Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Jak analyzovat stav koncového bodu sady Dell Endpoint Security Suite Enterprise a softwaru Threat Defense

Сводка: Stavy koncových bodů lze pomocí těchto pokynů analyzovat v sadě Dell Endpoint Security Suite Enterprise a softwaru Dell Threat Defense.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

Poznámka:

Stavy koncového bodu sady Dell Endpoint Security Suite Enterprise a Dell Threat Defense lze získat z konkrétního koncového bodu pro podrobnou kontrolu hrozeb, zneužití a skriptů.


Dotčené produkty:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Dotčené platformy:

  • Windows
  • Mac
  • Linux

Причина

Není k dispozici

Разрешение

Správci sady Dell Endpoint Security Suite Enterprise nebo softwaru Dell Threat Defense mohou přistupovat k jednotlivým koncovým bodům, kde mohou kontrolovat:

  • Obsah typu malware
  • Stav malwaru
  • Typ malwaru

Správce by měl tyto kroky provést pouze při odstraňování problémů, proč modul ATP (Advanced Threat Prevention) chybně klasifikován soubor. Další informace získáte po kliknutí na možnost Přístup nebo kontrola .

Přístupový

Přístup k informacím o malwaru se liší mezi systémy Windows, macOSLinux. Další informace jsou uvedeny pod odkazy k příslušným operačním systémům.

Ve výchozím nastavení systém Windows nezaznamenává podrobné informace o malwaru.

  1. Pravým tlačítkem klikněte na nabídku Start systému Windows a poté na možnost Spustit.

Spustit

  1. V uživatelském rozhraní Spustit zadejte příkaz regedit a poté stiskněte klávesy CTRL+SHIFT+ENTER. Tak spustíte Editor registru jako správce.

Uživatelské rozhraní Spustit

  1. V Editoru registru přejděte na HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. V levém podokně klikněte pravým tlačítkem na Desktop a vyberte položku Oprávnění.

Oprávnění

  1. Klikněte na tlačítko Upřesnit.

Advanced

  1. Klikněte na kartu Vlastník.

Karta Vlastník

  1. Klikněte na tlačítko Další uživatelé a skupiny.

Další uživatelé a skupiny

  1. Vyhledejte svůj účet ve skupině a klikněte na tlačítko OK.

Vybraný účet

  1. Klikněte na tlačítko OK.

OK

  1. Ujistěte se, že vaše skupina nebo uživatelské jméno má zaškrtnutou možnost Úplné řízení a pak klikněte na tlačítko OK.

SLN310044_en_US__9ddpkm1371i

Poznámka: V příkladu je uživatel DDP_Admin (krok 8) členem skupiny Users.
  1. Na HKEY_LOCAL_MACHINE\Software\Cylance\Desktopklikněte pravým tlačítkem myši na složku Plocha , vyberte možnost Nový a poté klikněte na možnost Hodnota DWORD (32 bitů).

Nová hodnota DWORD

  1. Hodnotu DWORD pojmenujte. StatusFileEnabled.

StatusFileEnabled

  1. Dvakrát klikněte na hodnotu StatusFileEnabled.

Úprava hodnoty DWORD

  1. Vyplňte hodnotu dat pomocí 1 a poté stiskněte tlačítko OK.

Aktualizovaná hodnota DWORD

  1. Na HKEY_LOCAL_MACHINE\Software\Cylance\Desktopklikněte pravým tlačítkem myši na složku Plocha , vyberte možnost Nový a poté klikněte na možnost Hodnota DWORD (32 bitů).

Nová hodnota DWORD

  1. Hodnotu DWORD pojmenujte. StatusFileType.

StatusFileType

  1. Dvakrát klikněte na hodnotu StatusFileType.

Úprava hodnoty DWORD

  1. Vyplňte údaj Hodnoty pomocí některého z následujících údajů: 0 nebo 1. Po vyplnění pole Údaj hodnoty stiskněte tlačítko OK.

Aktualizovaná hodnota DWORD

Poznámka: Možné údaje hodnoty:
  • 0 = Formát souboru JSON
  • 1 = Formát XML
  1. Na HKEY_LOCAL_MACHINE\Software\Cylance\Desktopklikněte pravým tlačítkem myši na složku Plocha , vyberte možnost Nový a poté klikněte na možnost Hodnota DWORD (32 bitů).

