Просмотр событий доверенного устройства Dell в средстве просмотра событий Windows
Summary: Узнайте, как использовать средство просмотра событий в Windows для мониторинга состояний доверенных устройств Dell для отслеживания событий и индикаторов атаки BIOS, проверки BIOS и т. д. ...
Instructions
Dell Trusted Device входит в портфель продуктов Dell SafeBIOS. Dell Trusted Device — это приложение, которое предоставляет информацию о состоянии безопасности локальной конечной точки и рекомендуемых действиях для мониторинга безопасности. Dell Trusted Device включает в себя следующие функции:
- BIOS Verification
- BIOS Events & Indicators of Attack
- Запись образа BIOS
- Проверка Intel ME
- Безопасная проверка компонентов (в облаке)
- Распространенные уязвимости и проблемы (CVE)
- Оценка защиты от рисков безопасности
- Интеграция репозитория событий Dell с информационной безопасностью и системой управления событиями безопасности (SIEM)
Затронутый продукт:
- Dell Trusted Device
Затронутые версии:
- Dell Trusted Device версии 6.1 и более поздних
Затронутые платформы:
- Windows 10
- Windows 11
Затронутое оборудование:
- Latitude
- OptiPlex
- Precision
- XPS
Чтобы просмотреть события доверенного устройства Dell в Диспетчере событий Windows, откройте Средство просмотра событий Windows. Здесь можно просмотреть события и индикаторы атаки BIOS (IoA),проверка BIOS, проверка Intel Management Engine (Intel ME),защищенная проверка компонентов (SCV) и распространенные уязвимости и уязвимости (CVE).
Откройте средство просмотра событий Windows
- В локальной консоли Dell Trusted Device в разделе « Windows System Links» нажмите Event Viewer.
- В окне «Просмотр событий» разверните раздел Журналы приложений и служб и выберите Доверенное устройство Dell.
- Исходный столбец можно использовать для фильтрации сообщений о событиях по типам категорий. Приведенные ниже разделы этой статьи помогают предоставить дополнительный контекст для понимания значения этих классификаций.
События и индикаторы атаки BIOS (IoA)
Функция «События и индикаторы атаки BIOS» позволяет администраторам анализировать события в средстве просмотра событий Windows, которые могут указывать на вредоносные атаки на BIOS на корпоративных конечных устройствах. Злоумышленники изменяют атрибуты BIOS, чтобы получить доступ к корпоративным компьютерам локально или удаленно. Эти векторы атак можно отслеживать, а затем нейтрализовать с помощью функции «События и индикаторы атаки» BIOS, которая позволяет отслеживать атрибуты BIOS. Агент Dell Trusted Device собирает атрибуты BIOS после установки и по умолчанию каждые 12 часов. Данные о событиях и индикаторах атаки BIOS хранятся в течение 200 дней.
Dell Technologies рекомендует использовать продукт SIEM для извлечения журналов и событий. Администраторы должны предоставить результаты своему центру управления безопасностью (SOC) для определения соответствующих стратегий исправления.
BIOS Verification
BIOS Verification сравнивает текущую версию BIOS устройства с последней доступной версией. Если присутствует устаревшая версия, BIOS Verification записывает в средство просмотра событий Windows следующее:
| Действие | Level | Идентификатор события | Категория задачи |
|---|---|---|---|
| Проверка пройдена | Информационный | 9. | 1. |
| Сбой проверки | Ошибка | 2. | 1. |
| Снимок получен | Warning | 1. | 2. |
| Дубликат полученного изображения | Warning | 2. | 2. |
| Версия BIOS устарела | Warning | 40 | 8 |
| Версия BIOS в настоящее время не поддерживается | Ошибка | 2. | 1. |
По умолчанию проверка BIOS выполняется каждые 24 часа.
Intel Management Engine Verification (Intel ME)
Intel Management Engine (Intel ME) — это независимый микроконтроллер, встроенный в наборы микросхем процессора Intel. Intel ME обеспечивает интерфейс между операционной системой, оборудованием и BIOS.
Агент Dell Trusted Device сканирует и проверяет наличие и отсутствие несанкционированного доступа к микропрограмме Intel ME после первоначальной установки, запуска и каждые 24 часа.
Безопасная проверка компонентов (SCV)
Secured Component Verification (On Cloud) — это гарантия цепочки поставок, которая позволяет проверить целостность компонентов внутри компьютера Dell. Dell Trusted Device сравнивает сведения о компоненте компьютера с сертификатом за пределами хоста, содержащим уникальные идентификаторы системных компонентов, созданные и подписанные Dell в процессе заводской сборки. Secure Component Verification (On Cloud) проверяет следующие компоненты:
- Процессор (ЦП)
- Доверенный платформенный модуль (TPM)
- Фиксированное хранилище
- Встроенные сетевые компоненты
- Память (ОЗУ)
- Системная плата
- Информация о системе
Dell Trusted Device выполняет проверку компонентов после установки и при каждом запуске. Для каждого компонента Dell Trusted Device записывает в средство просмотра событий Windows данные о прохождении или сбое с меткой времени.
| Действие | Level | Идентификатор события | Категория задачи |
|---|---|---|---|
| Проверка пройдена успешно | Информационный | 41 | 9. |
| Сбой проверки | Информационный | 41 | 9. |
| Внутренняя ошибка сервера: ошибка сети | Ошибка | 43 | 9. |
| Неподдерживаемая платформа | Warning | 42 | 9. |
Распространенные уязвимости и проблемы (CVE)
Dell Trusted Device предназначен для выявления и обнаружения CVE, связанных с BIOS. После загрузки Dell Trusted Device оценивает текущую версию BIOS устройства и сравнивает ее с последней доступной версией. Затем он анализирует различия между этими версиями и выявляет рекомендации по безопасности Dell (DSA), которые были устранены в более новой версии BIOS. DSA представляет собой коллекцию из одной или нескольких CVE.
| Действие | Level | Идентификатор события | Категория задачи |
|---|---|---|---|
| Success | Информационный | 46 | 10. |
| Ошибка. Произошла ошибка сетевого подключения | Warning | 47 | 10. |
| Ошибка. Обнаружено фальсификация | Warning | 47 | 10. |
| Ошибка. Произошла неизвестная ошибка | Warning | 47 | 10. |
| Ошибка. Платформа в настоящее время не поддерживается | Warning | 47 | 10. |