Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

De eindpuntstatus van Dell Endpoint Security Suite Enterprise en Threat Defense analyseren

Сводка: Eindpuntstatussen kunnen worden geanalyseerd in Dell Endpoint Security Suite Enterprise en Dell Threat Defense met behulp van deze instructies.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

Opmerking:

Dell Endpoint Security Suite Enterprise en Dell Threat Defense eindpuntstatussen kunnen worden opgehaald van een specifiek eindpunt voor diepgaande evaluatie van bedreigingen, exploits en scripts.


Betreffende producten:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Betreffende platforms:

  • Windows
  • Mac
  • Linux

Причина

Niet van toepassing

Разрешение

Beheerders van Dell Endpoint Security Suite Enterprise of Dell Threat Defense kunnen toegang krijgen tot een individueel eindpunt om het te bekijken:

  • Inhoud van malware
  • Malwarestatus
  • Malware Type

Een administrator moet deze stappen alleen uitvoeren bij het oplossen van problemen waarom de Engine voor geavanceerde bedreigingspreventie (ATP) een bestand verkeerd heeft geclassificeerd. Klik op Access or Review ( Openen of controleren ) voor meer informatie.

Access

Toegang tot malware-informatie varieert tussen Windows, macOS en Linux. Klik voor meer informatie op het betreffende besturingssysteem.

Windows registreert standaard geen diepgaande malware-informatie.

  1. Klik met de rechtermuisknop op het Windows-startmenu en vervolgens op Uitvoeren.

Voer

  1. Typ in de gebruikersinterface uitvoeren regedit en druk vervolgens op CTRL+SHIFT+ENTER. Hiermee wordt de Register-editor uitgevoerd als admin.

Gebruikersinterface uitvoeren

  1. Ga in de Register-editor naar HKEY_LOCAL_MACHINE\Software\Cylance\Desktopte installeren.
  2. Klik in het linkerdeelvenster met de rechtermuisknop op Bureaublad en selecteer vervolgens Machtigingen.

Machtigingen

  1. Klik op Advanced.

Geavanceerde

  1. Klik op Eigenaar.

Tabblad Eigenaar

  1. Klik op Andere gebruikers of groepen.

Andere gebruikers of groepen

  1. Zoek uw account in de groep en klik vervolgens op OK.

Account geselecteerd

  1. Klik op OK.

OK

  1. Zorg ervoor dat volledige controle op uw groep of gebruikersnaam is ingeschakeld en klik vervolgens op OK.

SLN310044_en_US__9ddpkm1371i

Opmerking: In het voorbeeld is DDP_Admin (stap 8) lid van de gebruikersgroep.
  1. Op HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klikt u met de rechtermuisknop op de bureaubladmap, selecteert u Nieuw en klikt u vervolgens op DWORD -waarde (32-bits).

Nieuw DWORD

  1. Geef het DWORD de naam StatusFileEnabledte installeren.

StatusBestandEnabled

  1. Dubbelklik op StatusBestandEnabled.

DWORD bewerken

  1. Vul waardedata in met 1 en druk vervolgens op OK.

Bijgewerkt DWORD

  1. Op HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klikt u met de rechtermuisknop op de bureaubladmap, selecteert u Nieuw en klikt u vervolgens op DWORD -waarde (32-bits).

Nieuw DWORD

  1. Geef het DWORD de naam StatusFileTypete installeren.

StatusBestandtype

  1. Dubbelklik op StatusBestandtype.

DWORD bewerken

  1. Vul waardedata in met een van beide 0 of 1te installeren. Druk op OK zodra de waardedata zijn ingevuld.

Bijgewerkt DWORD

Opmerking: Keuzes voor waardedata:
  • 0 = JSON-bestandsindeling
  • 1 = XML-indeling
  1. Op HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klikt u met de rechtermuisknop op de bureaubladmap, selecteert u Nieuw en klikt u vervolgens op DWORD -waarde (32-bits).

Nieuw DWORD

  1. Geef het DWORD de naam StatusPeriodte installeren.

Statusperiode

  1. Dubbelklik op Statusperiode.

DWORD bewerken

  1. Vul waardedata in met een aantal variërend van 15 Aan 60 en klik vervolgens op OK.

Bijgewerkt DWORD

Opmerking: De StatusPeriod is hoe vaak het bestand wordt geschreven.
15 = 15 seconden interval
60 = 60 seconden interval
  1. Op HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klikt u met de rechtermuisknop op de map Bureaublad , selecteert u Nieuw en klikt u vervolgens op String Valuete installeren.

