Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Dell Endpoint Security Suite Enterprise ve Threat Defense Uç Nokta Durumunu Analiz Etme

Сводка: Bu talimatlar kullanılarak uç nokta durumu, Dell Endpoint Security Suite Enterprise ve Dell Threat Defense'de analiz edilebilir.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

Not:

Dell Endpoint Security Suite Enterprise ve Dell Threat Defense uç nokta durumları, tehditlerin, açıkların ve komut dosyalarının ayrıntılı bir şekilde gözden geçirilmesi için belirli bir uç noktadan alınabilir.


Etkilenen Ürünler:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Etkilenen Platformlar:

  • Windows
  • Mac
  • Linux

Причина

Geçerli değil

Разрешение

Dell Endpoint Security Suite Enterprise veya Dell Threat Defense yöneticileri, incelemek için ayrı bir uç noktaya erişebilir:

  • Kötü Amaçlı Yazılım İçeriği
  • Kötü Amaçlı Yazılım Durumu
  • Kötü Amaçlı Yazılım Türü

Yönetici, bu adımları yalnızca gelişmiş tehdit önleme (ATP) motorunun bir dosyayı yanlış sınıflandırılma nedeniyle ilgili sorun giderme sırasında gerçekleştirecektir. Daha fazla bilgi için Access ( Erişim) veya Review (Gözden Geçir) öğesine tıklayın.

Access

Kötü amaçlı yazılım bilgilerine erişim; Windows, macOS ve Linux arasında farklılık gösterir. Daha fazla bilgi için ilgili işletim sistemine tıklayın.

Varsayılan olarak Windows, ayrıntılı kötü amaçlı yazılım bilgilerini kaydetmez.

  1. Windows başlangıç menüsüne sağ tıklayın ve ardından Çalıştır'a tıklayın.

Çalıştırma

  1. Çalıştır kullanıcı arayüzüne regedit ve ardından CTRL+SHIFT+ENTER tuşlarına basın. Bu, Kayıt Defteri Düzenleyicisini yönetici olarak çalıştırır.

Çalıştır Kullanıcı Arayüzü

  1. Kayıt Defteri Düzenleyicisi'nde şu adrese gidin: HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. Sol bölmede Masaüstüne sağ tıklayın ve ardından Permissions (İzinler) öğesini seçin.

İzinler

  1. Advanced (Gelişmiş) seçeneğine tıklayın.

Advanced (Gelişmiş)

  1. Owner (Sahibi) öğesine tıklayın.

Sahip sekmesi

  1. Other users or groups (Diğer kullanıcılar veya gruplar) öğesine tıklayın.

Diğer kullanıcılar veya gruplar

  1. Grupta hesabınızı arayın ve OK (Tamam) öğesine tıklayın.

Hesap seçildi

  1. Tamam öğesine tıklayın.

OK

  1. Grup veya kullanıcı adınızda Full Control (Tam Denetim) öğesinin işaretli olduğunu doğrulayın ve OK (Tamam) öğesine tıklayın.

SLN310044_en_US__9ddpkm1371i

Not: Örnekte, DDP_Admin (8. adım) Users (Kullanıcılar) grubunun bir üyesidir.
  1. Şu bağlantıda: HKEY_LOCAL_MACHINE\Software\Cylance\DesktopMasaüstü klasörüne sağ tıklayın , Yeni'yi seçin ve ardından DWORD (32 bit) Değer öğesine tıklayın.

Yeni DWORD

  1. DWORD'ü adlandırma StatusFileEnabled.

StatusFileEnabled

  1. StatusFileEnabled öğesine çift tıklayın.

DWORD'ü düzenle

  1. Değer verilerini şu şekilde doldurun : 1 ve tamam düğmesine basın.

Güncelleştirilmiş DWORD

  1. Şu bağlantıda: HKEY_LOCAL_MACHINE\Software\Cylance\DesktopMasaüstü klasörüne sağ tıklayın , Yeni'yi seçin ve ardından DWORD (32 bit) Değer öğesine tıklayın.

