跳至主要內容
登出

歡迎來到 Dell

我的帳戶
  • 簡單快速地下訂單
  • 檢視訂單及追蹤商品運送狀態
  • 建立並存取您的產品清單
  • 使用「公司管理」來管理您的 Dell EMC 網站、產品和產品層級連絡人。
登入 建立帳戶 Premier 登入 合作夥伴計畫登入
與我們連絡

您的 Dell.com 購物車

文章編號: 000124896

Анализ состояния конечных точек Dell Endpoint Security Suite Enterprise и Threat Defense

摘要: С помощью этих инструкций можно анализировать состояния конечных точек в Dell Endpoint Security Suite Enterprise и Dell Threat Defense.

本文可能採用自動翻譯。如果您對翻譯品質有任何寶貴意見,請使用此頁面底部的表單告訴我們,謝謝。

文章內容

症狀

Примечание.:

Статусы конечных точек Dell Endpoint Security Suite Enterprise и Dell Threat Defense можно извлечь из определенной конечной точки для углубленного анализа угроз, эксплойтов и сценариев.

Затронутые продукты:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Затронутые платформы:

  • Windows
  • Mac
  • Linux

原因

Неприменимо

解析度

Администраторы Dell Endpoint Security Suite Enterprise или Dell Threat Defense могут получить доступ к отдельной конечной точке для просмотра:

  • содержания вредоносного ПО;
  • состояния вредоносного ПО;
  • типа вредоносного ПО.

Администратор должен выполнять эти действия только при поиске и устранении неполадок, по которым модуль advanced threat prevention (ATP) неправильно классифицировать файл. Нажмите Доступ или Обзор для получения дополнительной информации.

Access

Доступ к информации о вредоносном ПО различается в зависимости от ОС: Windows, macOS и Linux. Нажмите на соответствующую операционную систему, чтобы ознакомиться с дополнительными сведениями.

По умолчанию Windows не записывает подробную информацию о вредоносном ПО.

  1. Нажмите правой кнопкой мыши меню Windows «Пуск», затем нажмите Выполнить.

Выполнить

  1. В пользовательском интерфейсе «Выполнить» введите regedit и нажмите клавиши CTRL+SHIFT+ENTER. Редактор реестра запускается с правами администратора.

Пользовательский интерфейс «Выполнить»

  1. В редакторе реестра перейдите в раздел HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. На левой панели правой кнопкой мыши нажмите Рабочий стол и выберите Разрешения.

Разрешения

  1. Нажмите Advanced.

Advanced

  1. Нажмите Владелец.

Вкладка «Владелец»

  1. Нажмите Другие пользователи или группы.

Другие пользователи или группы

  1. Найдите свою учетную запись в группе и нажмите OK.

Учетная запись выбрана

  1. Нажмите OK.

ОК

  1. Убедитесь, что для вашей группы или имени пользователя установлен флажок Полный доступ, а затем нажмите OK.

SLN310044_en_US__9ddpkm1371i

Примечание. В данном примере DDP_Admin (шаг 8) входит в группу «Пользователи».
  1. В HKEY_LOCAL_MACHINE\Software\Cylance\Desktopнажмите правой кнопкой мыши на папке Рабочий стол, выберите Пункт Новый, затем нажмите DWORD (32-разрядная) Значение.

Новое DWORD

  1. Привяйте имя DWORD StatusFileEnabled.

StatusFileEnabled

  1. Дважды нажмите StatusFileEnabled.

Редактировать DWORD

  1. Заполните данные значения с помощью 1 затем нажмите « OK».

Обновленное DWORD

  1. В HKEY_LOCAL_MACHINE\Software\Cylance\Desktopнажмите правой кнопкой мыши на папке Рабочий стол, выберите Пункт Новый, затем нажмите DWORD (32-разрядная) Значение.

Новое DWORD

  1. Привяйте имя DWORD StatusFileType.

StatusFileType

  1. Дважды нажмите StatusFileType.

Редактировать DWORD

  1. Заполните данные значения с помощью любого из следующих значений: 0 или 1. После заполнения поля Значение нажмите OK.

Обновленное DWORD

Примечание. Варианты значения:
  • 0 = формат файла JSON
  • 1 = формат XML
  1. В HKEY_LOCAL_MACHINE\Software\Cylance\Desktopнажмите правой кнопкой мыши на папке Рабочий стол, выберите Пункт Новый, затем нажмите DWORD (32-разрядная) Значение.

