Passa al contenuto principale
  • Effettua gli ordini in modo rapido e semplice
  • Visualizza gli ordini e monitora lo stato della spedizione
  • Crea e accedi a un elenco dei tuoi prodotti

Come analizzare lo stato degli endpoint in Dell Endpoint Security Suite Enterprise e Dell Threat Defense

Riepilogo: È possibile analizzare gli stati degli endpoint in Dell Endpoint Security Suite Enterprise e Dell Threat Defense utilizzando queste istruzioni.

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.

Sintomi

Nota:
  • A maggio 2022, Dell Endpoint Security Suite Enterprise ha raggiunto la fine della manutenzione. Questo prodotto e i relativi articoli non vengono più aggiornati da Dell.
  • A maggio 2022, Dell Threat Defense ha raggiunto la fine della manutenzione. Questo prodotto e i relativi articoli non vengono più aggiornati da Dell.
  • Per ulteriori informazioni, consultare La policy del ciclo di vita del prodotto (fine del supporto e fine del ciclo di vita) per Dell Data Security (in inglese). Per eventuali domande sugli articoli alternativi, rivolgersi al proprio team di vendita o contattare endpointsecurity@dell.com.
  • Fare riferimento alla pagina Sicurezza degli endpoint per ulteriori informazioni sui prodotti correnti.

Gli stati degli endpoint di Dell Endpoint Security Suite Enterprise e Dell Threat Defense possono essere estratti da un endpoint specifico per un'analisi approfondita di minacce, exploit e script.


Prodotti interessati:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Piattaforme interessate:

  • Windows
  • Mac
  • Linux

Causa

Non applicabile

Risoluzione

Gli amministratori di Dell Endpoint Security Suite Enterprise o Dell Threat Defense possono accedere a un singolo endpoint per esaminare:

  • Contenuto del malware
  • Stato del malware
  • Tipo di malware

Un amministratore deve eseguire questi passaggi solo durante la risoluzione dei problemi per cui l'engine ATP (Advanced Threat Prevention) ha classificato in modo errato un file. Per ulteriori informazioni, fare clic su Accesso o Rivedi .

Accesso

L'accesso alle informazioni sul malware varia a seconda che si utilizzi Windows, macOS o Linux. Per maggiori informazioni, cliccare sul sistema operativo appropriato.

Per impostazione predefinita, Windows non registra informazioni approfondite sul malware.

  1. Cliccare con il pulsante destro del mouse sul menu Start di Windows e scegliere Esegui.

Run

  1. Nell'interfaccia utente Esegui, digitare regedit quindi premere CTRL+MAIUSC+INVIO. In questo modo viene eseguito l'editor del Registro di sistema con diritti di amministratore.

Interfaccia utente Esegui

  1. Nell'Editor del Registro di sistema, accedere a HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. Nel riquadro a sinistra, cliccare con il pulsante destro del mouse su Desktop, quindi scegliere Autorizzazioni.

Autorizzazioni

  1. Cliccare su Avanzate.

Avanzate

  1. Cliccare su Proprietario.

Scheda Proprietario

  1. Cliccare su Altri utenti o gruppi.

Altri utenti o gruppi

  1. Cercare il proprio account nel gruppo, quindi cliccare su OK.

Account selezionato

  1. Cliccare su OK.

OK

  1. Verificare che per il proprio gruppo o nome utente sia selezionato Controllo completo, quindi cliccare su OK.

SLN310044_en_US__9ddpkm1371i

Nota: nell'esempio, DDP_Admin (passaggio 8) è membro del gruppo di utenti.
  1. A HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, cliccare con il pulsante destro del mouse sulla cartella Desktop, selezionare Nuovo, quindi cliccare su Valore DWORD (32 bit).

Nuovo valore DWORD

  1. Assegnare un nome alla DWORD StatusFileEnabled.

StatusFileEnabled

  1. Cliccare due volte su StatusFileEnabled.

Modifica DWORD

  1. Popola i dati del valore con 1 quindi premere OK.

DWORD aggiornato

  1. A HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, cliccare con il pulsante destro del mouse sulla cartella Desktop, selezionare Nuovo, quindi cliccare su Valore DWORD (32 bit).

Nuovo valore DWORD

  1. Assegnare un nome alla DWORD StatusFileType.

StatusFileType

  1. Cliccare due volte su StatusFileType.

Modifica DWORD

  1. Popolare i dati del valore con uno 0 oppure 1. Una volta compilato il campo Dati valore, premere OK.

DWORD aggiornato

Nota: opzioni per Dati valori:
  • 0 = formato file JSON
  • 1 = formato XML
  1. A HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, cliccare con il pulsante destro del mouse sulla cartella Desktop, selezionare Nuovo, quindi cliccare su Valore DWORD (32 bit).