Yeni DWORD

  1. DWORD'ü adlandırma StatusFileType.

StatusFileType

  1. StatusFileType öğesine çift tıklayın.

DWORD'ü düzenle

  1. Değer verilerini aşağıdakilerle doldurun: 0 veya 1. Değer verileri doldurulduktan sonra OK (Tamam) düğmesine basın.

Güncelleştirilmiş DWORD

Not: Değer veri seçenekleri:
  • 0 = JSON dosya biçimi
  • 1 = XML biçimi
  1. Şu bağlantıda: HKEY_LOCAL_MACHINE\Software\Cylance\DesktopMasaüstü klasörüne sağ tıklayın , Yeni'yi seçin ve ardından DWORD (32 bit) Değer öğesine tıklayın.

Yeni DWORD

  1. DWORD'ü adlandırma StatusPeriod.

StatusPeriod

  1. StatusPeriod öğesine çift tıklayın.

DWORD'ü düzenle

  1. Değer verilerini şu numaralardan değişen bir sayıyla doldurun: 15 yerine 60 ve tamam öğesine tıklayın.

Güncelleştirilmiş DWORD

Not: StatusPeriod dosyası ne sıklıkla yazılmalıdır?
15 = 15 saniye aralık
60 = 60 saniye aralık
  1. Şu bağlantıda: HKEY_LOCAL_MACHINE\Software\Cylance\DesktopMasaüstü klasörüne sağ tıklayın , Yeni öğesini seçin ve ardından String Value.

Yeni Dize

  1. Dizeyi Adlandırma StatusFilePath.

StatusFilePath

  1. StatusFilePath öğesine çift tıklayın.

Dize düzenle

  1. Değer verilerine, durum dosyasının yazılacağı konumu girin ve ardından OK (Tamam) öğesine tıklayın.

Düzenlenmiş dize

Not:
  • Varsayılan yol: <CommonAppData>\Cylance\Status\Status.json
  • Örnek yol: C:\ProgramData\Cylance
  • ASCII metin belgesi düzenleyicisinde .json (JavaScript Nesne Gösterimi) dosyası açılabilir.

Ayrıntılı kötü amaçlı yazılım bilgileri belirtilen adresteki Status.json dosyasına gelir:

/Library/Application Support/Cylance/Desktop/Status.json
 
Not: ASCII metin belgesi düzenleyicisinde .json (JavaScript Nesne Gösterimi) dosyası açılabilir.

Ayrıntılı kötü amaçlı yazılım bilgileri belirtilen adresteki Status.json dosyasına gelir:

/opt/cylance/desktop/Status.json
 
Not: ASCII metin belgesi düzenleyicisinde .json (JavaScript Nesne Gösterimi) dosyası açılabilir.

İnceleme

Durum dosyasının İçerikler bölümünde; Tehditler, Güvenlik Açıkları ve Komut Dosyaları dahil olmak üzere birçok kategori hakkındaki ayrıntılı bilgi bulunur. Bu bilgi hakkında daha fazla bilgi edinmek için ilgili bilgilere tıklayın.

Durum dosyası içeriği:

