Перейти к основному содержимому
  • Простое и быстрое размещение заказов
  • Просмотр заказов и отслеживание состояния доставки
  • Создание списка продуктов и доступ к нему

Dell Endpoint Security Suite Enterprisen ja Threat Defensen päätepisteen tilan analysointi (englanninkielinen)

Сводка: Päätepisteiden tila voidaan analysoida Dell Endpoint Security Suite Enterprisessa ja Dell Threat Defensessä näiden ohjeiden mukaisesti.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.

Симптомы

Huomautus:

Dell Endpoint Security Suite Enterprisen ja Dell Threat Defensen päätepisteiden tilat voidaan vetää tietystä päätepisteestä uhkien, hyökkäyksien ja komentosarjojen perusteelliseen tarkasteluun.


Tuotteet, joita asia koskee:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Ympäristöt, joita tämä koskee:

  • Windows
  • Mac
  • Linux

Причина

-

Разрешение

Dell Endpoint Security Suite Enterprisen ja Dell Threat Defensen järjestelmänvalvojat voivat käyttää yksittäistä päätepistettä seuraavien tarkasteluun:

  • haittaohjelman sisältö
  • haittaohjelman tila
  • haittaohjelman tyyppi.

Järjestelmänvalvojan pitäisi tehdä nämä toimet vain vianmäärityksessä, miksi ATP (Advanced Threat Prevention) -moottori luokiteltiin väärin tiedostoon. Katso lisätietoja valitsemalla Access tai Review .

Access

Saatavilla olevat haittaohjelmatiedot vaihtelevat Windowsin, macOS:n ja Linuxinvälillä. Katso lisätietoja valitsemalla asianmukainen käyttöjärjestelmä.

Windows ei oletusarvoisesti tallenna kattavia haittaohjelmatietoja.

  1. Napsauta Windowsin Käynnistä-valikkoa hiiren kakkospainikkeella ja valitse Suorita.

Suorita

  1. Kirjoita Suorita-kenttään regedit ja paina näppäinyhdistelmää CTRL+VAIHTO+ENTER. Tällöin rekisterieditori suoritetaan järjestelmänvalvojana.

Suorita-kenttä

  1. Valitse rekisterieditorissa HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. Napsauta vasemmassa ruudussa työpöytää hiiren kakkospainikkeella ja valitse Käyttöoikeudet.

Käyttöoikeudet

  1. Valitse Advanced.

Advanced

  1. Valitse Omistaja.

Omistaja-välilehti

  1. Valitse Muut käyttäjät tai ryhmät.

Muut käyttäjät tai ryhmät

  1. Hae tilisi ryhmästä ja valitse OK.

Tili valittu

  1. Valitse OK.

OK

  1. Varmista, että ryhmän tai käyttäjänimen Täydet oikeudet on valittu, ja valitse OK.

SLN310044_en_US__9ddpkm1371i

Huomautus: Esimerkissä DDP_Admin (vaihe 8) on Käyttäjät-ryhmän jäsen.
  1. Osoitteessa HKEY_LOCAL_MACHINE\Software\Cylance\Desktopnapsauta työpöytäkansiota hiiren kakkospainikkeella , valitse Uusi ja valitse DWORD-arvo (32-bittinen).

Uusi DWORD

  1. Anna DWORD-nimelle nimi StatusFileEnabled.

StatusFileEnabled (Tilatiedoston olennainen)

  1. Kaksoisnapsauta kohtaa StatusFileEnabled.

Muokkaa DWORD-tietoja

  1. Kirjoita Arvon tiedot 1 ja valitse OK.

Päivitetty DWORD

  1. Osoitteessa HKEY_LOCAL_MACHINE\Software\Cylance\Desktopnapsauta työpöytäkansiota hiiren kakkospainikkeella , valitse Uusi ja valitse DWORD-arvo (32-bittinen).

Uusi DWORD

  1. Anna DWORD-nimelle nimi StatusFileType.

StatusFileType

  1. Kaksoisnapsauta kohtaa StatusFileType.

Muokkaa DWORD-tietoja

  1. Lisää Arvon tiedot jommallakummmalla 0 tai 1. Kun Arvon tiedot on lisätty, valitse OK.

Päivitetty DWORD

Huomautus: Arvon tietojen valinnat:
  • 0 = JSON-tiedostomuoto
  • 1 = XML-muoto
  1. Osoitteessa HKEY_LOCAL_MACHINE\Software\Cylance\Desktopnapsauta työpöytäkansiota hiiren kakkospainikkeella , valitse Uusi ja valitse DWORD-arvo (32-bittinen).