Новое DWORD

  1. Привяйте имя DWORD StatusPeriod.

StatusPeriod

  1. Дважды нажмите StatusPeriod.

Редактировать DWORD

  1. Заполняйте данные о ценности в количестве от 15 на 60 и нажмите кнопку OK.

Обновленное DWORD

Примечание. StatusPeriod — это частота записи файла.
15 = 15 секунд, интервал
60 = 60 секунд
  1. В HKEY_LOCAL_MACHINE\Software\Cylance\Desktopнажмите правой кнопкой мыши папку Рабочий стол, выберите Пункт Новый, затем нажмите кнопку String Value.

Новое строковое значение

  1. Привятите строку к имени StatusFilePath.

StatusFilePath

  1. Дважды нажмите StatusFilePath.

Редактировать строковое значение

  1. Введите в поле Значение местонахождение для записи файла состояния и нажмите OK.

Отредактированное строковое значение

Примечание.:
  • Путь по умолчанию: <CommonAppData>\Cylance\Status\Status.json
  • Пример пути: C:\ProgramData\Cylance
  • Файл .json (JavaScript Object Notation) можно открыть в редакторе текстовых документов ASCII.

Подробная информация о вредоносном ПО находится в файле Status.json в разделе:

/Library/Application Support/Cylance/Desktop/Status.json
 
Примечание.: Файл .json (JavaScript Object Notation) можно открыть в редакторе текстовых документов ASCII.

Подробная информация о вредоносном ПО находится в файле Status.json в разделе:

/opt/cylance/desktop/Status.json
 
Примечание.: Файл .json (JavaScript Object Notation) можно открыть в редакторе текстовых документов ASCII.

Просмотр

Содержимое файла состояния содержит подробную информацию о нескольких категориях, включая угрозы, эксплойты и сценарии. Нажмите на соответствующую информацию, чтобы узнать больше об этом.

Содержимое файла состояния

snapshot_time Дата и время сбора информации о состоянии. Дата и время являются локальными для устройства.
ProductInfo
  • version: Версия агента Advanced Threat Prevention на устройстве
  • last_communicated_timestamp: Дата и время последней проверки обновления агента
  • serial_number: Токен установки, используемый для регистрации агента
  • device_name: Имя устройства, на которое установлен агент
Policy
  • type: Состояние работы агента в режиме онлайн или в автономном режиме
  • id: Уникальный идентификатор политики
  • name: Policy Name
ScanState
  • last_background_scan_timestamp: Дата и время последнего сканирования фонового обнаружения угроз
  • drives_scanned: Отсканированные буквы дисков
Threats
  • count: Количество найденных угроз
  • max: Максимальное количество угроз в файле состояния
  • Угроза
    • file_hash_id: Отображение информации о хэш-файле SHA256 для угрозы
    • file_md5: Хэш MD5
    • file_path: путь, по которому была обнаружена угроза. Содержит имя файла
    • is_running: в настоящее время на устройстве выполняется угроза? Верно или неверно?
    • auto_run: настроен ли автоматический запуск набора файлов угрозы? Верно или неверно?
    • file_status: отображение текущего состояния угрозы, например «Разрешена», «Выполняется» или «Помещена в карантин». Просмотрите категорию Угрозы: Таблица FileState
    • file_type: Отображение типа файла, например Portable Executable (PE), Archive или PDF. Просмотрите категорию Угрозы: Таблица FileType
    • score: отображение рейтинга Cylance. Значение, отображаемое в файле состояния, находится в диапазоне от 1000 до -1000. Диапазон диапазонов в консоли: от 100 до -100
    • file_size: Отображение размера файла в байтах
Exploits
  • count: Количество найденных эксплойтов
  • max: Максимальное количество эксплойтов в файле состояния
  • Эксплойт
    • ProcessId: Отображение идентификатора процесса приложения, определяемого средством защиты памяти
    • ImagePath: путь, по которому начинается эксплойт. Содержит имя файла
    • ImageHash: Отображение информации хэша SHA256 для эксплойтов
    • FileVersion: Отображение номера версии файла эксплойтов
    • Username: Отображает имя пользователя, который вход в систему на устройство при возникновении эксплойта
    • Groups: Отображение группы, с которую связан вошедших в систему пользователей
    • Sid: Идентификатор безопасности (SID) для вошедших в систему пользователей
    • ItemType: Отображение типа эксплойтов, связанного с типами нарушений
    Примечание.:
    • State: Отображает текущее состояние эксплойтов, например Разрешено, Заблокировано или Завершено.
    Примечание.:
    • Просмотрите категорию Эксплойты: Таблица состояния
    • MemDefVersion: Версия защиты памяти, используемая для идентификации эксплойтов ( обычно номер версии агента)
    • Count: Количество попыток запуска эксплойтов
Scripts
  • count: Количество сценариев, которые выполняется на устройстве
  • max: Максимальное количество сценариев в файле состояния
  • Сценарий
    • script_path: путь, по которому начинается сценарий. Содержит имя файла
    • file_hash_id: Отображение сведений о хэш-файле SHA256 для сценария
    • file_md5: Отображение сведений о хэш-файле MD5 для сценария, если он доступен
    • file_sha1: Отображение сведений о хэш-файле SHA1 для скрипта, если он доступен
    • drive_type: Определяет тип накопителя, из которой был сгенерирован сценарий, как исправлено
    • last_modified: Дата и время последнего изменения скрипта
    • interpreter:
      • name: Имя функции управления сценариями, которая определила вредоносный сценарий
      • version: Номер версии функции управления сценариями
    • username: Отображает имя пользователя, который вход в систему на устройство при запуске сценария
    • groups: Отображение группы, с которую связан вошедших в систему пользователей
    • sid: Идентификатор безопасности (SID) для вошедших в систему пользователей
    • action: Отображает действие, которое выполняется с сценарием, например Разрешено, Заблокировано или Завершено. Просмотрите категорию Сценарии: Таблица действий

