję Pozwolenia.

Uprawnienia

  1. Kliknij opcję Advanced (Zaawansowane).

Advanced (Zaawansowane)

  1. Kliknij opcję Właściciel.

Karta Właściciel

  1. Kliknij opcję Inni użytkownicy i grupy.

Inni użytkownicy i grupy

  1. Wyszukaj swoje konto w grupie, a następnie kliknij OK.

Wybrane konto

  1. Kliknij przycisk OK.

OK

  1. Upewnij się, że grupa lub nazwa użytkownika ma zaznaczoną opcję Pełna kontrola, a następnie kliknij OK.

SLN310044_en_US__9ddpkm1371i

Uwaga: W tym przykładzie DDP_Admin (krok 8) należy do grupy Użytkownicy.
  1. O HKEY_LOCAL_MACHINE\Software\Cylance\Desktopkliknij prawym przyciskiem myszy folder Pulpit , wybierz opcję Nowy, a następnie kliknij wartość DWORD (32-bitowa).

Nowa wartość DWORD

  1. Nadaj dwordowi nazwę StatusFileEnabled.

StatusFileEnabled

  1. Kliknij dwukrotnie StatusFileEnabled.

Edytuj wartość DWORD

  1. Wypełnij dane wartości za pomocą 1 a następnie naciśnij przycisk OK.

Zaktualizowano wartość DWORD

  1. O HKEY_LOCAL_MACHINE\Software\Cylance\Desktopkliknij prawym przyciskiem myszy folder Pulpit , wybierz opcję Nowy, a następnie kliknij wartość DWORD (32-bitowa).

Nowa wartość DWORD

  1. Nadaj dwordowi nazwę StatusFileType.

StatusFileType

  1. Kliknij dwukrotnie StatusFileType.

Edytuj wartość DWORD

  1. Wypełnij dane wartości 0 lub 1. Po wypełnieniu danych wartości naciśnij OK.

Zaktualizowano wartość DWORD

Uwaga: Wyboru danych wartości:
  • 0 = format pliku JSON
  • 1 = Format XML
  1. O HKEY_LOCAL_MACHINE\Software\Cylance\Desktopkliknij prawym przyciskiem myszy folder Pulpit , wybierz opcję Nowy, a następnie kliknij wartość DWORD (32-bitowa).

Nowa wartość DWORD

  1. Nadaj dwordowi nazwę StatusPeriod.

StatusPeriod

  1. Kliknij dwukrotnie StatusPeriod.

Edytuj wartość DWORD

  1. Wypełnij dane wartości liczbą od 15 na 60 a następnie kliknij przycisk OK.

Zaktualizowano wartość DWORD

Uwaga: StatusPeriod to często zapisywany plik.
15 = 15-sekundowy interwał
60 = interwał 60 sekund
  1. O HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, kliknij prawym przyciskiem myszy folder Pulpit , wybierz opcję Nowy, a następnie kliknij String Value.

Nowy ciąg

  1. Nazwij ciąg znaków StatusFilePath.

StatusFilePath

  1. Kliknij dwukrotnie StatusFilePath.

Edytuj ciąg

  1. Wpisz w polu Dane wartości lokalizację do zapisania pliku stanu, a następnie kliknij OK.

Edytowany ciąg

Uwaga:
  • Domyślna ścieżka: <CommonAppData>\Cylance\Status\Status.json
  • Przykładowa ścieżka: C:\ProgramData\Cylance
  • Plik .json (JavaScript Object Notation) można otworzyć w edytorze dokumentów tekstowych ASCII.

Szczegółowe informacje o złośliwym oprogramowaniu znajdują się w pliku Status.json pod adresem:

/Library/Application Support/Cylance/Desktop/Status.json
 
Uwaga: Plik .json (JavaScript Object Notation) można otworzyć w edytorze dokumentów tekstowych ASCII.

Szczegółowe informacje o złośliwym oprogramowaniu znajdują się w pliku Status.json pod adresem:

/opt/cylance/desktop/Status.json
 
Uwaga: Plik .json (JavaScript Object Notation) można otworzyć w edytorze dokumentów tekstowych ASCII.

