Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Як аналізувати стан кінцевих точок Dell Endpoint Security Suite Enterprise і Threat Defense

Сводка: За допомогою цих інструкцій можна проаналізувати статуси кінцевих точок у Dell Endpoint Security Suite Enterprise і Dell Threat Defense.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

Примітка:
  • Станом на травень 2022 року Dell Endpoint Security Suite Enterprise завершив технічне обслуговування. Цей продукт і його статті більше не оновлюються компанією Dell.
  • Станом на травень 2022 року Dell Threat Defense досягла кінця технічного обслуговування. Цей продукт і його статті більше не оновлюються компанією Dell.
  • Для отримання додаткової інформації зверніться до Політики життєвого циклу продукту (кінець підтримки та закінчення терміну служби) для Dell Data Security. Якщо у вас виникли запитання щодо альтернативних статей, зверніться до свого відділу продажів або зв'яжіться з endpointsecurity@dell.com.
  • Довідник Endpoint Security для отримання додаткової інформації про поточні продукти.

Статуси кінцевих точок Dell Endpoint Security Suite Enterprise і Dell Threat Defense можна отримати з певної кінцевої точки для поглибленого аналізу загроз, експлойтів і сценаріїв.


Продукти, на які впливають:

  • Dell Endpoint Security Suite для підприємств
  • Захист від загроз Dell

Платформи, яких це стосується:

  • Вікна
  • Комп'ютер Mac
  • Лінукс

Причина

Не застосовується

Разрешение

Адміністратори Dell Endpoint Security Suite Enterprise або Dell Threat Defense можуть отримати доступ до окремої кінцевої точки для перегляду:

  • Вміст шкідливого програмного забезпечення
  • Стан шкідливого ПЗ
  • Тип шкідливого програмного забезпечення

Адміністратор повинен виконувати ці кроки лише під час усунення неполадок, через які механізм розширеного запобігання загрозам (ATP) неправильно класифікував файл. Натисніть кнопку Access або Review , щоб отримати додаткові відомості.

Доступ

Доступ до інформації про зловмисне програмне забезпечення залежить від Windows, macOS і Linux. Для отримання додаткових відомостей виберіть відповідну операційну систему.

За промовчанням Windows не записує докладні відомості про зловмисне програмне забезпечення.

  1. Клацніть правою кнопкою миші меню «Пуск» Windows і виберіть команду «Виконати».

Бігти

  1. У вікні «Інтерфейс запуску» введіть regedit і натисніть сполучення клавіш CTRL+SHIFT+ENTER. Це запускає редактор реєстру від імені адміністратора.

Запустити інтерфейс користувача

  1. У редакторі реєстру перейдіть до розділу HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. В області ліворуч клацніть правою кнопкою миші пункт Робочий стіл і виберіть пункт Дозволи.

Дозволи

  1. Натисніть Додатково.

Передовий

  1. Натисніть Власник.

Вкладка «Власник»

  1. Натисніть Інші користувачі або групи.

Інші користувачі або групи

  1. Знайдіть свій обліковий запис у групі та натисніть кнопку ОК.

Вибраний обліковий запис

  1. Натисніть кнопку «OK».

ГАРАЗД

  1. Переконайтеся, що для вашої групи або імені користувача встановлено прапорець Повний контроль , а потім натисніть кнопку ОК.

SLN310044_en_US__9ddpkm1371i

Примітка: У прикладі DDP_Admin (крок 8) є учасником групи Користувачі.
  1. При HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, клацніть правою кнопкою миші папку Робочий стіл, виберіть пункт Створити, а потім виберіть пункт Значення DWORD (32-розрядне).

Новий DWORD

  1. Назвіть DWORD StatusFileEnabled.

СтатусФайл увімкнено

  1. Двічі клацніть пункт StatusFileEnabled.

Редагувати DWORD

  1. Заповніть дані про значення за допомогою 1 , а потім натисніть кнопку OK.

Оновлений DWORD

  1. При HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, клацніть правою кнопкою миші папку Робочий стіл, виберіть пункт Створити, а потім виберіть пункт Значення DWORD (32-розрядне).

Новий DWORD

  1. Назвіть DWORD StatusFileType.

СтатусТип файлу

  1. Двічі клацніть пункт StatusFileType.

Редагувати DWORD

  1. Заповнюйте дані про значення за допомогою будь-якого з них 0 або 1. Заповнивши дані про значення, натисніть OK.

Оновлений DWORD

Примітка: Варіанти цінних даних:
  • 0 = Формат файлу JSON
  • 1 = Формат XML
  1. При HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, клацніть правою кнопкою миші папку Робочий стіл, виберіть пункт Створити, а потім виберіть пункт Значення DWORD (32-розрядне).

