Jaké jsou typy klasifikace událostí pokročilých hrozeb a co představují?
Shrnutí: Tento článek popisuje typy klasifikace hrozeb uvedené v nástroji Dell Security Management Server a Dell Security Management Server Virtual, které jsou podrobně popsány v datech událostí pokročilých hrozeb přijatých od koncových bodů. ...
Pokyny
- V květnu 2022 dosáhl nástroj Dell Endpoint Security Suite Enterprise ukončení údržby. Tento článek již není společností Dell aktualizován. Více informací naleznete v článku Zásady životního cyklu produktu (konec podpory/životnosti) nástroje Dell Data Security. Máte-li jakékoli dotazy týkající se alternativních článků, obraťte se na prodejní tým nebo na adresu endpointsecurity@dell.com.
- Další informace o aktuálních produktech naleznete v článku Zabezpečení koncového bodu.
Dotčené produkty:
- Dell Security Management Server
- Dell Security Management Server Virtual
- Dell Endpoint Security Suite Enterprise
Sada Dell Endpoint Security Suite Enterprise shromažďuje data o událostech z koncových bodů a během přihlášení ke koncovým bodům je odesílá do nástroje Dell Security Management Server. Data této události jsou analyzována a veškeré přenosné spustitelné soubory, aktivní spuštění aplikací a skripty spuštěné nebo nalezené na koncových bodech, které nástroj Cylance detekuje jako potenciální hrozbu, jsou rozděleny a klasifikovány v rámci nástroje Dell Security Management Server. V následujícím seznamu jsou uvedeny typy klasifikace hrozeb zobrazené na kartě Advanced Threat Events v nástroji Dell Security Management Server, který spravuje klienty s povolenou službou Advanced Threat Prevention.
ThreatFound
Severity: Kritická
Podrobnosti: Tato událost znamená, že přenosný spustitelný soubor (PE) byl identifikován na zařízení, ale na koncovém bodě nebyl zablokován nebo jinak umístěn do karantény, což znamená aktivní hrozbu na počítači.
ThreatBlocked
Severity: Varování
Podrobnosti: Označuje, že na zařízení byl zjištěn přenosný spustitelný soubor (PE), ale jeho spuštění bylo zablokováno. Tato hrozba nebyla umístěna do karantény buď kvůli tomu, že není povolena zásada pro automatické umístění do karantény, nebo se soubor nachází v umístění, do kterého nelze zapisovat pomocí místního účtu SYSTEM (síťová sdílená složka, odebrané zařízení USB atd.).
ThreatTerminated
Severity: Varování
Podrobnosti: Tato událost znamená, že byl v zařízení identifikován přenosný spustitelný soubor (PE) a byl jeho proces během spouštění ukončen. To neznamená, že byl soubor umístěn do karantény, jelikož prostředí PE mohlo být spuštěno z jiného umístění. Doporučujeme vyhledat jinou událost, která je propojena s tímto koncovým bodem a spustitelným souborem, a ověřit, zda byla hrozba správně vyřešena.
MemoryViolationBlocked
Severity: Varování
Podrobnosti: Tato událost znamená, že spustitelný soubor nebo skript, který se pokouší spustit, ale byl v rozporu se zásadami ochrany paměti nebo správy skriptů. Spuštění spustitelného souboru nebo skriptu bylo poté zablokováno. Obvykle to znamená, že korelující zásady ochrany paměti nebo správy skriptů byly nastaveny na možnost "Block".
MemoryViolationTerminated
Severity: Varování
Podrobnosti: Tato událost znamená, že byl spuštěn spustitelný soubor nebo skript, který porušoval zásady ochrany paměti nebo správy skriptů. Spustitelný soubor nebo skript byl později ukončen. Obvykle to znamená, že korelující zásady ochrany paměti nebo správy skriptů byly nastaveny na možnost "Terminate".
MemoryViolation
Severity: Varování
Podrobnosti: Tato událost znamená, že byl zjištěn spustitelný soubor nebo skript, který porušoval zásady ochrany paměti nebo správy skriptů. Spustitelný soubor nebo skript neprovážou proti němu žádnou akci, pravděpodobně proto, že je zásada nastavena na hodnotu "Allow".
ThreatRemoved
Severity: Informace
Podrobnosti: Tato událost znamená, že dříve identifikovaný přenosný spustitelný soubor (PE) byl před odebráním z koncového bodu označen jako potenciální hrozba. To může znamenat, že soubor PE byl odebráno z karantény nebo z počátečního umístění. To je běžné u souborů PE, které byly původně zjištěny na vyjímatelných médiích (USB, CD-ROM atd.).
ThreatQuarantined
Severity: Informace
Podrobnosti: Tato událost znamená, že přenosný spustitelný soubor (PE) byl zjištěn jako potenciální hrozba a byl poté úspěšně umístěn do karantény. To znamená, že zásady pro automatickou karanténu hrozeb na základě klasifikace abnormálního (skóre Cylance 0–60) nebo Unsafe (skóre Cylance 60–100) jsou povoleny.
ThreatWaived
Severity: Informace
Podrobnosti: Tato událost informuje o přenosném spustitelném souboru (PE), u kterého byla zjištěna potenciální hrozba, byla vypuštěna na základě globálního seznamu bezpečných souborů nebo místního waive. To může také znamenat, že hash SHA256 byl přidán do zásad "Waive" nebo "Global Safe List" v nástroji Dell Security Management Server.
ThreatChanged
Severity: Informace
Podrobnosti: Tato událost znamená, že pokud se změnilo skóre Cylance přenosného spustitelného souboru (PE). K tomu obvykle dochází kvůli dvoufázovému přidělování skóre Cylance. Analýza hrozby místního hodnotícího modulu nemusí odpovídat analýze cloudového modulu Cylance. V těchto případech se z důvodu dalších dat, která má cloudový engine Cylance, používá skóre, které vytváří cloudový engine Cylance. Může to také znamenat, že aktualizace nástroje Cylance inicializuje opětovnou analýzu souborů, které byly dříve označeny za hrozby, a je vypočítáno nové skóre, podle kterého již soubor PE není považován za hrozbu.
ProtectionStatusChanged
Severity: Informace
Podrobnosti: Tato událost znamená, že pokud došlo ke změně stavu ochrany koncového bodu. K tomu dochází, když se nástroj Dell Encryption Management Agent znovu připojí ke službám Cylance prostřednictvím doplňků Cylance. K tomu obvykle dochází po restartování koncového bodu, protože nastane krátká doba, během které se CSF nemusel při spouštění připojit k doplňkům Cylance.
Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.