Uusi DWORD

  1. Anna DWORD-nimelle nimi StatusPeriod.

StatusPeriod

  1. Kaksoisnapsauta kohtaa StatusPeriod.

Muokkaa DWORD-tietoja

  1. Lisää arvon tiedot numerolla, joka vaihtelee välillä 15 - 60 ja valitse OK.

Päivitetty DWORD

Huomautus: StatusPeriod tarkoittaa, kuinka usein tiedosto kirjoitetaan.
15 = 15 sekunnin väli
60 = 60 sekunnin aikaväli
  1. Osoitteessa HKEY_LOCAL_MACHINE\Software\Cylance\Desktopnapsauta työpöytäkansiota hiiren kakkospainikkeella , valitse Uusi ja valitse String Value.

Uusi merkkijono

  1. Anna merkkijonolle nimi StatusFilePath.

StatusFilePath

  1. Kaksoisnapsauta kohtaa StatusFilePath.

Muokkaa merkkijonoa

  1. Lisää Arvon tiedot -kohtaan sijainti, johon haluat kirjoittaa tilatiedoston, ja valitse OK.

Muokkaa merkkijonoa

Huomautus:
  • Oletuspolku: <CommonAppData>\Cylance\Status\Status.json
  • Esimerkkipolku: C:\ProgramData\Cylance
  • .json (JavaScript Object Notation) -tiedoston voi avata ASCII-tekstieditorissa.

Kattavat haittaohjelmatiedot ovat Status.json-tiedostossa osoitteessa

/Library/Application Support/Cylance/Desktop/Status.json
 
Huomautus: .json (JavaScript Object Notation) -tiedoston voi avata ASCII-tekstieditorissa.

Kattavat haittaohjelmatiedot ovat Status.json-tiedostossa osoitteessa

/opt/cylance/desktop/Status.json
 
Huomautus: .json (JavaScript Object Notation) -tiedoston voi avata ASCII-tekstieditorissa.

Tarkastelu

Tilatiedoston sisältö sisältää yksityiskohtaisia tietoja useista luokista, mukaan lukien uhat, heikkoudet ja komentosarjat. Katso lisätietoja napsauttamalla asianmukaisia tietoja.

Tilatiedoston sisältö:

snapshot_time Päivämäärä ja aika, jolloin tilatiedot kerättiin. Päiväys ja aika ovat laitekohtaisia.
ProductInfo
  • version: Advanced Threat Prevention Agent -versio laitteessa
  • last_communicated_timestamp: Agentin päivityksen viimeisimmän tarkistuksen päivämäärä ja aika
  • serial_number: Agentin rekisteröimiseen käytettävä asennustunnus
  • device_name: Sen laitteen nimi, jossa agentti asennetaan
Policy
  • type: Agentin online- tai offline-tilan tarkistaminen
  • id: Käytännön yksilöllinen tunniste
  • name: Käytännön nimi
ScanState
  • last_background_scan_timestamp: Edellisen uhkien tunnistuksen päivämäärä ja aika
  • drives_scanned: Skannatut asemakirjaimet
Threats
  • count: Löytyneiden uhkien määrä
  • max: Tilatiedoston uhkien enimmäismäärä
  • Uhka
    • file_hash_id: Näyttää uhan SHA256-hajautusarvotiedot
    • file_md5: MD5-hajautusarvo
    • file_path: Polku, josta uhka löytyi. Sisältää tiedostonimen
    • is_running: Onko uhka tällä hetkellä käynnissä laitteessa? Tosi tai epätosi
    • auto_run: Onko uhkatiedosto määritetty automaattisesti suoritettavaksi? Tosi tai epätosi
    • file_status: Näyttää uhan nykyisen tilan, kuten Salli, Käynnissä tai Karanteenissa. Katso Threats: FileState-taulukko
    • file_type: Näyttää tiedoston tyypin, kuten PE (Portable Executable)-, Archive- tai PDF-tiedoston. Katso Threats: FileType-taulukko
    • score: Näyttää Cylance-arvosanan. Status-tiedostossa näkyvä pistemäärä on 1000–1000. Konsolissa alue on 100–100.
    • file_size: Näyttää tiedoston koon tavuina
Exploits
  • count: Löytyneiden heikkouden hyödyntämisten määrä
  • max: Status-tiedoston heikkouden hyödyntämisten enimmäismäärä
  • Heikkouksia hyödyntävä ohjelma
    • ProcessId: Näyttää muistin suojauksella tunnistetun sovelluksen prosessitunnuksen
    • ImagePath: Polku, jossa heikkouksia hyödyntävä ohjelma sijaitsee. Sisältää tiedostonimen
    • ImageHash: Näyttää heikkoutta hyödyntävän SHA256-hajautusarvon tiedot
    • FileVersion: Näyttää heikkouden hyödyntämistiedoston versionumeron
    • Username: Näyttää sen käyttäjän nimen, joka kirjautunut laitteeseen heikkouden hyödyntämisen yhteydessä
    • Groups: Näyttää ryhmän, johon kirjautunut käyttäjä liittyy
    • Sid: Kirjautuneen käyttäjän suojaustunnus (SID)
    • ItemType: Näyttää rikkomuksen tyyppiin liittyvän heikkouden tyypin
    Huomautus:
    • Tila: Näyttää heikkouden nykyisen tilan, kuten Salli, Estetty tai Päätetty
    Huomautus:
    • Katso Exploits: Tilataulukko
    • MemDefVersion: Ongelman tunnistamiseen käytettävä muistin suojauksen versio, yleensä agentin versionumero
    • Count: Heikkouden hyödyntämisyrityksen suorituskertojen määrä
Scripts
  • count: Laitteessa suoritettavien komentosarjojen määrä
  • max: Tilatiedostossa olevien komentosarjojen enimmäismäärä
  • Komentosarja
    • script_path: Polku, jossa komentosarja sijaitsee. Sisältää tiedostonimen
    • file_hash_id: Näyttää komentosarjan SHA256-hajautusarvotiedot
    • file_md5: Näyttää komentosarjan MD5-hajautusarvon tiedot, jos käytettävissä
    • file_sha1: Näyttää komentosarjan SHA1-hajautusarvon tiedot, jos käytettävissä
    • drive_type: Ilmaisee, mistä asemasta komentosarja on peräisin, kuten Fixed
    • last_modified: Päivämäärä ja aika, jolloin komentosarjaa muokattiin viimeksi
    • interpreter:
      • name: Haitallisen komentosarjan tunnistavan komentosarjan hallintaominaisuuden nimi
      • version: Komentosarjojen hallintatoiminnon versionumero
    • username: Näyttää sen käyttäjän nimen, joka kirjautui laitteeseen komentosarjan käynnistyksen yhteydessä
    • groups: Näyttää ryhmän, johon kirjautunut käyttäjä liittyy
    • sid: Kirjautuneen käyttäjän suojaustunnus (SID)
    • action: Näyttää komentosarjan toiminnon, kuten Allowed (Sallittu), Blocked (Estetty) tai Terminated (Päätetetty). Katso Scripts: Toimintotaulukko