Угрозы имеют несколько цифровых категорий, которые необходимо расшифровать в File_Status,FileState и FileType. Составьте соответствующую категорию для назначенных значений.

File_Status

Поле File_Status — это десятичное значение, рассчитанное на основе значений, активированных FileState (см. таблицу в разделе FileState). Например, десятичное значение 9 для file_status рассчитывается на основе файла, идентифицированного как угроза (0x01), и файл помещен в карантин (0x08).

file_status и file_type

FileState

Угрозы: FileState

Нет 0x00
Угроза 0x01
Подозрительный 0x02
Разрешено 0x04
Помещен в карантин 0x08
Выполняется 0x10
Поврежден 0x20

FileType

Угрозы: FileType

Не поддерживается 0
PE 1.
Archive 2.
PDF 3.
OLE 4.

Эксплойты имеют две числовые категории, которые можно расшифровать как в ItemType, так и в State.

ItemType и State

Составьте соответствующую категорию для назначенных значений.

ItemType

Эксплойты: ItemType

StackPivot 1. Stack Pivot
StackProtect 2. Stack Protect
OverwriteCode 3. Overwrite Code
OopAllocate 4. Remote Allocation of Memory
OopMap 5. Remote Mapping of Memory
OopWrite 6 Remote Write to Memory
OopWritePe 7. Remote Write PE to Memory
OopOverwriteCode 8 Remote Overwrite Code
OopUnmap 9. Remote Unmap of Memory
OopThreadCreate 10. Remote Thread Creation
OopThreadApc 11. Remote APC Scheduled
LsassRead 12. LSASS Read
TrackDataRead 13. Очистка ОЗУ
CpAllocate 14 Remote Allocation of Memory
CpMap 15 Remote Mapping of Memory
CpWrite 16 Remote Write to Memory
CpWritePe 17 Remote Write PE to Memory
CpOverwriteCode 18 Remote Overwrite Code
CpUnmap 19 Remote Unmap of Memory
CpThreadCreate 20 Remote Thread Creation
CpThreadApc 21 Remote APC Scheduled
ZeroAllocate 22 Zero Allocate
DyldInjection 23 Ввод DYLD
MaliciousPayload 24 Malicious Payload
 
Примечание.:

Состояние

Эксплойты: Состояние

Нет 0
Разрешено 1.
Заблокировано 2.
Завершено 3.

Эксплойты имеют одну числовую категорию, которую можно расшифровать в Action.

Действие

Сценарии: Действие

Нет 0
Разрешено 1.
Заблокировано 2.
Завершено 3.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

其他資訊

   

影片

   

文章屬性

受影響的產品

Dell Threat Defense, Dell Endpoint Security Suite Enterprise

上次發佈日期

20 11月 2023

版本

12

文章類型

Solution

返回頁首