Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Dell Endpoint Security Suite EnterpriseおよびThreat Defenseエンドポイントのステータスを分析する方法

Сводка: エンドポイントのステータスは、次の手順に従ってDell Endpoint Security Suite EnterpriseおよびDell Threat Defenseで分析できます。

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

注:

Dell Endpoint Security Suite EnterpriseおよびDell Threat Defenseエンドポイントのステータスは、特定のエンドポイントから取得して、脅威、エクスプロイト、スクリプトの詳細なレビューを行うことができます。


対象製品:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

影響を受けるプラットフォーム:

  • Windows
  • Mac
  • Linux

Причина

該当なし

Разрешение

Dell Endpoint Security Suite EnterpriseまたはDell Threat Defense管理者は、個々のエンドポイントにアクセスして次の内容を確認できます。

  • マルウェアのコンテンツ
  • マルウェアの状態
  • マルウェアの種類

管理者は、ADVANCED Threat Prevention(ATP)エンジンがファイルを誤って分類した理由をトラブルシューティングする場合にのみ、これらの手順を実行する必要があります。詳細については、[ アクセス ]または [ レビュー ]をクリックしてください。

アクセス

マルウェア情報へのアクセスは、WindowsmacOS、およびLinuxによって異なります。詳細については、適切なオペレーティング システムをクリックしてください。

デフォルトでは、Windowsは詳細なマルウェア情報を記録しません。

  1. Windowsの[スタート]メニューを右クリックして、[ファイル名を指定して実行]をクリックします。

実行

  1. [ファイル名を指定して実行]UIで、「 」と入力します。 regedit CTRL+SHIFT+Enterを押します。これにより、レジストリー エディターが管理者として実行されます。

[ファイル名を指定して実行]UI

  1. レジストリー エディターで、 HKEY_LOCAL_MACHINE\Software\Cylance\Desktopに戻ります。
  2. 左ペインで、[Desktop]を右クリックし、[Permissions]を選択します。

権限

  1. 「Advanced(詳細設定)」をクリックします。

高度

  1. Owner]をクリックします。

[所有者]タブ

  1. Other users or groups]をクリックします。

[他のユーザーまたはグループ]をクリックします。

  1. グループ内のアカウントを検索し、[OK]をクリックします。

選択したアカウント

  1. 「OK」をクリックします。

OK

  1. グループまたはユーザー名の[Full Control]がオンになっていることを確認し、[OK]をクリックします。

SLN310044_en_US__9ddpkm1371i

注:この例では、DDP_Admin(ステップ8)はユーザー グループのメンバーです。
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktopデスクトップ フォルダを 右クリックして 新規 を選択し、 DWORD (32 ビット) 値 をクリックします。

新規DWORD

  1. DWORDに名前を付けます StatusFileEnabledに戻ります。

[StatusFileEnabled]

  1. StatusFileEnabled]をダブルクリックします。

DWORDの編集

  1. 値のデータを入力 1 OK を押 します

更新されたDWORD

  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktopデスクトップ フォルダを 右クリックして 新規 を選択し、 DWORD (32 ビット) 値 をクリックします。

新規DWORD

  1. DWORDに名前を付けます StatusFileTypeに戻ります。

[StatusFileType]

  1. StatusFileType]をダブルクリックします。

DWORDの編集

  1. 次のいずれかを使用して 値データ を入力します。 0 または 1に戻ります。[Value data]に入力したら、[OK]を押します。

更新されたDWORD

注:[Value data]の入力値:
  • 0 = JSONファイル形式
  • 1 = XML形式
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktopデスクトップ フォルダを 右クリックして 新規 を選択し、 DWORD (32 ビット) 値 をクリックします。

新規DWORD

  1. DWORDに名前を付けます StatusPeriodに戻ります。

[StatusPeriod]

  1. StatusPeriod]をダブルクリックします。

DWORDの編集

  1. 値のデータには、次の範囲の数値を入力します。 15 から 60 OK をクリック します

更新されたDWORD

注:StatusPeriodは、ファイルが書き込まれる頻度です。
15 = 15秒間隔
60 = 60秒間隔
  1. HKEY_LOCAL_MACHINE\Software\Cylance\Desktopデスクトップ フォルダーを 右クリックし、[ 新規 ]を選択して、[ String Valueに戻ります。