Uhilla on useita numeerisia luokkia, jotka voidaan tulkita File_Status,FileState- ja FileType-toiminnoissa. Katso määritettävät arvot asianmukaisesta luokasta.

File_Status

File_Status-kenttä on desimaaliarvo, joka on laskettu FileStaten käytössä olevien arvojen perusteella (katso FileState-osan taulukkoa). Esimerkiksi File_Status-desimaaliarvo 9 lasketaan uhaksi tunnistettavasta tiedostosta (0x01), ja tiedosto on asetettu karanteeniin (0x08).

file_status ja file_type

FileState

Uhat: FileState

None 0x00
Uhka 0x01
Epäilyttävä 0x02
Sallittu 0x04
Karanteenissa 0x08
Käynnissä 0x10
Korruptoitunut 0x20

Filetype

Uhat: Filetype

Ei tuettu 0
PE 1
Arkisto 2
PDF 3
OLE 4

Heikkouksia hyödyntävillä ohjelmilla on kaksi numeerista kategoriaa, jotka tulkitaan sekä ItemType- että State-kohdassa.

ItemType ja State

Katso määritettävät arvot asianmukaisesta luokasta.

ItemType

Heikkouksia hyödyntävät ohjelmat: ItemType

StackPivot 1 Pinon kierto
StackProtect 2 Pinon suojaus
OverwriteCode 3 Korvauskoodi
OopAllocate 4 Muistin etävaraus
OopMap 5 Muistin etäkartoitus
OopWrite 6 Etäkirjoitus muistiin
OopWritePe 7 PE:n etäkirjoitus muistiin
OopOverwriteCode 8 Etäkorvauskoodi
OopUnmap 9 Muistin etäpoisto
OopThreadCreate 10 Säikeen etäluonti
OopThreadApc 11 Etä-APC ajoitettu
LsassRead 12 LSASS:n luku
TrackDataRead 13 RAM-muistin haalinta
CpAllocate 14 Muistin etävaraus
CpMap 15 Muistin etäkartoitus
CpWrite 16 Etäkirjoitus muistiin
CpWritePe 17 PE:n etäkirjoitus muistiin
CpOverwriteCode 18 Etäkorvauskoodi
CpUnmap 19 Muistin etäpoisto
CpThreadCreate 20 Säikeen etäluonti
CpThreadApc 21 Etä-APC ajoitettu
ZeroAllocate 22 Nollavaraus
DyldInjection 23 DYLD-lisäys
MaliciousPayload 24 Haitallinen tietosisältö
 
Huomautus:

Tila

Heikkouksia hyödyntävät ohjelmat: Tila

None 0
Sallittu 1
Estetty 2
Lopetettu 3

Heikkouksia hyödyntävillä ohjelmilla on yksi numeerinen kategoria, joka on tulkittava Action-kohdassa.

Toiminto

Komentosarjat: Toiminto

None 0
Sallittu 1
Estetty 2
Lopetettu 3

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.

Дополнительная информация

   

Видео

   

Затронутые продукты

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Свойства статьи
Номер статьи: 000124896
Тип статьи: Solution
Последнее изменение: 20 Nov 2023
Версия:  12
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.