Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

如何分析 Dell Endpoint Security Suite Enterprise 和 Threat Defense 端点状态

Сводка: 可以根据以下说明在 Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 中分析端点状态。

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

提醒:

可以从特定端点提取 Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 端点状态,以便深入查看威胁、漏洞和脚本。


受影响的产品:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

受影响的平台:

  • Windows
  • Mac
  • Linux

Причина

不适用

Разрешение

Dell Endpoint Security Suite Enterprise 或 Dell Threat Defense 管理员可以访问单个端点以查看

  • 恶意软件内容
  • 恶意软件状态
  • 恶意软件类型

管理员仅应在排除高级威胁防御 (ATP) 引擎对文件分类错误的原因进行故障排除时执行这些步骤。单击 “访问”“查看 ”以了解更多信息。

访问

恶意软件信息的访问方法在 WindowsmacOSLinux 中各不相同。有关详情,请单击相应的操作系统。

默认情况下,Windows 不会记录深入的恶意软件信息。

  1. 右键单击 Windows 的“开始”菜单,然后单击运行

运行

  1. 在 运行 UI 中,键入 regedit 然后按 CTRL+SHIFT+ENTER。这将以管理员身份运行 Registry Editor。

“运行”UI

  1. 在注册表编辑器中,转至 HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
  2. 在左侧窗格中,右键单击 Desktop,然后选择权限

权限

  1. 单击高级

高级

  1. 单击所有者

“所有者”选项卡

  1. 单击其他用户或组

其他用户或组

  1. 在组中搜索您的帐户,然后单击确定

所选帐户

  1. 单击确定

OK

  1. 确保您的组或用户名已选中完全控制,然后单击确定

SLN310044_en_US__9ddpkm1371i

提醒:在示例中,DDP_Admin(步骤 8)是用户组的成员。
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop右键单击 桌面 文件夹,选择 新建 ,然后单击 DWORD (32 位) 值

新建 DWORD

  1. 将 DWORD 命名为 StatusFileEnabled

StatusFileEnabled

  1. 双击 StatusFileEnabled

编辑 DWORD

  1. 使用 填充值数据 1 然后按 OK 键

更新后的 DWORD

  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop右键单击 桌面 文件夹,选择 新建 ,然后单击 DWORD (32 位) 值

新建 DWORD

  1. 将 DWORD 命名为 StatusFileType

StatusFileType

  1. 双击 StatusFileType

编辑 DWORD

  1. 使用任意一个填充值数据 0 或者 1。填充值数据后,单击确定

更新后的 DWORD

提醒:值数据选择:
  • 0 = JSON 文件格式
  • 1 = XML 格式
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop右键单击 桌面 文件夹,选择 新建 ,然后单击 DWORD (32 位) 值

新建 DWORD

  1. 将 DWORD 命名为 StatusPeriod

StatusPeriod

  1. 双击 StatusPeriod

编辑 DWORD

  1. 使用一个数字填充 值数据 ,范围从 15 变为 60 然后单击 确定

更新后的 DWORD

提醒:StatusPeriod 是文件的写入频率。
15 = 15 秒间隔
60 = 60 秒间隔
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop右键单击 桌面 文件夹,选择 新建 ,然后单击 String Value

新字符串

  1. 将字符串命名为 StatusFilePath

StatusFilePath

  1. 双击 StatusFilePath

编辑字符串

  1. 使用将状态文件写入的位置填充值数据,然后单击确定

编辑后的字符串

提醒:
  • 默认路径: <CommonAppData>\Cylance\Status\Status.json
  • 路径示例: C:\ProgramData\Cylance
  • 可以在 ASCII 文本文档编辑器中打开 .json (JavaScript Object Notation) 文件。

深入的恶意软件信息在位于以下位置的 Status.json 文件中:

/Library/Application Support/Cylance/Desktop/Status.json
 
提醒:可以在 ASCII 文本文档编辑器中打开 .json (JavaScript Object Notation) 文件。

深入的恶意软件信息在位于以下位置的 Status.json 文件中:

/opt/cylance/desktop/Status.json
 
提醒:可以在 ASCII 文本文档编辑器中打开 .json (JavaScript Object Notation) 文件。

检视

状态文件的内容包括多个类别的详细信息,包括威胁漏洞脚本。单击相应的信息以了解更多相关信息。

状态文件内容:

snapshot_time 状态信息的收集日期和时间。日期和时间是设备的本地日期和时间。
ProductInfo
  • version: 设备上的 Advanced Threat Prevention Agent 版本
  • last_communicated_timestamp: 上次检查代理更新的日期和时间
  • serial_number: 用于注册代理的安装令牌
  • device_name: 代理安装在 的设备的名称
Policy
  • type: 代理是在线还是离线的状态
  • id: 策略的唯一标识符
  • name: 策略名称
ScanState
  • last_background_scan_timestamp: 上次后台威胁检测扫描的日期和时间
  • drives_scanned: 扫描的驱动器号列表
Threats
  • count: 发现的威胁数
  • max: 状态 文件中的最大威胁数
  • Threat
    • file_hash_id: 显示威胁的 SHA256 哈希信息
    • file_md5: MD5 哈希
    • file_path: 发现威胁的路径。包括文件名
    • is_running: 威胁是否正在设备上运行?对或错
    • auto_run: 威胁文件是否设置为自动运行?对或错
    • file_status: 显示威胁的当前状态,如 Allowed、Running 或 Quarantined。请参阅威胁:FileState
    • file_type: 显示文件类型,如 Portable Executable (PE)、Archive 或 PDF。请参阅威胁:FileType
    • score: 显示 Cylance 分数。状态文件中显示的分数范围为 1000 到 -1000。在控制台中,范围为 100 到 -100
    • file_size: 显示文件大小(以字节为单位)
Exploits
  • count: 发现漏洞的数量
  • max: 状态文件中的最大漏洞数
  • 漏洞
    • ProcessId: 显示内存保护标识的应用程序的进程 ID
    • ImagePath: 漏洞源自的路径。包括文件名
    • ImageHash: 显示漏洞的 SHA256 哈希信息
    • FileVersion: 显示利用文件的版本号
    • Username: 显示在发生漏洞时登录设备的用户的名称
    • Groups: 显示登录用户与之关联的组
    • Sid: 已登录用户的安全标识符 (SID)
    • ItemType: 显示与违规类型相关的漏洞类型
    提醒:
    • State:显示漏洞的当前状态,如“Allowed”、“Blocked”或“Terminated”
    提醒:
    • 请参阅漏洞:状态
    • MemDefVersion: 用于识别漏洞的 Memory Protection 版本,通常是 Agent 版本号
    • Count: 尝试运行漏洞的次数
Scripts
  • count: 在设备上运行的脚本数
  • max: 状态文件中的最大脚本数
  • 脚本
    • script_path: 脚本源自的路径。包括文件名
    • file_hash_id: 显示脚本的 SHA256 哈希信息
    • file_md5: 显示脚本的 MD5 哈希信息(如果可用)
    • file_sha1: 显示脚本的 SHA1 哈希信息(如果可用)
    • drive_type: 标识脚本源自的驱动器类型,如 Fixed
    • last_modified: 上次修改脚本的日期和时间
    • interpreter:
      • name: 标识恶意脚本的脚本控制功能的名称
      • version: 脚本控制功能的版本号
    • username: 显示启动脚本时登录设备的用户的名称
    • groups: 显示登录用户与之关联的组
    • sid: 已登录用户的安全标识符 (SID)
    • action: 显示在脚本上执行的操作,如“Allowed”、“Blocked”或“Terminated”。请参阅脚本:操作

威胁具有多个基于数值的类别,可在 File_StatusFileStateFileType 中进行解密。请参考要分配的值的相应类别。

File_Status

File_Status字段是基于 FileState 启用的值计算的十进制值(请参阅 FileState 部分中的表)。例如,一个文件被标识为威胁 (0x01) 并且已被隔离 (0x08),从而计算出 file_status 的十进制值为 9。

file_status 和 file_type

FileState

威胁:FileState

0x00
Threat 0x01
Suspicious 0x02
允许 0x04
Quarantined 0x08
Running 0x10
Corrupt 0x20

FileType

威胁:FileType

Unsupported 0
PE 1
Archive 2
PDF 3
OLE 4

漏洞具有两个基于数值的类别,需要在 ItemTypeState 中进行解密。

ItemType 和 State

请参考要分配的值的相应类别。

ItemType

漏洞:ItemType

StackPivot 1 栈转移
StackProtect 2 栈保护
OverwriteCode 3 覆盖代码
OopAllocate 4 远程分配内存
OopMap 5 远程映射内存
OopWrite 6 远程写入内存
OopWritePe 7 将 PE 远程写入内存
OopOverwriteCode 8 远程覆盖代码
OopUnmap 9 远程取消内存映射
OopThreadCreate 10 远程创建线程
OopThreadApc 11 远程计划 APC
LsassRead 12 LSASS 读取
TrackDataRead 13 RAM 清除
CpAllocate 14 远程分配内存
CpMap 15 远程映射内存
CpWrite 16 远程写入内存
CpWritePe 17 将 PE 远程写入内存
CpOverwriteCode 18 远程覆盖代码
CpUnmap 19 远程取消内存映射
CpThreadCreate 20 远程创建线程
CpThreadApc 21 远程计划 APC
ZeroAllocate 22 零分配
DyldInjection 23 DYLD 注入
MaliciousPayload 24 恶意有效负载
 
提醒:

状态

漏洞:状态

0
允许 1
Blocked 2
Terminated 3

漏洞具有一个基于数值的类别,需要在 Action 中进行解密。

操作

脚本:操作

0
允许 1
Blocked 2
Terminated 3

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

Дополнительная информация

   

Видео

   

Затронутые продукты

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Свойства статьи
Номер статьи: 000124896
Тип статьи: Solution
Последнее изменение: 20 Nov 2023
Версия:  12
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.