新規文字列

  1. 文字列に名前を付けます StatusFilePathに戻ります。

[StatusFilePath]

  1. StatusFilePath]をダブルクリックします。

[Edit String]

  1. Value data]にステータス ファイルを書き込む場所を入力し、[OK]をクリックします。

編集された文字列

注:
  • デフォルト パス: <CommonAppData>\Cylance\Status\Status.json
  • パスの例: C:\ProgramData\Cylance
  • .json(JavaScript Object Notation)ファイルは、ASCIIテキスト ドキュメント エディターで開くことができます。

詳細なマルウェア情報は、次の場所にあるStatus.jsonファイルに含まれます。

/Library/Application Support/Cylance/Desktop/Status.json
 
注:.json(JavaScript Object Notation)ファイルは、ASCIIテキスト ドキュメント エディターで開くことができます。

詳細なマルウェア情報は、次の場所にあるStatus.jsonファイルに含まれます。

/opt/cylance/desktop/Status.json
 
注:.json(JavaScript Object Notation)ファイルは、ASCIIテキスト ドキュメント エディターで開くことができます。

確認

ステータス ファイルのコンテンツには、ThreatsExploits、およびScriptsなど、複数のカテゴリーに関する詳細情報が含まれています。詳細については、該当する情報をクリックしてください。

ステータス ファイルのコンテンツ:

snapshot_time ステータス情報が収集された日付と時刻。日付と時刻はデバイスに対してローカルです。
ProductInfo
  • version: デバイス上の Advanced Threat Prevention エージェントのバージョン
  • last_communicated_timestamp: エージェントアップデートの最後のチェックの日付と時刻
  • serial_number: エージェントの登録に使用されるインストール トークン
  • device_name: エージェントがインストールされているデバイスの名前
Policy
  • type: エージェントがオンラインかオフラインかを示すステータス
  • id: ポリシーの一意識別子
  • name: ポリシー名
ScanState
  • last_background_scan_timestamp: 最後のバックグラウンド脅威検出スキャンの日付と時刻
  • drives_scanned: スキャンされたドライブ文字のリスト
Threats
  • count: 検出された脅威の数
  • max: ステータス ファイル内の脅威の最大数
  • 脅威
    • file_hash_id: 脅威のSHA256ハッシュ情報を表示します。
    • file_md5: MD5ハッシュ
    • file_path: 脅威が検出されたパス。ファイル名を含む
    • is_running: 脅威が現在デバイスで実行されているかどうか。正誤問題
    • auto_run: 脅威ファイルが自動的に実行されるように設定されているかどうか。正誤問題
    • file_status: 脅威の現在の状態(許可、実行中、または隔離など)を表示します。Threats:FileState テーブル
    • file_type: Portable Executable(PE)、Archive、PDFなどのファイルのタイプを表示します。Threats:FileType テーブル
    • score: Cylanceスコアを表示します。ステータス ファイルに表示されるスコアの範囲は1000~-1000です。コンソールでは、範囲は100~-100です。
    • file_size: ファイルサイズをバイト単位で表示します。
Exploits
  • count: 検出されたエクスプロイトの数
  • max: ステータス ファイル内のエクスプロイトの最大数
  • Exploit
    • ProcessId: メモリー保護によって識別されたアプリケーションのプロセスIDを表示します。
    • ImagePath: 悪用が発生したパス。ファイル名を含む
    • ImageHash: エクスプロイトのSHA256ハッシュ情報を表示します。
    • FileVersion: エクスプロイト ファイルのバージョン番号を表示します。
    • Username: エクスプロイトが発生したときにデバイスにログインしたユーザーの名前を表示します。
    • Groups: ログインしているユーザーが関連付けられているグループを表示します。
    • Sid: ログインしているユーザーのSID(セキュリティ識別子)
    • ItemType: 違反タイプに関連するエクスプロイト タイプを表示します。
    注:
    • 都道府県/州:エクスプロイトの現在の状態(許可、ブロック、終了など)を表示します。
    注:
    • Exploits:状態 テーブル
    • MemDefVersion: エクスプロイトを識別するために使用されるメモリー保護のバージョン(通常はエージェントのバージョン番号)
    • Count: エクスプロイトが実行を試行した回数
Scripts
  • count: デバイスで実行されるスクリプトの数
  • max: ステータス ファイル内のスクリプトの最大数
  • スクリプト
    • script_path: スクリプトが発生したパス。ファイル名を含む
    • file_hash_id: スクリプトのSHA256ハッシュ情報を表示します。
    • file_md5: スクリプトのMD5ハッシュ情報を表示します(利用可能な場合)。
    • file_sha1: スクリプトのSHA1ハッシュ情報を表示します(利用可能な場合)。
    • drive_type: スクリプトが作成されたドライブのタイプを識別します(たとえば、Fixed)
    • last_modified: スクリプトが最後に変更された日付と時刻
    • interpreter:
      • name: 悪意のあるスクリプトを識別したスクリプト制御機能の名前
      • version: スクリプト制御機能のバージョン番号
    • username: スクリプトの起動時にデバイスにログインしたユーザーの名前を表示します。
    • groups: ログインしているユーザーが関連付けられているグループを表示します。
    • sid: ログインしているユーザーのSID(セキュリティ識別子)
    • action: 許可 、 ブロック 、 終了 など、スクリプトで実行されたアクションを表示します。Scripts:アクション テーブル