Analiza

Zawartość pliku stanu zawiera szczegółowe informacje na temat wielu kategorii, w tym zagrożeń, wykorzystania luk i skryptów. Kliknij odpowiednie informacje, aby dowiedzieć się więcej na ten temat.

Zawartość pliku stanu:

snapshot_time Data i godzina zebrania informacji o stanie. Data i godzina są lokalne dla urządzenia.
ProductInfo
  • version: Wersja agenta Advanced Threat Prevention na urządzeniu
  • last_communicated_timestamp: Data i godzina ostatniego sprawdzania aktualizacji agenta
  • serial_number: Token instalacji używany do rejestracji agenta
  • device_name: Nazwa urządzenia zainstalowanego przez agenta
Policy
  • type: Status tego, czy agent jest w trybie online czy offline
  • id: Unikatowy identyfikator zasady
  • name: Nazwa zasady
ScanState
  • last_background_scan_timestamp: Data i godzina ostatniego skanowania wykrywania zagrożeń w tle
  • drives_scanned: Lista zeskanowanych liter napędów
Threats
  • count: Liczba znalezionych zagrożeń
  • max: Maksymalna liczba zagrożeń w pliku statusu
  • Zagrożenie
    • file_hash_id: Wyświetla informacje o skrótach SHA256 dla zagrożenia
    • file_md5: Skrót MD5
    • file_path: Ścieżka, w której znaleziono zagrożenie. Zawiera nazwę pliku
    • is_running: Czy zagrożenie obecnie występuje na urządzeniu? Prawda lub fałsz
    • auto_run: Czy plik zagrożenia jest uruchamiany automatycznie? Prawda lub fałsz
    • file_status: Wyświetla bieżący stan zagrożenia, np. dozwolony, uruchomiony lub poddany kwarantannie. Patrz Zagrożenia: Tabela FileState
    • file_type: Wyświetla typ pliku, np. Portable Executable (PE), Archive lub PDF. Patrz Zagrożenia: Tabela FileType
    • score: Wyświetla wynik Cylance. Wynik wyświetlany w pliku statusu wynosi od 1000 do -1000. W konsoli zakres wynosi od 100 do -100
    • file_size: Wyświetla rozmiar pliku w bajtach
Exploits
  • count: Liczba znalezionych wykorzystania
  • max: Maksymalna liczba exploitów w pliku statusu
  • Exploit
    • ProcessId: Wyświetla identyfikator procesu aplikacji zidentyfikowanej przez ochronę pamięci
    • ImagePath: Ścieżka, z której pochodzi wykorzystanie luki. Zawiera nazwę pliku
    • ImageHash: Wyświetla informacje o skrótach SHA256 dla wykorzystania
    • FileVersion: Wyświetla numer wersji pliku wykorzystania
    • Username: Wyświetla nazwę użytkownika, który zalogował się do urządzenia w momencie wykorzystania
    • Groups: Wyświetla grupę, z która jest powiązany zalogowany użytkownik
    • Sid: Identyfikator zabezpieczeń (SID) dla zalogowanego użytkownika
    • ItemType: Wyświetla typ wykorzystania, który dotyczy typów naruszeń
    Uwaga:
    • State: Wyświetla bieżący stan wykorzystania, np. Dozwolony, Zablokowany lub Zakończony
    Uwaga:
    • Patrz Wykorzystanie luk: Tabela stanu
    • MemDefVersion: Wersja ochrony pamięci używana do identyfikacji wykorzystania, zazwyczaj numer wersji agenta
    • Count: Liczba prób wykorzystania
Scripts
  • count: Liczba skryptów uruchamianych na urządzeniu
  • max: Maksymalna liczba skryptów w pliku statusu
  • Script
    • script_path: Ścieżka, z której pochodzi skrypt. Zawiera nazwę pliku
    • file_hash_id: Wyświetla informacje o skrótach SHA256 dla skryptu
    • file_md5: Wyświetla informacje o skrótach MD5 dla skryptu, jeśli są dostępne
    • file_sha1: Wyświetla informacje skrótu SHA1 dla skryptu, jeśli są dostępne
    • drive_type: Określa typ dysku, z którego pochodzi skrypt, na przykład Fixed
    • last_modified: Data i godzina ostatniej modyfikacji skryptu
    • interpreter:
      • name: Nazwa funkcji kontroli skryptów, która zidentyfikowała złośliwy skrypt
      • version: Numer wersji funkcji kontroli skryptów
    • username: Wyświetla nazwę użytkownika, który zalogował się do urządzenia po uruchomieniu skryptu
    • groups: Wyświetla grupę, z która jest powiązany zalogowany użytkownik
    • sid: Identyfikator zabezpieczeń (SID) dla zalogowanego użytkownika
    • action: Wyświetla działanie podjęte w skrypcie, takie jak Dozwolone, Zablokowane lub Zakończone. Patrz Skrypty: Tabela działań

