Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Como analisar o status de endpoints no Dell Endpoint Security Suite Enterprise e no Threat Defense

Сводка: Os status de endpoint podem ser analisados no Dell Endpoint Security Suite Enterprise e no Dell Threat Defense usando estas instruções.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

Nota:

Os status de endpoint do Dell Endpoint Security Suite Enterprise e do Dell Threat Defense podem ser obtidos de um endpoint específico para análise aprofundada de ameaças, explorações e scripts.


Produtos afetados:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Plataformas afetadas:

  • Windows
  • Mac
  • Linux

Причина

Não aplicável

Разрешение

Os administradores do Dell Endpoint Security Suite Enterprise ou do Dell Threat Defense podem acessar um endpoint individual para analisar:

  • Conteúdo do malware
  • Estado do malware
  • Tipo de malware

Um administrador só deve executar essas etapas ao solucionar o motivo pelo qual o mecanismo de prevenção avançada contra ameaças (ATP) classificou um arquivo de modo incorreto. Clique em Access ou Review para obter mais informações.

Acesso

O acesso a informações de malware varia entre Windows, macOS e Linux. Para obter mais informações, clique no sistema operacional adequado.

Por padrão, o Windows não registra informações detalhadas sobre malware.

  1. Clique com o botão direito do mouse no menu Iniciar do Windows e clique em Executar.

Executar

  1. Na IU Executar, digite regedit e, em seguida, pressione CTRL + SHIFT + ENTER. Isso executa o Editor do Registro como administrador.

IU Executar

  1. No Editor do Registro, acesse HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. No painel esquerdo, clique com o botão direito do mouse em Desktop e, em seguida, selecione Permissões.

Permissões

  1. Clique em Avançado.

Avançado

  1. Clique em Proprietário.

Guia Proprietário

  1. Clique em Outros usuários ou grupos.

Outros usuários ou grupos

  1. Procure sua conta no grupo e clique em OK.

Conta selecionada

  1. Clique em OK.

OK

  1. Verifique se o seu grupo ou nome de usuário tem Controle total marcado e clique em OK.

SLN310044_en_US__9ddpkm1371i

Nota: No exemplo, DDP_Admin (etapa 8) é um membro do grupo Usuários.
  1. Em HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, clique com o botão direito do mouse na pasta Área de trabalho, selecione Novo e, em seguida, clique em Valor DWORD (32 bits).

Novo DWORD

  1. Nomeie a DWORD StatusFileEnabled.

StatusFileEnabled

  1. Clique duas vezes em StatusFileEnabled.

Editar o DWORD

  1. Preencha os dados de valor com 1 e, em seguida, pressione OK.

DWORD atualizado

  1. Em HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, clique com o botão direito do mouse na pasta Área de trabalho, selecione Novo e, em seguida, clique em Valor DWORD (32 bits).

Novo DWORD

  1. Nomeie a DWORD StatusFileType.

StatusFileType

  1. Clique duas vezes em StatusFileType.

Editar o DWORD

  1. Preencha os dados de valor com qualquer um dos 0 ou 1. Depois que os Dados do valor tiverem sido preenchidos, pressione OK.

DWORD atualizado

Nota: Opções de dados de valor:
  • 0 = formato do arquivo JSON
  • 1 = Formato XML
  1. Em HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, clique com o botão direito do mouse na pasta Área de trabalho, selecione Novo e, em seguida, clique em Valor DWORD (32 bits).

Novo DWORD

  1. Nomeie a DWORD StatusPeriod.

StatusPeriod

  1. Clique duas vezes em StatusPeriod.

Editar o DWORD

  1. Preencha os dados do valor com um número que varia de 15 para 60 e, em seguida, clique em OK.

DWORD atualizado

Nota: O StatusPeriod é a frequência com que o arquivo é gravado.
15 = intervalo de 15 segundos
60 = intervalo de 60 segundos
  1. Em HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, clique com o botão direito do mouse na pasta Área de trabalho, selecione Novo e, em seguida, clique em String Value.