Новий DWORD

  1. Назвіть DWORD StatusPeriod.

СтатусПеріод

  1. Двічі клацніть пункт StatusPeriod.

Редагувати DWORD

  1. Заповнюйте дані про значення числом у діапазоні від 15 до 60 і натисніть кнопку ОК.

Оновлений DWORD

Примітка: СтатусПеріод — це частота запису файлу.
15 = 15 секунд інтервал 60 = 60 секунд
  1. При HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, клацніть правою кнопкою миші папку Робочий стіл , виберіть пункт Створити, а потім виберіть команду String Value.

Новий рядок

  1. Назвіть рядок StatusFilePath.

СтатусШлях до файла

  1. Двічі клацніть StatusFilePath.

Редагувати рядок

  1. Заповніть дані значення розташуванням, до якого потрібно записати файл стану, і натисніть кнопку ОК.

Відредагований рядок

Примітка:
  • Шлях за замовчуванням: <CommonAppData>\Cylance\Status\Status.json
  • Приклад шляху: C:\ProgramData\Cylance
  • Файл .json (JavaScript Object Notation) можна відкрити в редакторі текстових документів ASCII.

Детальна інформація про шкідливе програмне забезпечення міститься у файлі Status.json за адресою:

/Library/Application Support/Cylance/Desktop/Status.json
 
Примітка: Файл .json (JavaScript Object Notation) можна відкрити в редакторі текстових документів ASCII.

Детальна інформація про шкідливе програмне забезпечення міститься у файлі Status.json за адресою:

/opt/cylance/desktop/Status.json
 
Примітка: Файл .json (JavaScript Object Notation) можна відкрити в редакторі текстових документів ASCII.

Огляд

Вміст файлу стану містить детальну інформацію про кілька категорій, включаючи загрози, експлойти та сценарії. Натисніть на відповідну інформацію, щоб дізнатися про це більше.

Вміст файлу стану:

snapshot_time Дата й час збирання відомостей про стан. Дата й час вказуються локально для пристрою.
ProductInfo
  • version: Розширена версія агента запобігання загрозам на пристрої
  • last_communicated_timestamp: Дата й час останньої перевірки оновлення агента
  • serial_number: Інсталяційний токен, що використовується для реєстрації Агента
  • device_name: Назва пристрою, на якому встановлено Агент
Policy
  • type: Статус того, чи знаходиться Агент онлайн або офлайн
  • id: Унікальний ідентифікатор поліса
  • name: Назва політики
ScanState
  • last_background_scan_timestamp: Дата й час останнього сканування з виявлення загроз у фоновому режимі
  • drives_scanned: Список відсканованих букв дисків
Threats
  • count: Кількість знайдених загроз
  • max: Максимальна кількість загроз у файлі статусу
  • Загроза
    • file_hash_id: Відображає хеш-інформацію SHA256 для загрози
    • file_md5: Хеш MD5
    • file_path: Шлях, на якому була виявлена загроза. Містить ім'я файлу
    • is_running: Чи запущена загроза зараз на пристрої? Правда чи брехня
    • auto_run: Чи налаштований файл загрози на автоматичний запуск? Правда чи брехня
    • file_status: Відображає поточний стан загрози, як-от «Дозволено», «Запущено» або «На карантині». Дивіться загрози: Таблиця FileState
    • file_type: Відображає тип файлу, наприклад Portable Executable (PE), Archive або PDF. Дивіться загрози: Таблиця FileType
    • score: Відображає оцінку Cylance. Оцінка, яка відображається у файлі стану, коливається від 1000 до -1000. У консолі діапазон від 100 до -100
    • file_size: Відображає розмір файлу у байтах
Exploits
  • count: Кількість знайдених експлойтів
  • max: Максимальна кількість експлойтів у файлі статусу
  • Експлуатувати
    • ProcessId: Відображає ідентифікатор процесу програми, визначеної за допомогою функції «Захист пам'яті»
    • ImagePath: Шлях, звідки походить експлойт. Містить ім'я файлу
    • ImageHash: Відображає хеш-інформацію SHA256 для експлойта
    • FileVersion: Відображає номер версії файлу експлойта
    • Username: Відображає ім'я користувача, який був авторизований на пристрої під час експлойту
    • Groups: Відображає групу, з якою пов'язаний користувач, який увійшов у систему
    • Sid: Ідентифікатор безпеки (SID) для користувача, який увійшов у систему
    • ItemType: Відображає тип експлойта, який відноситься до типів порушень
    Примітка:
    • Стан: Відображає поточний стан експлойта, як-от «Дозволено», «Заблоковано» або «Припинено»
    Примітка:
    • Дивіться подвиги: Таблиця станів
    • MemDefVersion: Версія захисту пам'яті, яка використовується для ідентифікації експлойта, зазвичай номер версії агента
    • Count: Кількість спроб запуску експлойта
Scripts
  • count: Кількість сценаріїв, запущених на пристрої
  • max: Максимальна кількість скриптів у файлі стану
  • Сценарій
    • script_path: Шлях, звідки походить скрипт. Містить ім'я файлу
    • file_hash_id: Відображає хеш-інформацію SHA256 для скрипту
    • file_md5: Відображає хеш-інформацію MD5 для скрипту, якщо вона доступна
    • file_sha1: Відображає хеш-інформацію SHA1 для сценарію, якщо вона доступна
    • drive_type: Визначає тип диска, з якого походить сценарій, наприклад Виправлено
    • last_modified: Дата й час останньої зміни сценарію
    • interpreter:
      • name: Ім'я функції керування сценарієм, яка ідентифікувала шкідливий сценарій;
      • version: Номер версії функції керування сценарієм
    • username: Відображає ім'я користувача, який увійшов у систему на пристрої під час запуску сценарію
    • groups: Відображає групу, з якою пов'язаний користувач, який увійшов у систему
    • sid: Ідентифікатор безпеки (SID) для користувача, який увійшов у систему
    • action: Відображає дію, виконану в сценарії, як-от «Дозволено», «Заблоковано» або «Припинено». Дивіться сценарії: Таблиця дій

