Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Dell Endpoint Security Suite Enterprise 및 Threat Defense 엔드포인트 상태를 분석하는 방법

Сводка: 엔드포인트 상태는 다음 지침에 따라 Dell Endpoint Security Suite Enterprise 및 Dell Threat Defense에서 분석할 수 있습니다.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

참고:
  • 2022년 5월부터 Dell Endpoint Security Suite Enterprise 유지 보수가 종료됩니다. 이 제품 및 관련 문서는 더 이상 Dell에서 업데이트하지 않습니다.
  • 2022년 5월부터 Dell Threat Defense에 대한 유지 보수가 종료됩니다. 이 제품 및 관련 문서는 더 이상 Dell에서 업데이트하지 않습니다.
  • 자세한 내용은 Dell Data Security에 대한 제품 수명주기(지원 종료 및 EOL) 정책을 참조하십시오. 다른 문서에 대한 질문이 있는 경우 영업 팀에 문의하거나 endpointsecurity@dell.com으로 문의하십시오.
  • 최신 제품에 대한 자세한 내용은 엔드포인트 보안을 참조하십시오.

Dell Endpoint Security Suite Enterprise 및 Dell Threat Defense 엔드포인트 상태를 특정 엔드포인트에서 가져와 위협, 익스플로잇 및 스크립트를 심층 검토할 수 있습니다.


영향을 받는 제품:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

해당되는 플랫폼:

  • Windows
  • Mac
  • Linux

Причина

해당 사항 없음

Разрешение

Dell Endpoint Security Suite Enterprise 또는 Dell Threat Defense 관리자는 개별 엔드포인트에 액세스하여 검토할 수 있습니다.

  • 멀웨어 콘텐츠
  • 멀웨어 상태
  • 멀웨어 유형

관리자는 ATP(Advanced Threat Prevention) 엔진이 파일을 잘못 분류한 이유를 해결하는 경우에만 이러한 단계를 수행해야 합니다. 자세한 내용을 확인하려면 Access 또는 Review 를 클릭하십시오.

액세스

멀웨어 정보에 대한 액세스는 Windows, macOSLinux에 따라 다릅니다. 자세한 내용은 해당 운영 체제를 클릭합니다.

기본적으로 Windows는 심층적인 멀웨어 정보를 기록하지 않습니다.

  1. Windows 시작 메뉴를 마우스 오른쪽 버튼으로 클릭한 다음 Run을 클릭합니다.

실행

  1. 실행 UI에서 regedit 키를 누릅니다. 그러면 레지스트리 편집기가 관리자로 실행됩니다.

UI 실행

  1. 레지스트리 편집기에서 다음으로 이동합니다. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. 왼쪽 창에서 Desktop을 마우스 오른쪽 버튼으로 클릭한 다음 Permissions를 선택합니다.

사용 권한

  1. 고급을 클릭합니다.

고급

  1. Owner를 클릭합니다.

소유자 탭

  1. Other users or groups를 클릭합니다.

Other users or groups

  1. 그룹에서 계정을 검색한 다음 OK를 클릭합니다.

계정 선택됨

  1. 확인을 클릭합니다.

OK

  1. 그룹 또는 사용자 이름에 Full Control이 선택되어 있는지 확인한 다음 OK를 클릭합니다.

SLN310044_en_US__9ddpkm1371i

참고: 이 예에서 DDP_Admin(8단계)은 사용자 그룹의 구성원입니다.
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop바탕 화면 폴더를 마우스 오른쪽 버튼으로 클릭하고 New를 선택한 다음 DWORD(32비트) 값을 클릭합니다.

새 DWORD

  1. DWORD 이름 지정 StatusFileEnabled.

StatusFileEnabled

  1. StatusFileEnabled를 두 번 클릭합니다.

DWORD를 편집합니다.

  1. 값 데이터를 1 확인을 누릅니다.

DWORD 업데이트됨

  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop바탕 화면 폴더를 마우스 오른쪽 버튼으로 클릭하고 New를 선택한 다음 DWORD(32비트) 값을 클릭합니다.

새 DWORD

  1. DWORD 이름 지정 StatusFileType.

StatusFileType

  1. StatusFileType을 두 번 클릭합니다.

DWORD를 편집합니다.

  1. 값 데이터를 중 하나로 채웁 0 또는 1. Value data가 채워지면 OK를 누릅니다.

DWORD 업데이트됨

참고: Value data 선택:
  • 0 = JSON 파일 형식
  • 1 = XML 형식
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop바탕 화면 폴더를 마우스 오른쪽 버튼으로 클릭하고 New를 선택한 다음 DWORD(32비트) 값을 클릭합니다.