Zagrożenia mają wiele kategorii opartych na numerach do odszyfrowania w File_Status, FileState i FileType. Zapoznaj się z odpowiednią kategorią dla wartości, które mają zostać przypisane.

File_Status

Pole File_Status jest wartością dziesiętną obliczoną na podstawie wartości włączonych przez filestate (patrz tabela w sekcji FileState). Na przykład wartość dziesiętna 9 dla statusu_pliku jest obliczana na podstawie pliku zidentyfikowanego jako zagrożenie (0x01), gdzie plik został poddany kwarantannie (0x08).

file_status i file_type

Stan pliku

Zagrożenia: Stan pliku

None 0x00
Zagrożenie 0x01
Podejrzany 0x02
Dozwolone 0x04
Na kwarantannie 0x08
Działa 0x10
Uszkodzony 0x20

Typ pliku

Zagrożenia: Typ pliku

Brak obsługi 0
PE 1
Archiwalny 2
PDF 3
OLE 4

Wykorzystania luk mają dwie kategorie numeryczne, które należy odszyfrować zarówno w zakresie typu elementu i stanu.

Typ elementu i stan

Zapoznaj się z odpowiednią kategorią dla wartości, które mają zostać przypisane.

Typ elementu

Wykorzystania luk: Typ elementu

StackPivot 1 Obracanie stosu
StackProtect 2 Ochrona stosu
OverwriteCode 3 Nadpisywanie kodu
OopAllocate 4 Zdalna alokacja pamięci
OopMap 5 Zdalne mapowanie pamięci
OopWrite 6 Zdalny zapis do pamięci
OopWritePe 7 Zdalny zapis PE do pamięci
OopOverwriteCode 8 Kod nadpisania zdalnego
OopUnmap 9 Zdalne usuwanie mapowania pamięci
OopThreadCreate 10 Tworzenie wątku zdalnego
OopThreadApc 11 Zaplanowano zdalne APC
LsassRead 12 Odczyt LSASS
TrackDataRead 13 RAM Scraping
CpAllocate 14 Zdalna alokacja pamięci
CpMap 15 Zdalne mapowanie pamięci
CpWrite 16 Zdalny zapis do pamięci
CpWritePe 17 Zdalny zapis PE do pamięci
CpOverwriteCode 18 Kod nadpisania zdalnego
CpUnmap 19 Zdalne usuwanie mapowania pamięci
CpThreadCreate 20 Tworzenie wątku zdalnego
CpThreadApc 21 Zaplanowano zdalne APC
ZeroAllocate 22 Alokacja zero
DyldInjection 23 Wprowadzanie DYLD
MaliciousPayload 24 Szkodliwe obciążenie
 
Uwaga:

Stan

Wykorzystania luk: Stan

None 0
Dozwolone 1
Zablokowany 2
Zakończony 3

Wykorzystania luk mają jedną kategorię numeryczną, którą należy odszyfrować w zakresie działania.

Czynność

Skrypty: Czynność

None 0
Dozwolone 1
Zablokowany 2
Zakończony 3

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

Informations supplémentaires

   

Vidéos

   

Produits concernés

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Propriétés de l’article
Numéro d’article: 000124896
Type d’article: Solution
Dernière modification: 20 Nov 2023
Version:  12
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.