Nuovo valore DWORD

  1. Assegnare un nome alla DWORD StatusPeriod.

StatusPeriod

  1. Cliccare due volte su StatusPeriod.

Modifica DWORD

  1. Popola i dati di valore con un numero compreso tra 15 to 60 e cliccare su OK.

DWORD aggiornato

Nota: StatusPeriod indica la frequenza con cui viene scritto il file.
15 = intervallo
di 15 secondi 60 = intervallo di 60 secondi
  1. A HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, cliccare con il pulsante destro del mouse sulla cartella Desktop , selezionare Nuovo, quindi cliccare su String Value.

Nuova stringa

  1. Assegnare un nome alla stringa StatusFilePath.

StatusFilePath

  1. Cliccare due volte su StatusFilePath.

Modifica stringa

  1. Compilare il campo Dati valore con la posizione in cui scrivere il file di stato, quindi cliccare su OK.

Stringa modificata

Nota:
  • Percorso predefinito: <CommonAppData>\Cylance\Status\Status.json
  • Percorso di esempio: C:\ProgramData\Cylance
  • è possibile aprire un file .json (JavaScript Object Notation in un editor di documenti di testo ASCII.

Le informazioni approfondite sul malware sono disponibili nel file Status.json in:

/Library/Application Support/Cylance/Desktop/Status.json
 
Nota: è possibile aprire un file .json (JavaScript Object Notation in un editor di documenti di testo ASCII.

Le informazioni approfondite sul malware sono disponibili nel file Status.json in:

/opt/cylance/desktop/Status.json
 
Nota: è possibile aprire un file .json (JavaScript Object Notation in un editor di documenti di testo ASCII.

Analisi

Il contenuto del file di stato include informazioni dettagliate su più categorie, tra cui minacce, exploit e script. Per ulteriori informazioni, cliccare sulle informazioni appropriate.

Contenuto del file di stato:

snapshot_time La data e l'ora in cui sono state raccolte le informazioni sullo stato. La data e l'ora sono quelle locali del dispositivo.
ProductInfo
  • version: Versione dell'Agent di Advanced Threat Prevention sul dispositivo
  • last_communicated_timestamp: Data e ora dell'ultimo controllo per un aggiornamento dell'agent
  • serial_number: Token di installazione utilizzato per registrare l'agent
  • device_name: Nome del dispositivo su cui è installato l'Agent
Policy
  • type: Stato del fatto che l'agent sia online o offline
  • id: Identificatore univoco per il criterio
  • name: Nome policy
ScanState
  • last_background_scan_timestamp: Data e ora dell'ultima scansione di Rilevamento delle minacce in background
  • drives_scanned: Elenco delle lettere delle unità scansionate
Threats
  • count: Numero di minacce rilevate
  • max: Numero massimo di minacce nel file di stato
  • Threat
    • file_hash_id: Visualizza le informazioni hash SHA256 per la minaccia
    • file_md5: Hash MD5
    • file_path: percorso in cui è stata rilevata la minaccia. Include il nome del file
    • is_running: la minaccia è attualmente in esecuzione sul dispositivo? Vero o falso
    • auto_run: il file di minaccia è impostato per l'esecuzione automatica? Vero o falso
    • file_status: mostra lo stato corrente della minaccia, ad esempio Allowed, Running o Quarantined. Vedere la tabella Minacce: Tabella FileState
    • file_type: Visualizza il tipo di file, ad esempio Eseguibile portatile (PE), Archivio o PDF. Vedere la tabella Minacce: Tabella FileType
    • score: mostra il punteggio Cylance. Il punteggio visualizzato nel file di stato è compreso tra 1000 e -1000. Nella console, l'intervallo va da 100 a -100
    • file_size: Visualizza le dimensioni del file, in byte
Exploits
  • count: Numero di exploit trovati
  • max: Numero massimo di exploit nel file di stato
  • Exploit
    • ProcessId: Visualizza l'ID processo dell'applicazione identificata da Protezione della memoria
    • ImagePath: percorso da cui ha origine l'exploit. Include il nome del file
    • ImageHash: Visualizza le informazioni hash SHA256 per l'exploit
    • FileVersion: Visualizza il numero di versione del file di exploit
    • Username: Visualizza il nome dell'utente che è stato connesso al dispositivo quando si è verificato l'exploit
    • Groups: Visualizza il gruppo a cui è associato l'utente connesso
    • Sid: Id di sicurezza (SID) per l'utente che ha effettuato l'accesso
    • ItemType: Visualizza il tipo di exploit, correlato ai tipi di violazione
    Nota:
    • State: Visualizza lo stato corrente dell'exploit, ad esempio Consentito, Bloccato o Terminato
    Nota:
    • Vedere la tabella Exploit: Tabella dello stato
    • MemDefVersion: La versione di Protezione della memoria utilizzata per identificare l'exploit, in genere il numero di versione dell'Agent
    • Count: Numero di tentativi di esecuzione dell'exploit
Scripts
  • count: Numero di script eseguiti sul dispositivo
  • max: Numero massimo di script nel file di stato
  • Script
    • script_path: percorso da cui ha origine lo script. Include il nome del file
    • file_hash_id: Visualizza le informazioni hash SHA256 per lo script
    • file_md5: Visualizza le informazioni hash MD5 per lo script, se disponibili
    • file_sha1: Visualizza le informazioni hash SHA1 per lo script, se disponibili
    • drive_type: Identifica il tipo di unità da cui è stato originato lo script, ad esempio Fixed
    • last_modified: Data e ora dell'ultima modifica dello script
    • interpreter:
      • name: Nome della funzionalità di controllo script che ha identificato lo script dannoso
      • version: Numero di versione della funzionalità di controllo script
    • username: Visualizza il nome dell'utente che è stato connesso al dispositivo quando lo script è stato avviato
    • groups: Visualizza il gruppo a cui è associato l'utente connesso
    • sid: Id di sicurezza (SID) per l'utente che ha effettuato l'accesso
    • action: Visualizza l'azione eseguita sullo script, ad esempio Consentita, Bloccata o Terminata. Vedere la tabella Script: Tabella azioni