Nová hodnota DWORD

  1. Hodnotu DWORD pojmenujte. StatusPeriod.

StatusPeriod

  1. Dvakrát klikněte na hodnotu StatusPeriod.

Úprava hodnoty DWORD

  1. Vyplňte hodnotu dat číslem v rozsahu od 15 na 60 a potom klikněte na tlačítko OK.

Aktualizovaná hodnota DWORD

Poznámka: Soubor StatusPeriod je jak často se soubor zapisuje.
15 = 15 sekund interval
60 = 60 sekund interval
  1. Na HKEY_LOCAL_MACHINE\Software\Cylance\Desktopklikněte pravým tlačítkem myši na složku Plochy , vyberte možnost Nový a poté klikněte na položku String Value.

Nový řetězec

  1. Pojmenujte řetězec. StatusFilePath.

StatusFilePath

  1. Dvakrát klikněte na hodnotu StatusFilePath.

Upravit řetězec

  1. Do pole Údaj hodnoty zadejte umístění, kam chcete zapsat stavový soubor, a klikněte na OK.

Změněný řetězec

Poznámka:
  • Výchozí cesta: <CommonAppData>\Cylance\Status\Status.json
  • Příklad cesty: C:\ProgramData\Cylance
  • Soubor .json (JavaScript Object Notation) lze otevřít v editoru textových dokumentů formátu ASCII.

Podrobné informace o malwaru jsou uvedeny v souboru Status.json v umístění:

/Library/Application Support/Cylance/Desktop/Status.json
 
Poznámka: Soubor .json (JavaScript Object Notation) lze otevřít v editoru textových dokumentů formátu ASCII.

Podrobné informace o malwaru jsou uvedeny v souboru Status.json v umístění:

/opt/cylance/desktop/Status.json
 
Poznámka: Soubor .json (JavaScript Object Notation) lze otevřít v editoru textových dokumentů formátu ASCII.

Kontrola

Obsah stavového souboru zahrnuje podrobné informace o více kategoriích včetně hrozeb, zneužití chybskriptů. Kliknutím na příslušné informace získáte další informace.

Obsah stavového souboru:

snapshot_time Datum a čas, kdy byly informace o stavu shromážděny. Datum a čas jsou brány z místního zařízení.
ProductInfo
  • version: Verze agenta Advanced Threat Prevention na zařízení
  • last_communicated_timestamp: Datum a čas poslední kontroly aktualizace agenta
  • serial_number: Instalační token používaný k registraci agenta
  • device_name: Název zařízení, na které je agent nainstalován
Policy
  • type: Stav, zda je agent online nebo offline
  • id: Jedinečný identifikátor zásady
  • name: Název zásady
ScanState
  • last_background_scan_timestamp: Datum a čas poslední kontroly detekce hrozeb na pozadí
  • drives_scanned: Seznam skenovaných písmen jednotek
Threats
  • count: Počet nalezených hrozeb
  • max: Maximální počet hrozeb v souboru Status
  • Threat
    • file_hash_id: Zobrazí informace o hashování SHA256 pro hrozbu.
    • file_md5: Hash MD5
    • file_path: Cesta, kde byla hrozba nalezena. Obsahuje název souboru
    • is_running: Je hrozba v zařízení aktuálně spuštěna? True nebo false
    • auto_run: Má soubor hrozby nastaveno automatické spuštění? True nebo false
    • file_status: Zobrazuje aktuální stav hrozby, jako je Allowed, Running nebo Quarantined. Viz tabulka Threats: Tabulka FileState
    • file_type: Zobrazí typ souboru, například Portable Executable (PE), Archive nebo PDF. Viz tabulka Threats: Tabulka FileType
    • score: Zobrazuje skóre Cylance. Skóre zobrazené ve stavovém souboru se pohybuje v rozsahu od 1000 do −1000. V konzoli je rozsah 100 až –100.
    • file_size: Zobrazí velikost souboru v bajtech.
Exploits
  • count: Počet nalezených zneužití
  • max: Maximální počet zneužití ve stavové složce
  • Exploit
    • ProcessId: Zobrazí ID procesu aplikace, která je identifikována ochranou paměti.
    • ImagePath: Cesta, ze které zneužití chyby pochází. Obsahuje název souboru
    • ImageHash: Zobrazí informace o hashování SHA256 pro zneužití.
    • FileVersion: Zobrazí číslo verze souboru pro zneužití.
    • Username: Zobrazí jméno uživatele, který byl přihlášen k zařízení, když došlo k zneužití.
    • Groups: Zobrazí skupinu, ke které je přihlášený uživatel přiřazen.
    • Sid: Identifikátor zabezpečení (SID) pro přihlášeného uživatele
    • ItemType: Zobrazuje typ zneužití, který se vztahuje k typům porušení.
    Poznámka:
    • State: Zobrazí aktuální stav zneužití, například Allowed, Blocked nebo Terminated.
    Poznámka:
    • Viz tabulka Exploits: Tabulka stavů
    • MemDefVersion: Verze ochrany paměti použitá k identifikaci zneužití, obvykle číslo verze agenta
    • Count: Počet pokusů o spuštění zneužití
Scripts
  • count: Počet skriptů spuštěných v zařízení
  • max: Maximální počet skriptů v souboru Status
  • Skript
    • script_path: Cesta, ze které skript pochází. Obsahuje název souboru
    • file_hash_id: Zobrazí informace o hashování SHA256 pro skript.
    • file_md5: Zobrazí informace o hashování MD5 pro skript, pokud jsou k dispozici.
    • file_sha1: Zobrazí informace o hashování SHA1 pro skript, pokud jsou k dispozici.
    • drive_type: Identifikuje typ disku, ze kterého skript pochází, jako například Fixed.
    • last_modified: Datum a čas poslední změny skriptu
    • interpreter:
      • name: Název funkce správy skriptů, která identifikovala škodlivý skript.
      • version: Číslo verze funkce správy skriptů
    • username: Zobrazí jméno uživatele, který byl přihlášen k zařízení při spuštění skriptu.
    • groups: Zobrazí skupinu, ke které je přihlášený uživatel přiřazen.
    • sid: Identifikátor zabezpečení (SID) pro přihlášeného uživatele
    • action: Zobrazí akci, která je přijata ve skriptu, jako je Povoleno, Blokováno nebo Zakončeno. Viz tabulka Scripts: Tabulka akcí