Загрози мають кілька числових категорій, які потрібно розшифрувати в File_Status, FileState і FileType. Посилайтеся на відповідну категорію для значень, які потрібно присвоїти.

File_Status

Поле File_Status — це десяткове значення, обчислене на основі значень, увімкнених FileState (див. таблицю в розділі FileState). Наприклад, десяткове значення 9 для file_status обчислюється на основі файлу, який визначено як загрозу (0x01) і поміщено файл у карантин (0x08).

file_status і file_type

Стан файлу

Загрози: Стан файлу

Ніхто 0x00
Загроза 0x01
Підозрілі 0x02
Дозволило 0x04
На карантині 0x08
Біг 0x10
Корумпованих 0x20

Тип файлу

Загрози: Тип файлу

Непідтримуваний 0
ФОП 1
Архів 2
У форматі PDF 3
ОЛЕ 4

Експлойти мають дві числові категорії, які потрібно розшифрувати як у ItemType , так і в State.

ItemType і State

Посилайтеся на відповідну категорію для значень, які потрібно присвоїти.

Тип елемента

Подвиги: Тип елемента

StackPivot 1 Стек Pivot
StackProtect 2 Захист стека
OverwriteCode 3 Перезаписати код
OopAllocate 4 Віддалений розподіл пам'яті
OopMap 5 Віддалене відображення пам'яті
OopWrite 6 Віддалений запис в пам'ять
OopWritePe 7 Віддалений запис PE в пам'ять
OopOverwriteCode 8 Віддалений перезапис коду
OopUnmap 9 Віддалене розблокування карти пам'яті
OopThreadCreate 10 Створення віддалених потоків
OopThreadApc 11 Віддалений APC за розкладом
LsassRead 12 LSASS Читати
TrackDataRead 13 Скрейпінг оперативної пам'яті
CpAllocate 14 Віддалений розподіл пам'яті
CpMap 15 Віддалене відображення пам'яті
CpWrite 16 Віддалений запис в пам'ять
CpWritePe 17 Віддалений запис PE в пам'ять
CpOverwriteCode 18 Віддалений перезапис коду
CpUnmap 19 Віддалене розблокування карти пам'яті
CpThreadCreate 20 Створення віддалених потоків
CpThreadApc 21 Віддалений APC за розкладом
ZeroAllocate 22 Нульовий розподіл
DyldInjection 23 Ін'єкція DYLD
MaliciousPayload 24 Шкідливе корисне навантаження
 
Примітка:

Стан

Подвиги: Стан

Ніхто 0
Дозволило 1
Заблоковано 2
Припинено 3

Експлойти мають єдину числову категорію, яку потрібно розшифрувати в Дії.

Дія

Скрипти: Дія

Ніхто 0
Дозволило 1
Заблоковано 2
Припинено 3

Щоб зв'язатися зі службою підтримки, зверніться за номерами телефонів міжнародної служби підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову інформацію та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.

Затронутые продукты

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Свойства статьи
Номер статьи: 000124896
Тип статьи: Solution
Последнее изменение: 20 Nov 2023
Версия:  12
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.