脅威には、 File_StatusFileState、FileTypeで解読する複数の数値ベースのカテゴリー があります。割り当てる値の適切なカテゴリを参照します。

File_Status

[File_Status]フィールドは、FileStateによって有効になっている値に基づいて計算された10進値です(「FileState」セクションの表を参照)。たとえば、[file_status]が10進値9の場合、脅威(0x01)として識別されているファイルから計算されており、ファイルは隔離(0x08)されている状態です。

file_statusおよびfile_type

FileState

Threats:FileState

なし 0x00
脅威 0x01
不審 0x02
許可 0x04
隔離 0x08
実行中 0x10
破損 0x20

Filetype

Threats:Filetype

サポート対象外 0
PE 1
アーカイブ 2
PDF 3
OLE 4

には、ItemType>およびState>の両方に判読用の2つの数値ベースのカテゴリーがあります。

ItemTypeおよびstate

割り当てる値の適切なカテゴリを参照します。

Itemtype

Exploits:Itemtype

StackPivot 1 スタック ピボット
StackProtect 2 スタック保護
OverwriteCode 3 コードを上書き
OopAllocate 4 メモリーのリモート割り当て
OopMap 5 メモリーのリモート マッピング
OopWrite 6 メモリーへのリモート書き込み
OopWritePe 7 メモリーへのリモート書き込みPE
OopOverwriteCode 8 リモート上書きコード
OopUnmap 9 メモリーのリモート マッピング解除
OopThreadCreate 10 リモート スレッドの作成
OopThreadApc 11 スケジュールされたリモートAPC
LsassRead 12 LSASS読み取り
TrackDataRead 13 RAMスクレイピング
CpAllocate 14 メモリーのリモート割り当て
CpMap 15 メモリーのリモート マッピング
CpWrite 16 メモリーへのリモート書き込み
CpWritePe 17 メモリーへのリモート書き込みPE
CpOverwriteCode 18 リモート上書きコード
CpUnmap 19 メモリーのリモート マッピング解除
CpThreadCreate 20 リモート スレッドの作成
CpThreadApc 21 スケジュールされたリモートAPC
ZeroAllocate 22 ゼロ割り当て
DyldInjection 23 DYLDインジェクション
MaliciousPayload 24 悪意のあるペイロード
 
注:

状態

Exploits:状態

なし 0
許可 1
ブロック済み 2
終了 3

[Exploits]には、[Action]で解読される単一の数値ベースのカテゴリーがあります。

動作

Scripts:動作

なし 0
許可 1
ブロック済み 2
終了 3

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

Дополнительная информация

   

Видео

   

Затронутые продукты

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Свойства статьи
Номер статьи: 000124896
Тип статьи: Solution
Последнее изменение: 20 Nov 2023
Версия:  12
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.