Nova string

  1. Nomeie a string StatusFilePath.

StatusFilePath

  1. Clique duas vezes em StatusFilePath.

Editar string

  1. Preencha os Dados do valor com a localização para gravar o arquivo de status e clique em OK.

String editada

Nota:
  • Caminho padrão: <CommonAppData>\Cylance\Status\Status.json
  • Exemplo de caminho: C:\ProgramData\Cylance
  • Um arquivo .json (JavaScript Object Notation, notação de objeto do JavaScript) pode ser aberto em um editor de documentos de texto ASCII.

As informações detalhadas sobre malware estão no arquivo Status.json em:

/Library/Application Support/Cylance/Desktop/Status.json
 
Nota: Um arquivo .json (JavaScript Object Notation, notação de objeto do JavaScript) pode ser aberto em um editor de documentos de texto ASCII.

As informações detalhadas sobre malware estão no arquivo Status.json em:

/opt/cylance/desktop/Status.json
 
Nota: Um arquivo .json (JavaScript Object Notation, notação de objeto do JavaScript) pode ser aberto em um editor de documentos de texto ASCII.

Análise

O conteúdo do arquivo de status inclui informações detalhadas sobre várias categorias, como Ameaças, Exploits e Scripts. Clique nas informações apropriadas para saber mais sobre ela.

Conteúdo do arquivo de status:

snapshot_time A data e a hora em que as informações de status foram coletadas. A data e a hora são locais para o dispositivo.
ProductInfo
  • version: Versão do Agente do Advanced Threat Prevention no dispositivo
  • last_communicated_timestamp: Data e hora da última verificação de atualização do agente
  • serial_number: Token de instalação usado para registrar o agente
  • device_name: Nome do dispositivo em que o Agent está instalado
Policy
  • type: Status de se o agente está on-line ou off-line
  • id: Identificador exclusivo da política
  • name: Policy Name
ScanState
  • last_background_scan_timestamp: Data e hora da última verificação de detecção de ameaças em segundo plano
  • drives_scanned: Lista de letras de unidade digitaladas
Threats
  • count: O número de ameaças encontradas
  • max: O número máximo de ameaças no arquivo de status
  • Threat
    • file_hash_id: Exibe as informações de hash SHA256 para a ameaça
    • file_md5: O hash MD5
    • file_path: O caminho onde a ameaça foi encontrada. Inclui o nome do arquivo
    • is_running: A ameaça está em execução atualmente no dispositivo? Verdadeiro ou falso
    • auto_run: O aquivo de ameaça está definido para executar automaticamente? Verdadeiro ou falso
    • file_status: Exibe o estado atual da ameaça, como Permitido, Em execução ou Em quarentena. Veja as ameaças: Tabela FileState
    • file_type: Exibe o tipo de arquivo, como Executável Portátil (PE), Arquivamento ou PDF. Veja as ameaças: Tabela FileType
    • score: Exibe a Pontuação da Cylance. A pontuação exibida no arquivo de status varia de 1.000 a -1.000. No console, o intervalo é de 100 a -100
    • file_size: Exibe o tamanho do arquivo, em bytes
Exploits
  • count: O número de explorações encontradas
  • max: O número máximo de explorações no arquivo de status
  • Exploit
    • ProcessId: Exibe o ID do processo do aplicativo identificado pelo Memory Protection
    • ImagePath: O caminho de origem do exploit. Inclui o nome do arquivo
    • ImageHash: Exibe as informações de hash SHA256 para a exploração
    • FileVersion: Exibe o número da versão do arquivo exploit
    • Username: Exibe o nome do usuário que fez log-in no dispositivo quando a exploração ocorreu
    • Groups: Exibe o grupo ao que o usuário conectado está associado
    • Sid: O identificador de segurança (SID) do usuário conectado
    • ItemType: Exibe o tipo de exploração, que está relacionado aos tipos de violação
    Nota:
    • Estado: Exibe o estado atual da exploração, como Allowed( Permitido), Blocked (Bloqueado) ou Ter terminado
    Nota:
    • Consulte os Exploits: Tabela de estado
    • MemDefVersion: A versão do Memory Protection usada para identificar a exploração, normalmente o número da versão do Agent
    • Count: O número de vezes que a exploração tentou executar
Scripts
  • count: O número de scripts executados no dispositivo
  • max: O número máximo de scripts no arquivo de status
  • Script
    • script_path: O caminho de origem do script. Inclui o nome do arquivo
    • file_hash_id: Exibe as informações de hash SHA256 para o script
    • file_md5: Exibe as informações de hash MD5 para o script, se disponíveis
    • file_sha1: Exibe as informações de hash SHA1 do script, se disponíveis
    • drive_type: Identifica o tipo de unidade da qual o script se originou, como Fixed
    • last_modified: A data e a hora em que o script foi modificado pela última vez
    • interpreter:
      • name: O nome do recurso de controle de script que identificou o script mal-intencionado
      • version: O número da versão do recurso de controle de script
    • username: Exibe o nome do usuário que fez log-in no dispositivo quando o script foi iniciado
    • groups: Exibe o grupo ao que o usuário conectado está associado
    • sid: O identificador de segurança (SID) do usuário conectado
    • action: Exibe a ação que é realizada no script, como Permitido, Bloqueado ou Encerrado. Consulte os Scripts: Tabela de ação

