Treceți la conținutul principal

如何分析 Dell Endpoint Security Suite Enterprise 和 Threat Defense 端点状态

Summary: 可以根据以下说明在 Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 中分析端点状态。

Acest articol se aplică pentru Acest articol nu se aplică pentru Acest articol nu este legat de un produs specific. Acest articol nu acoperă toate versiunile de produs existente.

Symptoms

提醒:

可以从特定端点提取 Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 端点状态,以便深入查看威胁、漏洞和脚本。


受影响的产品:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

受影响的平台:

  • Windows
  • Mac
  • Linux

Cause

不适用

Resolution

Dell Endpoint Security Suite Enterprise 或 Dell Threat Defense 管理员可以访问单个端点以查看

  • 恶意软件内容
  • 恶意软件状态
  • 恶意软件类型

管理员仅应在排除高级威胁防御 (ATP) 引擎对文件分类错误的原因进行故障排除时执行这些步骤。单击 “访问”“查看 ”以了解更多信息。

访问

恶意软件信息的访问方法在 WindowsmacOSLinux 中各不相同。有关详情,请单击相应的操作系统。

默认情况下,Windows 不会记录深入的恶意软件信息。

  1. 右键单击 Windows 的“开始”菜单,然后单击运行

运行

  1. 在 运行 UI 中,键入 regedit 然后按 CTRL+SHIFT+ENTER。这将以管理员身份运行 Registry Editor。

“运行”UI

  1. 在注册表编辑器中,转至 HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
  2. 在左侧窗格中,右键单击 Desktop,然后选择权限

权限

  1. 单击高级

高级

  1. 单击所有者

“所有者”选项卡

  1. 单击其他用户或组

其他用户或组

  1. 在组中搜索您的帐户,然后单击确定

所选帐户

  1. 单击确定

OK

  1. 确保您的组或用户名已选中完全控制,然后单击确定

SLN310044_en_US__9ddpkm1371i

提醒:在示例中,DDP_Admin(步骤 8)是用户组的成员。
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop右键单击 桌面 文件夹,选择 新建 ,然后单击 DWORD (32 位) 值

新建 DWORD

  1. 将 DWORD 命名为 StatusFileEnabled

StatusFileEnabled

  1. 双击 StatusFileEnabled

编辑 DWORD

  1. 使用 填充值数据 1 然后按 OK 键

更新后的 DWORD

  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop右键单击 桌面 文件夹,选择 新建 ,然后单击 DWORD (32 位) 值

新建 DWORD

  1. 将 DWORD 命名为 StatusFileType

StatusFileType

  1. 双击 StatusFileType

编辑 DWORD

  1. 使用任意一个填充值数据 0 或者 1。填充值数据后,单击确定

更新后的 DWORD

提醒:值数据选择:
  • 0 = JSON 文件格式
  • 1 = XML 格式
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop右键单击 桌面 文件夹,选择 新建 ,然后单击 DWORD (32 位) 值

新建 DWORD

  1. 将 DWORD 命名为 StatusPeriod

StatusPeriod

  1. 双击 StatusPeriod

编辑 DWORD

  1. 使用一个数字填充 值数据 ,范围从 15 变为 60 然后单击 确定

更新后的 DWORD

提醒:StatusPeriod 是文件的写入频率。
15 = 15 秒间隔
60 = 60 秒间隔
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop右键单击 桌面 文件夹,选择 新建 ,然后单击 String Value

新字符串

  1. 将字符串命名为 StatusFilePath

StatusFilePath

  1. 双击 StatusFilePath

编辑字符串

  1. 使用将状态文件写入的位置填充值数据,然后单击确定

编辑后的字符串

提醒:
  • 默认路径: <CommonAppData>\Cylance\Status\Status.json
  • 路径示例: C:\ProgramData\Cylance
  • 可以在 ASCII 文本文档编辑器中打开 .json (JavaScript Object Notation) 文件。

深入的恶意软件信息在位于以下位置的 Status.json 文件中:

/Library/Application Support/Cylance/Desktop/Status.json
 
提醒:可以在 ASCII 文本文档编辑器中打开 .json (JavaScript Object Notation) 文件。

深入的恶意软件信息在位于以下位置的 Status.json 文件中:

/opt/cylance/desktop/Status.json
 
提醒:可以在 ASCII 文本文档编辑器中打开 .json (JavaScript Object Notation) 文件。

检视

状态文件的内容包括多个类别的详细信息,包括威胁漏洞脚本。单击相应的信息以了解更多相关信息。

状态文件内容:

snapshot_time 状态信息的收集日期和时间。日期和时间是设备的本地日期和时间。
ProductInfo
  • version: 设备上的 Advanced Threat Prevention Agent 版本
  • last_communicated_timestamp: 上次检查代理更新的日期和时间
  • serial_number: 用于注册代理的安装令牌
  • device_name: 代理安装在 的设备的名称
Policy
  • type: 代理是在线还是离线的状态
  • id: 策略的唯一标识符
  • name: 策略名称
ScanState
  • last_background_scan_timestamp: 上次后台威胁检测扫描的日期和时间
  • drives_scanned: 扫描的驱动器号列表
Threats
  • count: 发现的威胁数
  • max: 状态 文件中的最大威胁数
  • Threat
    • file_hash_id: 显示威胁的 SHA256 哈希信息
    • file_md5: MD5 哈希
    • file_path: 发现威胁的路径。包括文件名
    • is_running: 威胁是否正在设备上运行?对或错
    • auto_run: 威胁文件是否设置为自动运行?对或错
    • file_status: 显示威胁的当前状态,如 Allowed、Running 或 Quarantined。请参阅威胁:FileState
    • file_type: 显示文件类型,如 Portable Executable (PE)、Archive 或 PDF。请参阅威胁:FileType
    • score: 显示 Cylance 分数。状态文件中显示的分数范围为 1000 到 -1000。在控制台中,范围为 100 到 -100
    • file_size: 显示文件大小(以字节为单位)
Exploits
  • count: 发现漏洞的数量
  • max: 状态文件中的最大漏洞数
  • 漏洞
    • ProcessId: 显示内存保护标识的应用程序的进程 ID
    • ImagePath: 漏洞源自的路径。包括文件名
    • ImageHash: 显示漏洞的 SHA256 哈希信息
    • FileVersion: 显示利用文件的版本号
    • Username: 显示在发生漏洞时登录设备的用户的名称
    • Groups: 显示登录用户与之关联的组
    • Sid: 已登录用户的安全标识符 (SID)
    • ItemType: 显示与违规类型相关的漏洞类型
    提醒:
    • State:显示漏洞的当前状态,如“Allowed”、“Blocked”或“Terminated”
    提醒:
    • 请参阅漏洞:状态
    • MemDefVersion: 用于识别漏洞的 Memory Protection 版本,通常是 Agent 版本号
    • Count: 尝试运行漏洞的次数
Scripts
  • count: 在设备上运行的脚本数
  • max: 状态文件中的最大脚本数
  • 脚本
    • script_path: 脚本源自的路径。包括文件名
    • file_hash_id: 显示脚本的 SHA256 哈希信息
    • file_md5: 显示脚本的 MD5 哈希信息(如果可用)
    • file_sha1: 显示脚本的 SHA1 哈希信息(如果可用)
    • drive_type: 标识脚本源自的驱动器类型,如 Fixed
    • last_modified: 上次修改脚本的日期和时间
    • interpreter:
      • name: 标识恶意脚本的脚本控制功能的名称
      • version: 脚本控制功能的版本号
    • username: 显示启动脚本时登录设备的用户的名称
    • groups: 显示登录用户与之关联的组
    • sid: 已登录用户的安全标识符 (SID)
    • action: 显示在脚本上执行的操作,如“Allowed”、“Blocked”或“Terminated”。请参阅脚本:操作

威胁具有多个基于数值的类别,可在 File_StatusFileStateFileType 中进行解密。请参考要分配的值的相应类别。

File_Status

File_Status字段是基于 FileState 启用的值计算的十进制值(请参阅 FileState 部分中的表)。例如,一个文件被标识为威胁 (0x01) 并且已被隔离 (0x08),从而计算出 file_status 的十进制值为 9。

file_status 和 file_type

FileState

威胁:FileState

0x00
Threat 0x01
Suspicious 0x02
允许 0x04
Quarantined 0x08
Running 0x10
Corrupt 0x20

FileType

威胁:FileType

Unsupported 0
PE 1
Archive 2
PDF 3
OLE 4

漏洞具有两个基于数值的类别,需要在 ItemTypeState 中进行解密。

ItemType 和 State

请参考要分配的值的相应类别。

ItemType

漏洞:ItemType

StackPivot 1 栈转移
StackProtect 2 栈保护
OverwriteCode 3 覆盖代码
OopAllocate 4 远程分配内存
OopMap 5 远程映射内存
OopWrite 6 远程写入内存
OopWritePe 7 将 PE 远程写入内存
OopOverwriteCode 8 远程覆盖代码
OopUnmap 9 远程取消内存映射
OopThreadCreate 10 远程创建线程
OopThreadApc 11 远程计划 APC
LsassRead 12 LSASS 读取
TrackDataRead 13 RAM 清除
CpAllocate 14 远程分配内存
CpMap 15 远程映射内存
CpWrite 16 远程写入内存
CpWritePe 17 将 PE 远程写入内存
CpOverwriteCode 18 远程覆盖代码
CpUnmap 19 远程取消内存映射
CpThreadCreate 20 远程创建线程
CpThreadApc 21 远程计划 APC
ZeroAllocate 22 零分配
DyldInjection 23 DYLD 注入
MaliciousPayload 24 恶意有效负载
 
提醒:

状态

漏洞:状态

0
允许 1
Blocked 2
Terminated 3

漏洞具有一个基于数值的类别,需要在 Action 中进行解密。

操作

脚本:操作

0
允许 1
Blocked 2
Terminated 3

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

Additional Information

   

Videos

   

Produse afectate

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Proprietăți articol
Article Number: 000124896
Article Type: Solution
Ultima modificare: 20 nov. 2023
Version:  12
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.