새 DWORD

  1. DWORD 이름 지정 StatusPeriod.

StatusPeriod

  1. StatusPeriod를 두 번 클릭합니다.

DWORD를 편집합니다.

  1. 값 데이터를 다양한 숫자로 채웁 15 에서 60 확인(OK)을 클릭합니다.

DWORD 업데이트됨

참고: StatusPeriod는 파일이 기록되는 빈도입니다.
15 = 15초 간격
60 = 60초 간격
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop바탕 화면 폴더를 마우스 오른쪽 버튼으로 클릭하고 New를 선택한 다음 String Value.

새 문자열

  1. 문자열 이름 지정 StatusFilePath.

StatusFilePath

  1. StatusFilePath를 두 번 클릭합니다.

문자열 편집

  1. 상태 파일을 쓸 위치로 Value data를 채운 다음 OK를 클릭합니다.

문자열 편집됨

참고:
  • 기본 경로: <CommonAppData>\Cylance\Status\Status.json
  • 경로 예: C:\ProgramData\Cylance
  • .json(JavaScript Object Notation) 파일은 ASCII 텍스트 문서 편집기에서 열 수 있습니다.

자세한 멀웨어 정보는 다음 Status.json 파일에 있습니다.

/Library/Application Support/Cylance/Desktop/Status.json
 
참고: .json(JavaScript Object Notation) 파일은 ASCII 텍스트 문서 편집기에서 열 수 있습니다.

자세한 멀웨어 정보는 다음 Status.json 파일에 있습니다.

/opt/cylance/desktop/Status.json
 
참고: .json(JavaScript Object Notation) 파일은 ASCII 텍스트 문서 편집기에서 열 수 있습니다.

검토

상태 파일의 콘텐츠에는 위협, 악용스크립트를 비롯한 여러 범주에 대한 자세한 정보가 포함되어 있습니다. 해당 정보를 클릭하여 자세한 내용을 알아보십시오.

상태 파일 콘텐츠:

snapshot_time 상태 정보가 수집된 날짜 및 시간입니다. 날짜와 시간은 디바이스의 로컬 설정을 따릅니다.
ProductInfo
  • version: 디바이스의 Advanced Threat Prevention Agent 버전
  • last_communicated_timestamp: 에이전트 업데이트에 대한 마지막 검사 날짜 및 시간
  • serial_number: 에이전트 등록에 사용되는 설치 토큰
  • device_name: 에이전트가 설치된 디바이스의 이름
Policy
  • type: 에이전트가 온라인인지 아니면 오프라인 상태인지 여부
  • id: 정책에 대한 고유 식별자
  • name: 정책 이름
ScanState
  • last_background_scan_timestamp: 마지막 백그라운드 위협 탐지 검사 날짜 및 시간
  • drives_scanned: 스캔한 드라이브 문자 목록
Threats
  • count: 발견된 위협의 수
  • max: 상태 파일의 최대 위협 수
  • 위협
    • file_hash_id: 위협에 대한 SHA256 해시 정보를 표시합니다.
    • file_md5: MD5 해시
    • file_path: 위협이 발견된 경로입니다. 파일 이름 포함
    • is_running: 디바이스에서 현재 위협이 실행되고 있습니까? 참 또는 거짓
    • auto_run: 위협 파일이 자동으로 실행되도록 설정되어 있습니까? 참 또는 거짓
    • file_status: 허용, 실행 중 또는 격리된 상태와 같은 위협의 현재 상태를 표시합니다. 위협: FileState
    • file_type: PE(Portable Executable), 아카이브 또는 PDF와 같은 파일 유형을 표시합니다. 위협: FileType
    • score: Cylance 점수를 표시합니다. 상태 파일에 표시되는 점수는 1000에서 -1000 사이입니다. 콘솔에서 범위는 100~-100입니다.
    • file_size: 파일 크기를 바이트 단위로 표시합니다.
Exploits
  • count: 발견된 익스플로잇의 수
  • max: 상태 파일의 최대 익스플로잇 수
  • 악용
    • ProcessId: 메모리 보호로 식별된 애플리케이션의 프로세스 ID 표시
    • ImagePath: 악용이 시작된 경로입니다. 파일 이름 포함
    • ImageHash: 익스플로잇에 대한 SHA256 해시 정보 표시
    • FileVersion: 익스플로잇 파일의 버전 번호를 표시합니다.
    • Username: 악용이 발생했을 때 디바이스에 로그인한 사용자의 이름을 표시합니다.
    • Groups: 로그인한 사용자가 연결된 그룹을 표시합니다.
    • Sid: 로그인한 사용자의 SID(Security Identifier)
    • ItemType: 위반 유형과 관련된 익스플로잇 유형을 표시합니다.
    참고:
    • State: 허용됨, 차단됨 또는 종료됨과 같은 익스플로잇의 현재 상태를 표시합니다.
    참고:
    • 악용: 상태
    • MemDefVersion: 익스플로잇을 식별하는 데 사용되는 메모리 보호 버전(일반적으로 에이전트 버전 번호)
    • Count: 익스플로잇이 실행하려고 시도한 횟수
Scripts
  • count: 디바이스에서 실행되는 스크립트 수
  • max: 상태 파일의 최대 스크립트 수
  • 스크립트
    • script_path: 스크립트가 시작된 경로입니다. 파일 이름 포함
    • file_hash_id: 스크립트에 대한 SHA256 해시 정보를 표시합니다.
    • file_md5: 가능한 경우 스크립트에 대한 MD5 해시 정보를 표시합니다.
    • file_sha1: 가능한 경우 스크립트에 대한 SHA1 해시 정보를 표시합니다.
    • drive_type: 스크립트에서 생성된 드라이브 유형(예: 고정)을 식별합니다.
    • last_modified: 스크립트가 마지막으로 수정된 날짜 및 시간
    • interpreter:
      • name: 악성 스크립트를 식별한 스크립트 제어 기능의 이름입니다.
      • version: 스크립트 제어 기능의 버전 번호
    • username: 스크립트를 실행할 때 디바이스에 로그인한 사용자의 이름을 표시합니다.
    • groups: 로그인한 사용자가 연결된 그룹을 표시합니다.
    • sid: 로그인한 사용자의 SID(Security Identifier)
    • action: 허용됨, 차단됨 또는 종료와 같이 스크립트에서 수행된 작업을 표시합니다. 스크립트: 작업