As ameaças têm várias categorias baseadas em números a serem decifrar File_Status,FileState e FileType. Consulte a categoria apropriada para os valores a serem atribuídos.

File_Status

O File_Status é um valor decimal calculado com base nos valores habilitados pelo FileState (consulte a tabela na seção FileState). Por exemplo, um valor decimal de 9 para file_status é calculado a partir do arquivo que está sendo identificado como ameaça (0x01) e o arquivo foi colocado em quarentena (0x08).

file_status e file_type

FileState

Threats: FileState

Nenhuma 0x00
Threat 0x01
Suspeito 0x02
Permitido 0x04
Em quarentena 0x08
Em execução 0x10
Corrompido 0x20

FileType

Threats: FileType

Incompatíveis 0
PE 1
Arquivo 2
PDF 3
OLE 4

Os exploits têm duas categorias baseadas em números para serem decifradas como ItemType e State.

ItemType e State

Consulte a categoria apropriada para os valores a serem atribuídos.

ItemType

Exploits: ItemType

StackPivot 1 Stack pivot
StackProtect 2 Proteção de pilha
OverwriteCode 3 Substituir código
OopAllocate 4 Alocação remota de memória
OopMap 5 Mapeamento remoto da memória
OopWrite 6 Gravação remota na memória
OopWritePe 7 Gravação remota de PE na memória
OopOverwriteCode 8 Substituir código remoto
OopUnmap 9 Cancelamento do mapeamento remoto de memória
OopThreadCreate 10 Criação remota de thread
OopThreadApc 11 APC remoto agendado
LsassRead 12 Leitura de LSASS
TrackDataRead 13 RAM Scraping
CpAllocate 14 Alocação remota de memória
CpMap 15 Mapeamento remoto da memória
CpWrite 16 Gravação remota na memória
CpWritePe 17 Gravação remota de PE na memória
CpOverwriteCode 18 Substituir código remoto
CpUnmap 19 Cancelamento do mapeamento remoto de memória
CpThreadCreate 20 Criação remota de thread
CpThreadApc 21 APC remoto agendado
ZeroAllocate 22 Alocação zero
DyldInjection 23 Injeção DYLD
MaliciousPayload 24 Payload mal-intencionada
 
Nota:

Estado

Exploits: Estado

Nenhuma 0
Permitido 1
Bloqueado 2
Encerrado 3

Os exploits têm uma única categoria baseada em números a ser decifrada como Ação.

Ação

Scripts: Ação

Nenhuma 0
Permitido 1
Bloqueado 2
Encerrado 3

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Дополнительная информация

   

Видео

   

Затронутые продукты

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Свойства статьи
Номер статьи: 000124896
Тип статьи: Solution
Последнее изменение: 20 Nov 2023
Версия:  12
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.