Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

如何分析 Dell Endpoint Security Suite Enterprise 和 Threat Defense 端點狀態

Сводка: 您可以使用這些指示在 Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 中分析端點狀態。

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

注意:

Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 端點狀態可從特定端點提取,以深入檢閱威脅、利用行為和指令檔。


受影響的產品:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

受影響的平台:

  • Windows
  • Mac
  • Linux

Причина

不適用

Разрешение

Dell Endpoint Security Suite Enterprise 或 Dell Threat Defense 系統管理員可存取個別端點以檢閱

  • 惡意軟體內容
  • 惡意軟體狀態
  • 惡意軟體類型

系統管理員只有在疑難排解進階威脅預防 (ATP) 引擎錯誤分類檔案時,才應執行這些步驟。如需詳細資訊,請按一下 [Access] (存取檢閱 )。

存取

WindowsmacOSLinux 之間對惡意軟體資訊的存取會有所不同。如需詳細資訊,請按一下適當的作業系統。

根據預設,Windows 不會深入記錄惡意軟體資訊。

  1. 以滑鼠右鍵按一下 Windows 開始功能表,然後按一下執行

執行

  1. 在執行 UI 中鍵入 regedit 然後按下 CTRL+SHIFT+ENTER這會以管理員的身分執行 Registry Editor。

執行 UI

  1. 在登錄編輯器中,移至 HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
  2. 在左窗格中,以滑鼠右鍵按一下桌面,然後選取權限

權限

  1. 按一下進階

進階

  1. 按一下擁有者

擁有者標籤

  1. 按一下其他使用者或群組

其他使用者或群組

  1. 在群組中搜尋您的帳戶,然後按一下確定

選取的帳戶

  1. 按一下確定

確定

  1. 請確定您的群組或使用者名稱已勾選完全控制,然後按一下確定

SLN310044_en_US__9ddpkm1371i

注意:在範例中,DDP_Admin (步驟 8) 是使用者群組的成員。
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,以滑鼠右鍵按一下 桌面 資料夾,選取 「New」,然後按一下 DWORD (32 位) 值

新增 DWORD

  1. 為 DWORD 命名 StatusFileEnabled

StatusFileEnabled

  1. 按兩下 StatusFileEnabled

編輯 DWORD

  1. 使用 1 然後按 「OK」

更新的 DWORD

  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,以滑鼠右鍵按一下 桌面 資料夾,選取 「New」,然後按一下 DWORD (32 位) 值

新增 DWORD

  1. 為 DWORD 命名 StatusFileType

StatusFileType

  1. 按兩下 StatusFileType

編輯 DWORD

  1. 使用任一種資料填入價值資料 01。填入值資料後,按下確定

更新的 DWORD

注意:值資料選擇:
  • 0 = JSON 檔案格式
  • 1 = XML 格式
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,以滑鼠右鍵按一下 桌面 資料夾,選取 「New」,然後按一下 DWORD (32 位) 值

新增 DWORD

  1. 為 DWORD 命名 StatusPeriod

StatusPeriod

  1. 按兩下 StatusPeriod

編輯 DWORD

  1. 以各種數量填入價值資料 15 變更為 60 然後按一下 「OK」

更新的 DWORD

注意:StatusPeriod 是寫入檔案的頻率。
15 = 15 秒間隔
60 = 60 秒間隔
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,以滑鼠右鍵按一下 桌面 資料夾,選取 「新增」,然後按一下 String Value

新字串

  1. 命名字串 StatusFilePath

StatusFilePath

  1. 按兩下 StatusFilePath

編輯字串

  1. 值資料填入要寫入狀態檔案的位置,然後按一下確定

編輯的字串

注意:
  • 預設路徑: <CommonAppData>\Cylance\Status\Status.json
  • 範例路徑: C:\ProgramData\Cylance
  • 可在 ASCII 文字文件編輯器中開啟 .json (JavaScript 物件標記法) 檔案。

Status.json 檔案中包含深入的惡意軟體資訊,位置在:

/Library/Application Support/Cylance/Desktop/Status.json
 
注意:可在 ASCII 文字文件編輯器中開啟 .json (JavaScript 物件標記法) 檔案。

Status.json 檔案中包含深入的惡意軟體資訊,位置在:

/opt/cylance/desktop/Status.json
 
注意:可在 ASCII 文字文件編輯器中開啟 .json (JavaScript 物件標記法) 檔案。

檢閱

狀態檔案的內容包含多個類別的詳細資訊,包括威脅惡意探索指令檔。按一下適當的資訊以深入瞭解。

狀態檔案內容:

