Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Анализ состояния конечных точек Dell Endpoint Security Suite Enterprise и Threat Defense

Сводка: С помощью этих инструкций можно анализировать состояния конечных точек в Dell Endpoint Security Suite Enterprise и Dell Threat Defense.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

Примечание.:

Статусы конечных точек Dell Endpoint Security Suite Enterprise и Dell Threat Defense можно извлечь из определенной конечной точки для углубленного анализа угроз, эксплойтов и сценариев.


Затронутые продукты:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Затронутые платформы:

  • Windows
  • Mac
  • Linux

Причина

Неприменимо

Разрешение

Администраторы Dell Endpoint Security Suite Enterprise или Dell Threat Defense могут получить доступ к отдельной конечной точке для просмотра:

  • содержания вредоносного ПО;
  • состояния вредоносного ПО;
  • типа вредоносного ПО.

Администратор должен выполнять эти действия только при поиске и устранении неполадок, по которым модуль advanced threat prevention (ATP) неправильно классифицировать файл. Нажмите Доступ или Обзор для получения дополнительной информации.

Access

Доступ к информации о вредоносном ПО различается в зависимости от ОС: Windows, macOS и Linux. Нажмите на соответствующую операционную систему, чтобы ознакомиться с дополнительными сведениями.

По умолчанию Windows не записывает подробную информацию о вредоносном ПО.

  1. Нажмите правой кнопкой мыши меню Windows «Пуск», затем нажмите Выполнить.

Выполнить

  1. В пользовательском интерфейсе «Выполнить» введите regedit и нажмите клавиши CTRL+SHIFT+ENTER. Редактор реестра запускается с правами администратора.

Пользовательский интерфейс «Выполнить»

  1. В редакторе реестра перейдите в раздел HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. На левой панели правой кнопкой мыши нажмите Рабочий стол и выберите Разрешения.

Разрешения

  1. Нажмите Advanced.

Advanced

  1. Нажмите Владелец.

Вкладка «Владелец»

  1. Нажмите Другие пользователи или группы.

Другие пользователи или группы

  1. Найдите свою учетную запись в группе и нажмите OK.

Учетная запись выбрана

  1. Нажмите OK.

ОК

  1. Убедитесь, что для вашей группы или имени пользователя установлен флажок Полный доступ, а затем нажмите OK.

SLN310044_en_US__9ddpkm1371i

Примечание. В данном примере DDP_Admin (шаг 8) входит в группу «Пользователи».
  1. В HKEY_LOCAL_MACHINE\Software\Cylance\Desktopнажмите правой кнопкой мыши на папке Рабочий стол, выберите Пункт Новый, затем нажмите DWORD (32-разрядная) Значение.

Новое DWORD

  1. Привяйте имя DWORD StatusFileEnabled.

StatusFileEnabled

  1. Дважды нажмите StatusFileEnabled.

Редактировать DWORD

  1. Заполните данные значения с помощью 1 затем нажмите « OK».

Обновленное DWORD

  1. В HKEY_LOCAL_MACHINE\Software\Cylance\Desktopнажмите правой кнопкой мыши на папке Рабочий стол, выберите Пункт Новый, затем нажмите DWORD (32-разрядная) Значение.

Новое DWORD

  1. Привяйте имя DWORD StatusFileType.

StatusFileType

  1. Дважды нажмите StatusFileType.

Редактировать DWORD

  1. Заполните данные значения с помощью любого из следующих значений: 0 или 1. После заполнения поля Значение нажмите OK.

Обновленное DWORD

Примечание. Варианты значения:
  • 0 = формат файла JSON
  • 1 = формат XML
  1. В HKEY_LOCAL_MACHINE\Software\Cylance\Desktopнажмите правой кнопкой мыши на папке Рабочий стол, выберите Пункт Новый, затем нажмите DWORD (32-разрядная) Значение.

Новое DWORD

  1. Привяйте имя DWORD StatusPeriod.

StatusPeriod

  1. Дважды нажмите StatusPeriod.

Редактировать DWORD

  1. Заполняйте данные о ценности в количестве от 15 на 60 и нажмите кнопку OK.