Hrozby mají několik numerických kategorií, které mají být dešifrovány v systémech File_Status, FileState a FileType. U hodnot, které mají být přiřazeny, vyhledejte příslušnou kategorii.

File_Status

Pole File_Status je desetinná hodnota vypočítaná na základě hodnot povolených nástrojem FileState (viz tabulka v části FileState). Například desítková hodnota 9 pro file_status se vypočítá ze souboru identifikovaného jako hrozba (0x01), který byl umístěn do karantény (0x08).

file_status and file_type

FileState

Threats: FileState

Žádné 0x00
Threat 0x01
Suspicious 0x02
Allowed 0x04
Quarantined 0x08
Running 0x10
Corrupt 0x20

FileType

Threats: FileType

Nepodporováno 0
PE 1
Archiv 2
PDF 3
OLE 4

Zneužití chyb mají několik numerických kategorií zapsaných v polích ItemType a State, které je třeba dešifrovat.

ItemType a State

U hodnot, které mají být přiřazeny, vyhledejte příslušnou kategorii.

ItemType

Exploits: ItemType

StackPivot 1 Stack Pivot
StackProtect 2 Stack Protect
OverwriteCode 3 Overwrite Code
OopAllocate 4 Remote Allocation of Memory
OopMap 5 Remote Mapping of Memory
OopWrite 6 Remote Write to Memory
OopWritePe 7 Remote Write PE to Memory
OopOverwriteCode 8 Remote Overwrite Code
OopUnmap 9 Remote Unmap of Memory
OopThreadCreate 10 Remote Thread Creation
OopThreadApc 11 Remote APC Scheduled
LsassRead 12 LSASS Read
TrackDataRead 13 Získávání dat z paměti RAM
CpAllocate 14 Remote Allocation of Memory
CpMap 15 Remote Mapping of Memory
CpWrite 16 Remote Write to Memory
CpWritePe 17 Remote Write PE to Memory
CpOverwriteCode 18 Remote Overwrite Code
CpUnmap 19 Remote Unmap of Memory
CpThreadCreate 20 Remote Thread Creation
CpThreadApc 21 Remote APC Scheduled
ZeroAllocate 22 Zero Allocate
DyldInjection 23 Injektáž DYLD
MaliciousPayload 24 Malicious Payload
 
Poznámka:

Stav

Exploits: Stav

Žádné 0
Allowed 1
Blocked 2
Terminated 3

Zneužití chyby mají jednu numerickou kategorii, kterou je třeba dešifrovat v poli Action.

Akce

Scripts: Akce

Žádné 0
Allowed 1
Blocked 2
Terminated 3

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Дополнительная информация

   

Видео

   

Затронутые продукты

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Свойства статьи
Номер статьи: 000124896
Тип статьи: Solution
Последнее изменение: 20 Nov 2023
Версия:  12
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.