snapshot_time 收集狀態資訊的日期和時間。日期和時間是裝置的本機資訊。
ProductInfo
  • version:裝置上的進階威脅預防代理程式版本
  • last_communicated_timestamp:代理程式更新最後檢查的日期與時間
  • serial_number:用於註冊代理程式的安裝權杖
  • device_name:已安裝代理程式的裝置名稱
Policy
  • type:代理程式為線上或離線狀態
  • id:原則的唯一識別碼
  • name:原則名稱
ScanState
  • last_background_scan_timestamp:上次背景威脅偵測掃描的日期與時間
  • drives_scanned:掃描的磁片磁碟機字母清單
Threats
  • count:找到的威脅數目
  • max:狀態檔案中的威脅數目上限
  • 威脅
    • file_hash_id:顯示威脅的 SHA256 雜湊資訊
    • file_md5:MD5 雜湊
    • file_path:找到威脅的路徑。包含檔案名
    • is_running:威脅目前是否正在裝置上執行?是非題
    • auto_run:威脅檔案是否設定為自動執行?是非題
    • file_status:顯示威脅的目前狀態,例如已允許、執行中或已隔離。請參閱威脅:檔案狀態 表格
    • file_type:顯示檔案類型,例如可攜式可執行檔 (PE)、封存或 PDF。請參閱威脅:FileType 表格
    • score:顯示 Cylance 分數。狀態檔案中顯示的分數範圍為 1000 到 -1000 之間。在主控台中,範圍為 100 至 -100
    • file_size:以位元組顯示檔案大小
Exploits
  • count:找到的漏洞數目
  • max:狀態檔案中的利用次數上限
  • 惡意探索
    • ProcessId:顯示記憶體保護所識別之應用程式的程式 ID
    • ImagePath:惡意探索源自的路徑。包含檔案名
    • ImageHash:顯示利用的 SHA256 雜湊資訊
    • FileVersion:顯示利用檔案的版本號碼
    • Username:顯示發生漏洞時登入裝置的使用者名稱
    • Groups:顯示登入使用者與
    • Sid:登入使用者的安全性識別碼 (SID)
    • ItemType:顯示與違規類型相關的利用類型
    注意:
    • 州:顯示此利用的目前狀態,例如允許、封鎖或終止
    注意:
    • 請參閱惡意探索:狀態
    • MemDefVersion:用來識別漏洞的記憶體保護版本 (通常是代理程式版本號碼)
    • Count:利用行為嘗試執行的次數
Scripts
  • count:在裝置上執行的腳本數目
  • max:狀態檔案中的腳本數量上限
  • 指令檔
    • script_path:指令檔源自的路徑。包含檔案名
    • file_hash_id:顯示腳本的 SHA256 雜湊資訊
    • file_md5:顯示腳本的 MD5 雜湊資訊 (如果有的話)
    • file_sha1:顯示腳本的 SHA1 雜湊資訊 (如果有的話)
    • drive_type:識別指令檔發自的磁片磁碟機類型(例如已修正)
    • last_modified:上次修改腳本的日期和時間
    • interpreter
      • name:識別惡意腳本的腳本控制功能名稱
      • version:腳本控制功能的版本號碼
    • username:顯示指令檔啟動時登入裝置的使用者名稱
    • groups:顯示登入使用者與
    • sid:登入使用者的安全性識別碼 (SID)
    • action:顯示指令檔上採取的動作,例如「允許」、「封鎖」或「終止」。請參閱指令檔:動作

威脅有多個數位型類別要在 File_StatusFileStateFileType中解譯。請參考要指派值的適當類別。

File_Status

File_Status欄位是根據 FileState 啟用的值計算十進位值 (請參閱 FileState 一節中的表格)。例如,從識別為威脅 (0x01) 的檔案中為 file_status 計算 9 的十進位值,且該檔案已隔離 (0x08)。

file_status 和 file_type

FileState

Threats: FileState

0x00
威脅 0x01
可疑 0x02
已允許 0x04
已隔離 0x08
執行中 0x10
損毀 0x20

FileType

Threats: FileType

不支援 0
PE 1
歸檔 2
PDF 3
OLE 4

惡意探索具有兩個以數字為基礎的類別在 ItemType狀態中解碼。

ItemType 和狀態

請參考要指派值的適當類別。

ItemType

Exploits: ItemType

StackPivot 1 堆疊轉動
StackProtect 2 堆疊保護
OverwriteCode 3 覆寫程式碼
OopAllocate 4 遠端配置記憶體
OopMap 5 遠端對應記憶體
OopWrite 6 遠端寫入至記憶體
OopWritePe 7 遠端寫入 PE 至記憶體
OopOverwriteCode 8 遠端覆寫程式碼
OopUnmap 9 遠端取消對應記憶體
OopThreadCreate 10 遠端建立執行緒
OopThreadApc 11 遠端排程 APC
LsassRead 12 LSASS 讀取
TrackDataRead 13 RAM 消除
CpAllocate 14 遠端配置記憶體
CpMap 15 遠端對應記憶體
CpWrite 16 遠端寫入至記憶體
CpWritePe 17 遠端寫入 PE 至記憶體
CpOverwriteCode 18 遠端覆寫程式碼
CpUnmap 19 遠端取消對應記憶體
CpThreadCreate 20 遠端建立執行緒
CpThreadApc 21 遠端排程 APC
ZeroAllocate 22 零分配
DyldInjection 23 DYLD 注入
MaliciousPayload 24 惡意裝載
 
注意:

狀態

Exploits: 狀態

0
已允許 1
已封鎖 2
已終止 3

惡意探索具有單一以數字為基礎的類別在動作中解碼。

動作

指令檔:動作

0
已允許 1
已封鎖 2
已終止 3

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

Дополнительная информация

   

Видео

   

Затронутые продукты

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Свойства статьи
Номер статьи: 000124896
Тип статьи: Solution
Последнее изменение: 20 Nov 2023
Версия:  12
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.