Le minacce dispongono di più categorie basate su numeri da decifrare in File_Status, FileState e FileType. Fare riferimento alla categoria appropriata per i valori da assegnare.

File_Status

Il campo File_Status è un valore decimale calcolato in base ai valori abilitati da FileState (vedere la tabella nella sezione FileState). Ad esempio, viene calcolato un valore decimale pari a 9 per file_status sulla base del file identificato come minaccia (0x01) e messo in quarantena (0x08).

file_status e file_type

FileState

Minacce: FileState

None 0x00
Threat 0x01
Suspicious 0x02
Allowed 0x04
Quarantined 0x08
Running 0x10
Corrupt 0x20

FileType

Minacce: FileType

Unsupported 0
PE 1
Archive 2
PDF 3
OLE 4

Gli exploit dispongono di due categorie su base numerica da decifrare in ItemType e State.

ItemType e State

Fare riferimento alla categoria appropriata per i valori da assegnare.

ItemType

Exploit: ItemType

StackPivot 1 Stack Pivot
StackProtect 2 Stack Protect
OverwriteCode 3 Overwrite Code
OopAllocate 4 Remote Allocation of Memory
OopMap 5 Remote Mapping of Memory
OopWrite 6 Remote Write to Memory
OopWritePe 7 Remote Write PE to Memory
OopOverwriteCode 8 Remote Overwrite Code
OopUnmap 9 Remote Unmap of Memory
OopThreadCreate 10 Remote Thread Creation
OopThreadApc 11 Remote APC Scheduled
LsassRead 12 LSASS Read
TrackDataRead 13 RAM Scraping
CpAllocate 14 Remote Allocation of Memory
CpMap 15 Remote Mapping of Memory
CpWrite 16 Remote Write to Memory
CpWritePe 17 Remote Write PE to Memory
CpOverwriteCode 18 Remote Overwrite Code
CpUnmap 19 Remote Unmap of Memory
CpThreadCreate 20 Remote Thread Creation
CpThreadApc 21 Remote APC Scheduled
ZeroAllocate 22 Zero Allocate
DyldInjection 23 DYLD Injection
MaliciousPayload 24 Malicious Payload
 
Nota:

State

Exploit: State

None 0
Allowed 1
Blocked 2
Terminated 3

Gli exploit dispongono di una singola categoria su base numerica da decifrare in Action.

Action

Script: Action

None 0
Allowed 1
Blocked 2
Terminated 3

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Informazioni aggiuntive

   

Video

   

Prodotti interessati

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Proprietà dell'articolo
Numero articolo: 000124896
Tipo di articolo: Solution
Ultima modifica: 20 nov 2023
Versione:  12
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.