snapshot_time Durum bilgilerinin toplandığı tarih ve saat. Tarih ve saat aygıt için yereldir.
ProductInfo
  • version: Aygıt üzerindeki Advanced Threat Prevention Agent sürümü
  • last_communicated_timestamp: Aracı Güncellemesi için son denetimin tarih ve saati
  • serial_number: Aracıyı kaydetmek için kullanılan Yükleme Belirteci
  • device_name: Aracı'nın yüklü olduğu aygıtın adı
Policy
  • type: Aracının Çevrimiçi veya Çevrimdışı olup olmadığının durumu
  • id: İlke için benzersiz tanımlayıcı
  • name: Politika Adı
ScanState
  • last_background_scan_timestamp: Son Arka Plan Tehdit Algılama taramasının Tarih ve saati
  • drives_scanned: Taranan sürücü harflerinin listesi
Threats
  • count: Bulunan tehditlerin sayısı
  • max: Durum dosyasındaki maksimum tehdit sayısı
  • Tehdit
    • file_hash_id: Tehdit için SHA256 karma bilgilerini görüntüler
    • file_md5: MD5 karması
    • file_path: Tehdidin bulunduğu yol. Dosya adını içerir
    • is_running: Tehdit şu anda aygıt üzerinde mi çalışıyor? Doğru mu, yanlış mı?
    • auto_run: Tehdit dosyası otomatik olarak çalışacak şekilde ayarlanmış mı? Doğru mu, yanlış mı?
    • file_status: Tehdidin İzin Verildi, Çalışıyor veya Karantinada gibi mevcut durumları gösterir. Bkz. Tehditler: FileState tablosu
    • file_type: Taşınabilir Yürütülebilir Dosya (PE), Arşiv veya PDF gibi dosya türünü gösterir. Bkz. Tehditler: FileType tablosu
    • score: Cylance Puanı görüntülenir. Durum dosyasında görüntülenen puan 1000 ile -1000 arasında değişir. Konsol'da aralık 100 ila -100'dır
    • file_size: Dosya boyutunu bayt cinsinden görüntüler
Exploits
  • count: Bulunan güvenlik açıklarının sayısı
  • max: Durum dosyasındaki maksimum açık sayısı
  • Güvenlik Açığı
    • ProcessId: Bellek Koruması tarafından tanımlanan uygulamanın işlem kimliğini görüntüler
    • ImagePath: Güvenlik açıklarının kaynaklandığı yol. Dosya adını içerir
    • ImageHash: Açıktan yararlanma için SHA256 karma bilgilerini görüntüler
    • FileVersion: Açıklardan yararlanan dosyanın sürüm numarasını görüntüler
    • Username: Güvenlik açıkları meydana geldiğinde aygıta giriş yapan kullanıcının adını gösterir
    • Groups: Oturum açmış kullanıcının ilişkili olduğu grubu görüntüler
    • Sid: Oturum açmış kullanıcının Güvenlik Tanımlayıcısı (SID)
    • ItemType: İhlal Türleri ile ilgili açıktan yararlanma türünü gösterir
    Not:
    • State (Durum): İzin Verilen, Engellenmiş veya Sonlandırıldı gibi açıklardan yararlanmanın geçerli durumunu gösterir
    Not:
    • Bkz. Güvenlik Açıkları: Durum tablosu
    • MemDefVersion: Açıklardan yararlanmak için kullanılan Bellek Koruması sürümü, tipik olarak Aracı sürüm numarası
    • Count: Güvenlik açığından yararlanma girişiminin çalıştırılan sayısı
Scripts
  • count: Aygıt üzerinde çalıştırılan komut dosyalarının sayısı
  • max: Durum dosyasındaki maksimum komut dosyası sayısı
  • Komut dosyası
    • script_path: Komut dosyasının çıkış noktası yolu. Dosya adını içerir
    • file_hash_id: Komut dosyası için SHA256 karma bilgilerini görüntüler
    • file_md5: Varsa komut dosyası için MD5 karma bilgilerini görüntüler
    • file_sha1: Varsa komut dosyası için SHA1 karma bilgilerini görüntüler
    • drive_type: Sabit gibi komut dosyasının kaynaklandığı sürücü türünü tanımlar
    • last_modified: Komut dosyasının son değiştirıldığı tarih ve saat
    • interpreter:
      • name: Kötü amaçlı komut dosyasını tanımlanan komut dosyası denetimi özelliğinin adı
      • version: Komut dosyası denetimi özelliğinin sürüm numarası
    • username: Komut dosyası başlatıldığında aygıta giriş yapan kullanıcının adını gösterir
    • groups: Oturum açmış kullanıcının ilişkili olduğu grubu görüntüler
    • sid: Oturum açmış kullanıcının Güvenlik Tanımlayıcısı (SID)
    • action: İzin Verilen, Engellenmiş veya Sonlandırıldı gibi komut dosyası üzerinde yapılan eylemi gösterir. Bkz. Komut Dosyaları: Eylem tablosu

Tehditlerin File_Status, FileState ve FileType'dadeşifre olması için birden fazla sayısal tabanlı kategori vardır. Atanecek değerler için uygun kategoriye başvurun.