위협은 여러 숫자 기반 범주를 File_Status, FileState 및 FileType에서 해독할 수 있습니다. 할당할 값에 대한 적절한 범주를 참조합니다.

File_Status

File_Status 필드는 FileState에서 활성화한 값을 기준으로 계산된 십진수 값입니다(FileState 섹션의 표 참조). 예를 들어 file_status에 대한 10진수 값 9는 위협(0x01)으로 식별되는 파일에서 계산되며 파일이 격리되었습니다(0x08).

file_status 및 file_type

FileState

위협: FileState

없음 0x00
위협 0x01
의심됨 0x02
허용됨 0x04
격리됨 0x08
실행 중 0x10
손상 0x20

FileType

위협: FileType

지원되지 않음 0
PE 1
아카이브 2
PDF 3
OLE 4

악용에는 ItemTypeState에서 모두 해독할 수 있는 두 가지 숫자 기반 범주가 있습니다.

ItemType 및 State

할당할 값에 대한 적절한 범주를 참조합니다.

ItemType

악용: ItemType

StackPivot 1 스택 피벗
StackProtect 2 스택 보호
OverwriteCode 3 코드 덮어쓰기
OopAllocate 4 메모리 원격 할당
OopMap 5 메모리 원격 매핑
OopWrite 6 메모리에 원격으로 쓰기
OopWritePe 7 메모리에 원격으로 PE 쓰기
OopOverwriteCode 8 코드 원격으로 덮어쓰기
OopUnmap 9 메모리 원격 매핑 해제
OopThreadCreate 10 원격 스레드 생성
OopThreadApc 11 원격 APC 예약됨
LsassRead 12 LSASS 읽기
TrackDataRead 13 RAM 스크래핑
CpAllocate 14 메모리 원격 할당
CpMap 15 메모리 원격 매핑
CpWrite 16 메모리에 원격으로 쓰기
CpWritePe 17 메모리에 원격으로 PE 쓰기
CpOverwriteCode 18 코드 원격으로 덮어쓰기
CpUnmap 19 메모리 원격 매핑 해제
CpThreadCreate 20 원격 스레드 생성
CpThreadApc 21 원격 APC 예약됨
ZeroAllocate 22 제로 할당
DyldInjection 23 DYLD 주입
MaliciousPayload 24 악성 페이로드
 
참고:

상태

악용: 상태

없음 0
허용됨 1
차단됨 2
종료됨 3

악용은 조치에서의 판독이 가능한 단일 숫자 기반 범주입니다.

동작

스크립트: 동작

없음 0
허용됨 1
차단됨 2
종료됨 3

지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.

Дополнительная информация

   

Видео

   

Затронутые продукты

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Свойства статьи
Номер статьи: 000124896
Тип статьи: Solution
Последнее изменение: 20 Nov 2023
Версия:  12
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.