Обновленное DWORD

Примечание. StatusPeriod — это частота записи файла.
15 = 15 секунд, интервал
60 = 60 секунд
  1. В HKEY_LOCAL_MACHINE\Software\Cylance\Desktopнажмите правой кнопкой мыши папку Рабочий стол, выберите Пункт Новый, затем нажмите кнопку String Value.

Новое строковое значение

  1. Привятите строку к имени StatusFilePath.

StatusFilePath

  1. Дважды нажмите StatusFilePath.

Редактировать строковое значение

  1. Введите в поле Значение местонахождение для записи файла состояния и нажмите OK.

Отредактированное строковое значение

Примечание.:
  • Путь по умолчанию: <CommonAppData>\Cylance\Status\Status.json
  • Пример пути: C:\ProgramData\Cylance
  • Файл .json (JavaScript Object Notation) можно открыть в редакторе текстовых документов ASCII.

Подробная информация о вредоносном ПО находится в файле Status.json в разделе:

/Library/Application Support/Cylance/Desktop/Status.json
 
Примечание.: Файл .json (JavaScript Object Notation) можно открыть в редакторе текстовых документов ASCII.

Подробная информация о вредоносном ПО находится в файле Status.json в разделе:

/opt/cylance/desktop/Status.json
 
Примечание.: Файл .json (JavaScript Object Notation) можно открыть в редакторе текстовых документов ASCII.

Просмотр

Содержимое файла состояния содержит подробную информацию о нескольких категориях, включая угрозы, эксплойты и сценарии. Нажмите на соответствующую информацию, чтобы узнать больше об этом.

Содержимое файла состояния

snapshot_time Дата и время сбора информации о состоянии. Дата и время являются локальными для устройства.
ProductInfo
  • version: Версия агента Advanced Threat Prevention на устройстве
  • last_communicated_timestamp: Дата и время последней проверки обновления агента
  • serial_number: Токен установки, используемый для регистрации агента
  • device_name: Имя устройства, на которое установлен агент
Policy
  • type: Состояние работы агента в режиме онлайн или в автономном режиме
  • id: Уникальный идентификатор политики
  • name: Policy Name
ScanState
  • last_background_scan_timestamp: Дата и время последнего сканирования фонового обнаружения угроз
  • drives_scanned: Отсканированные буквы дисков
Threats
  • count: Количество найденных угроз
  • max: Максимальное количество угроз в файле состояния
  • Угроза
    • file_hash_id: Отображение информации о хэш-файле SHA256 для угрозы
    • file_md5: Хэш MD5
    • file_path: путь, по которому была обнаружена угроза. Содержит имя файла
    • is_running: в настоящее время на устройстве выполняется угроза? Верно или неверно?
    • auto_run: настроен ли автоматический запуск набора файлов угрозы? Верно или неверно?
    • file_status: отображение текущего состояния угрозы, например «Разрешена», «Выполняется» или «Помещена в карантин». Просмотрите категорию Угрозы: Таблица FileState
    • file_type: Отображение типа файла, например Portable Executable (PE), Archive или PDF. Просмотрите категорию Угрозы: Таблица FileType
    • score: отображение рейтинга Cylance. Значение, отображаемое в файле состояния, находится в диапазоне от 1000 до -1000. Диапазон диапазонов в консоли: от 100 до -100
    • file_size: Отображение размера файла в байтах
Exploits
  • count: Количество найденных эксплойтов
  • max: Максимальное количество эксплойтов в файле состояния
  • Эксплойт
    • ProcessId: Отображение идентификатора процесса приложения, определяемого средством защиты памяти
    • ImagePath: путь, по которому начинается эксплойт. Содержит имя файла
    • ImageHash: Отображение информации хэша SHA256 для эксплойтов
    • FileVersion: Отображение номера версии файла эксплойтов
    • Username: Отображает имя пользователя, который вход в систему на устройство при возникновении эксплойта
    • Groups: Отображение группы, с которую связан вошедших в систему пользователей
    • Sid: Идентификатор безопасности (SID) для вошедших в систему пользователей
    • ItemType: Отображение типа эксплойтов, связанного с типами нарушений
    Примечание.:
    • State: Отображает текущее состояние эксплойтов, например Разрешено, Заблокировано или Завершено.
    Примечание.:
    • Просмотрите категорию Эксплойты: Таблица состояния
    • MemDefVersion: Версия защиты памяти, используемая для идентификации эксплойтов ( обычно номер версии агента)
    • Count: Количество попыток запуска эксплойтов
Scripts
  • count: Количество сценариев, которые выполняется на устройстве
  • max: Максимальное количество сценариев в файле состояния
  • Сценарий
    • script_path: путь, по которому начинается сценарий. Содержит имя файла
    • file_hash_id: Отображение сведений о хэш-файле SHA256 для сценария
    • file_md5: Отображение сведений о хэш-файле MD5 для сценария, если он доступен
    • file_sha1: Отображение сведений о хэш-файле SHA1 для скрипта, если он доступен
    • drive_type: Определяет тип накопителя, из которой был сгенерирован сценарий, как исправлено
    • last_modified: Дата и время последнего изменения скрипта
    • interpreter:
      • name: Имя функции управления сценариями, которая определила вредоносный сценарий
      • version: Номер версии функции управления сценариями
    • username: Отображает имя пользователя, который вход в систему на устройство при запуске сценария
    • groups: Отображение группы, с которую связан вошедших в систему пользователей
    • sid: Идентификатор безопасности (SID) для вошедших в систему пользователей
    • action: Отображает действие, которое выполняется с сценарием, например Разрешено, Заблокировано или Завершено. Просмотрите категорию Сценарии: Таблица действий