File_status

Sistem File_Status, FileState tarafından etkinleştirilmiş değerlere göre hesaplanan ondalık bir değerdir (FileState bölümüne bakın). Örneğin, tehdit (0x01) olarak tanımlanan dosyadan file_status için 9 ondalık değer hesaplanır ve dosya karantinaya alınmıştır (0x08).

file_status ve file_type

FileState

Tehditler: FileState

Yok 0x00
Tehdit 0x01
Şüpheli 0x02
İzin Verildi 0x04
Karantinada 0x08
Çalışıyor 0x10
Bozuk 0x20

FileType

Tehditler: FileType

Desteklenmiyor 0
PE 1
Arşiv 2
PDF 3
OLE 4

Güvenlik açıkları, hem ItemType hem de State (Durum) içinde deşifre edilecek iki sayısal tabanlı kategoriye sahiptir.

ItemType ve Durum

Atanecek değerler için uygun kategoriye başvurun.

ItemType

Güvenlik Açıkları: ItemType

StackPivot 1 Yığın Özeti
StackProtect 2 Yığın Koruması
OverwriteCode 3 Üzerine Yazma Kodu
OopAllocate 4 Belleğin Uzaktan Tahsisi
OopMap 5 Belleğin Uzaktan Eşlemesi
OopWrite 6 Belleğe Uzaktan Yazma
OopWritePe 7 PE'yi Belleğe Uzaktan Yazma
OopOverwriteCode 8 Uzaktan Üzerine Yazma Kodu
OopUnmap 9 Belleğin Uzaktan Eşlemesinin Kaldırılması
OopThreadCreate 10 Uzaktan İş Parçacığı Oluşturma
OopThreadApc 11. Uzaktan Zamanlanmış APC
LsassRead 12 LSASS Okuma
TrackDataRead 13 RAM Kazıma
CpAllocate 14 Belleğin Uzaktan Tahsisi
CpMap 15 Belleğin Uzaktan Eşlemesi
CpWrite 16 Belleğe Uzaktan Yazma
CpWritePe 17 PE'yi Belleğe Uzaktan Yazma
CpOverwriteCode 18 Uzaktan Üzerine Yazma Kodu
CpUnmap 19 Belleğin Uzaktan Eşlemesinin Kaldırılması
CpThreadCreate 20 Uzaktan İş Parçacığı Oluşturma
CpThreadApc 21 Uzaktan Zamanlanmış APC
ZeroAllocate 22 Sıfır Tahsis
DyldInjection 23 YLD Ekleme
MaliciousPayload 24 Kötü Amaçlı Yük
 
Not:

Durum

Güvenlik Açıkları: Durum

Yok 0
İzin Verildi 1
Engellendi 2
Sonlandırıldı 3

Güvenlik açıklarının Eylem'de deşifre edilecek tek bir sayısal tabanlı kategorisi vardır.

İşlem

Komut Dosyaları: İşlem

Yok 0
İzin Verildi 1
Engellendi 2
Sonlandırıldı 3

Destek ile iletişime geçmek için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.
Çevrimiçi olarak teknik destek talebi oluşturmak için TechDirect adresine gidin.
Daha fazla faydalı bilgi ve kaynak için Dell Security Topluluk Forumu'na katılın.

Дополнительная информация

   

Видео

   

Затронутые продукты

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Свойства статьи
Номер статьи: 000124896
Тип статьи: Solution
Последнее изменение: 20 Nov 2023
Версия:  12
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.