Nieuwe tekenreeks

  1. Geef de tekenreeks een naam StatusFilePathte installeren.

StatusFilePath

  1. Dubbelklik op StatusFilePath.

Tekenreeks bewerken

  1. Vul waardedata in met de locatie waar u het statusbestand naar wilt schrijven en klik vervolgens op OK.

Bewerkte tekenreeks

Opmerking:
  • Standaardpad: <CommonAppData>\Cylance\Status\Status.json
  • Voorbeeldpad: C:\ProgramData\Cylance
  • Een .json-bestand (JavaScript Object Notation) kan worden geopend in een ASCII-tekstdocumenteditor.

Diepgaande malware-informatie bevindt zich in het bestand Status.json op:

/Library/Application Support/Cylance/Desktop/Status.json
 
Opmerking: Een .json-bestand (JavaScript Object Notation) kan worden geopend in een ASCII-tekstdocumenteditor.

Diepgaande malware-informatie bevindt zich in het bestand Status.json op:

/opt/cylance/desktop/Status.json
 
Opmerking: Een .json-bestand (JavaScript Object Notation) kan worden geopend in een ASCII-tekstdocumenteditor.

Review

De inhoud van het statusbestand bevat gedetailleerde informatie over meerdere categorieën, waaronder bedreigingen, exploits en scripts. Klik op de juiste informatie voor meer informatie.

Inhoud van het statusbestand:

snapshot_time De datum en tijd waarop de statusinformatie is verzameld. De datum en tijd zijn lokaal voor het apparaat.
ProductInfo
  • version: Advanced Threat Prevention Agent-versie op het apparaat
  • last_communicated_timestamp: Datum en tijd van de laatste controle voor een agent-update
  • serial_number: Installatietoken dat wordt gebruikt om de agent te registreren
  • device_name: Naam van het apparaat waarop de Agent is geïnstalleerd
Policy
  • type: Status of de agent online of offline is
  • id: Unieke id voor het beleid
  • name: Policynaam
ScanState
  • last_background_scan_timestamp: Datum en tijd van de laatste scan voor bedreigingsdetectie op de achtergrond
  • drives_scanned: Lijst met gescande stationsletters
Threats
  • count: Het aantal gevonden bedreigingen
  • max: Het maximale aantal bedreigingen in het statusbestand
  • Bedreiging
    • file_hash_id: Toont de SHA256 hash-informatie voor de bedreiging
    • file_md5: De MD5-hash
    • file_path: Het pad waar de bedreiging is gevonden. Bevat de bestandsnaam
    • is_running: Wordt de bedreiging momenteel op het apparaat uitgevoerd? Waar of onwaar
    • auto_run: Is het bedreigingsbestand ingesteld op automatisch uitvoeren? Waar of onwaar
    • file_status: Toont de huidige status van de bedreiging, zoals Toegestaan, Actief of In quarantaine geplaatst. Zie de bedreigingen: Tabel FileState
    • file_type: Toont het type bestand, zoals Portable Executable (PE), Archive of PDF. Zie de bedreigingen: FileType-tabel
    • score: Toont de Cylance-score. De score die wordt weergegeven in het statusbestand varieert van 1000 tot -1000. In de Console is het bereik 100 tot -100
    • file_size: Toont de bestandsgrootte in bytes
Exploits
  • count: Het aantal misbruiken dat is gevonden
  • max: Het maximale aantal exploits in het statusbestand
  • Exploiteren
    • ProcessId: Toont de proces-ID van de applicatie die wordt geïdentificeerd door Geheugenbeveiliging
    • ImagePath: Het pad waar de aanval vandaan komt. Bevat de bestandsnaam
    • ImageHash: Toont de SHA256 hash-informatie voor de aanval
    • FileVersion: Toont het versienummer van het aanvalsbestand
    • Username: Toont de naam van de gebruiker die is aangemeld bij het apparaat toen de aanval plaatsvond
    • Groups: Toont de groep waarmee de aangemelde gebruiker is gekoppeld
    • Sid: De Security Identifier (SID) voor de aangemelde gebruiker
    • ItemType: Toont het type aanval dat betrekking heeft op de typen overtredingen
    Opmerking:
    • Staat: Toont de huidige status van de aanval, zoals Toegestaan, Geblokkeerd of Beëindigd
    Opmerking:
    • Zie de exploits: Statustabel
    • MemDefVersion: De versie van geheugenbeveiliging die wordt gebruikt om de aanval te identificeren, meestal het versienummer van de Agent
    • Count: Het aantal keren dat de aanval probeerde uit te voeren
Scripts
  • count: Het aantal scripts dat op het apparaat wordt uitgevoerd
  • max: Het maximale aantal scripts in het statusbestand
  • Script
    • script_path: Het pad waar het script vandaan komt. Bevat de bestandsnaam
    • file_hash_id: Toont de SHA256 hash-informatie voor het script
    • file_md5: Toont de MD5-hash-informatie voor het script, indien beschikbaar
    • file_sha1: Toont de SHA1-hash-informatie voor het script, indien beschikbaar
    • drive_type: Identificeert het type station waarvan het script afkomstig is, zoals Fixed
    • last_modified: De datum en tijd waarop het script voor het laatst is gewijzigd
    • interpreter:
      • name: De naam van de scriptcontrolefunctie waarmee het schadelijke script is geïdentificeerd
      • version: Het versienummer van de scriptcontrolefunctie
    • username: Toont de naam van de gebruiker die is aangemeld bij het apparaat toen het script werd gestart
    • groups: Toont de groep waarmee de aangemelde gebruiker is gekoppeld
    • sid: De Security Identifier (SID) voor de aangemelde gebruiker
    • action: Toont de actie die is ondernomen op het script, zoals Toegestaan, Geblokkeerd of Beëindigd. Zie de scripts: Actietabel