Угрозы имеют несколько цифровых категорий, которые необходимо расшифровать в File_Status,FileState и FileType. Составьте соответствующую категорию для назначенных значений.

File_Status

Поле File_Status — это десятичное значение, рассчитанное на основе значений, активированных FileState (см. таблицу в разделе FileState). Например, десятичное значение 9 для file_status рассчитывается на основе файла, идентифицированного как угроза (0x01), и файл помещен в карантин (0x08).

file_status и file_type

FileState

Угрозы: FileState

Нет 0x00
Угроза 0x01
Подозрительный 0x02
Разрешено 0x04
Помещен в карантин 0x08
Выполняется 0x10
Поврежден 0x20

FileType

Угрозы: FileType

Не поддерживается 0
PE 1.
Archive 2.
PDF 3.
OLE 4.

Эксплойты имеют две числовые категории, которые можно расшифровать как в ItemType, так и в State.

ItemType и State

Составьте соответствующую категорию для назначенных значений.

ItemType

Эксплойты: ItemType

StackPivot 1. Stack Pivot
StackProtect 2. Stack Protect
OverwriteCode 3. Overwrite Code
OopAllocate 4. Remote Allocation of Memory
OopMap 5. Remote Mapping of Memory
OopWrite 6 Remote Write to Memory
OopWritePe 7. Remote Write PE to Memory
OopOverwriteCode 8 Remote Overwrite Code
OopUnmap 9. Remote Unmap of Memory
OopThreadCreate 10. Remote Thread Creation
OopThreadApc 11. Remote APC Scheduled
LsassRead 12. LSASS Read
TrackDataRead 13. Очистка ОЗУ
CpAllocate 14 Remote Allocation of Memory
CpMap 15 Remote Mapping of Memory
CpWrite 16 Remote Write to Memory
CpWritePe 17 Remote Write PE to Memory
CpOverwriteCode 18 Remote Overwrite Code
CpUnmap 19 Remote Unmap of Memory
CpThreadCreate 20 Remote Thread Creation
CpThreadApc 21 Remote APC Scheduled
ZeroAllocate 22 Zero Allocate
DyldInjection 23 Ввод DYLD
MaliciousPayload 24 Malicious Payload
 
Примечание.:

Состояние

Эксплойты: Состояние

Нет 0
Разрешено 1.
Заблокировано 2.
Завершено 3.

Эксплойты имеют одну числовую категорию, которую можно расшифровать в Action.

Действие

Сценарии: Действие

Нет 0
Разрешено 1.
Заблокировано 2.
Завершено 3.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Дополнительная информация

   

Видео

   

Затронутые продукты

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Свойства статьи
Номер статьи: 000124896
Тип статьи: Solution
Последнее изменение: 20 Nov 2023
Версия:  12
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.