Bedreigingen hebben meerdere numerieke categorieën die moeten worden ontcijferd in File_Status, FileState en FileType. Verwijs naar de juiste categorie voor de waarden die moeten worden toegewezen.

File_Status

Het veld File_Status is een decimaalwaarde die wordt berekend op basis van de waarden die zijn ingeschakeld door FileState (zie de tabel in het gedeelte FileState). Een decimaalwaarde van 9 voor file_status wordt bijvoorbeeld berekend op basis van het bestand dat wordt geïdentificeerd als een bedreiging (0x01) en het bestand is in quarantaine geplaatst (0x08).

file_status en file_type

FileState

Bedreigingen: FileState

Geen 0x00
Bedreiging 0x01
Verdachte 0x02
Toegestaan 0x04
In quarantaine geplaatst 0x08
Met 0x10
Corrupte 0x20

Bestandstype

Bedreigingen: Bestandstype

Niet ondersteund 0
PE 1
Archief 2
PDF 3
OLE 4

Exploits hebben twee numerieke categorieën die moeten worden ontcijferd in zowel ItemType als State.

Itemtype en status

Verwijs naar de juiste categorie voor de waarden die moeten worden toegewezen.

Itemtype

Exploits: Itemtype

StackPivot 1 Stack Pivot
StackProtect 2 Stack-beveiliging
OverwriteCode 3 Code overschrijven
OopAllocate 4 Externe toewijzing van geheugen
OopMap 5 Externe toewijzing van geheugen
OopWrite 6 Extern schrijven naar geheugen
OopWritePe 7 Extern schrijven VAN PE naar geheugen
OopOverwriteCode 8 Code voor extern overschrijven
OopUnmap 9 Externe unmap van geheugen
OopThreadCreate 10 Externe thread maken
OopThreadApc 11 Externe APC gepland
LsassRead 12 LSASS lezen
TrackDataRead 13 RAM-afdanken
CpAllocate 14 Externe toewijzing van geheugen
CpMap 15 Externe toewijzing van geheugen
CpWrite 16 Extern schrijven naar geheugen
CpWritePe 17 Extern schrijven VAN PE naar geheugen
CpOverwriteCode 18 Code voor extern overschrijven
CpUnmap 19 Externe unmap van geheugen
CpThreadCreate 20 Externe thread maken
CpThreadApc 21 Externe APC gepland
ZeroAllocate 22 Zero Allocate
DyldInjection 23 DYLD-injectie
MaliciousPayload 24 Schadelijke payload
 
Opmerking:

Status

Exploits: Status

Geen 0
Toegestaan 1
Geblokkeerd 2
Beëindigd 3

Exploits hebben één numerieke categorie om te worden ontcijferd in Actie.

Actie

Scripts: Actie

Geen 0
Toegestaan 1
Geblokkeerd 2
Beëindigd 3

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.

Дополнительная информация

   

Видео

   

Затронутые продукты

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Свойства статьи
Номер статьи: 000124896
Тип статьи: Solution
Последнее изменение: 20 Nov 2023
Версия:  12
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.