Slik viser du Dell Trusted Device-hendelser i Windows Event Viewer
Summary: Finn ut hvordan du bruker Hendelsesliste i Windows til å overvåke klarerte Dell-enhetsstatuser for BIOS-hendelser og indikatorer for angrep, BIOS-bekreftelse og mer.
Instructions
Dell Trusted Device er en del av produktporteføljen til Dell SafeBIOS. Dell Trusted Device er en applikasjon som inneholder sikkerhetsstatusen til det lokale endepunktet og anbefalte tiltak for sikkerhetsovervåking. Dell Trusted Device omfatter følgende funksjoner:
- BIOS-bekreftelse
- BIOS-hendelser og -angrepsindikatorer
- BIOS-innhenting av image
- Intel ME-bekreftelse
- Sikker verifisering av komponent (i nettskyen)
- Vanlige sårbarheter og eksponeringer (CVE)
- Poengsum for beskyttelse av sikkerhetsrisiko
- Integrering av Dells arrangementsregister og sikkerhetsinformasjon og hendelsesadministrasjon (SIEM)
Berørte produkter:
- Dell Trusted Device
Berørte versjoner:
- Dell Trusted Device versjon 6.1 og nyere
Berørte plattformer:
- Windows 10
- Windows 11
Berørt maskinvare:
- Latitude
- OptiPlex
- Precision
- XPS
Hvis du vil vise hendelser for klarerte Dell-enheter i Windows Hendelsesliste, åpner du Windows Hendelsesliste. Der kan du se gjennom BIOS-hendelser og angrepsindikatorer (IoA),BIOS-verifisering, Intel Management Engine Verification (Intel ME),Secured Component Verification (SCV) og vanlige sårbarheter og eksponeringer (CVE).
Åpne Windows Hendelsesliste
- Fra den lokale konsollen for Dell Trusted Device, under systemkoblingene i Windows, klikker du på Hendelsesliste.
- Fra Hendelseslisteutvider du Program- og tjenestelogger , og deretter velger du Dell Trusted Device.
- Kildekolonnen kan brukes til å filtrere hendelsesmeldinger etter kategorityper. Avsnittene nedenfor i denne artikkelen bidrar til å gi ytterligere kontekst for hva disse klassifiseringene betyr.
BIOS-hendelser og angrepsindikatorer (IoA)
BIOS-hendelser og indikatorer for angrep gjør det mulig for administratorer å analysere hendelser i Windows Hendelsesliste som kan indikere at ugyldige aktører retter seg mot BIOS på virksomhetsendepunkter. Ondsinnede aktører kan endre BIOS-attributter for å få tilgang til bedriftens datamaskiner lokalt eller eksternt. Disse angrepsvektorene kan overvåkes og deretter reduseres gjennom BIOS-hendelser og indikatorer for angrep som kan overvåke BIOS-attributter. Dell Trusted Device-agenten samler inn BIOS-attributter etter installasjon og hver 12. time som standard. BIOS-hendelser og indikatorer for angrep oppbevares i 200 dager.
Dell Technologies anbefaler at du bruker et SIEM-produkt for å hente logger og hendelser. Administratorer bør oppgi resultater til SOC-teamet (Security Operations Center) for å fastslå riktige utbedringsstrategier.
BIOS-bekreftelse
BIOS Verification sammenligner enhetens gjeldende BIOS-versjon med den nyeste tilgjengelige versjonen. Hvis en utdatert versjon er til stede, skriver BIOS Verification følgende til Windows Event Viewer:
| Handling | Nivå | Hendelses-ID | Oppgavekategori |
|---|---|---|---|
| Bekreftelsen er bestått | Informativ | 9 | 1 |
| Bekreftelsen mislyktes | Feil | 2 | 1 |
| Bilde tatt | Advarsel | 1 | 2 |
| Dupliser bilde tatt | Advarsel | 2 | 2 |
| BIOS er utdatert | Advarsel | 40 | 8 |
| BIOS-versjonen støttes ikke for øyeblikket | Feil | 2 | 1 |
BIOS Verification kjører som standard hver 24. time.
Intel Management Engine Verification (Intel ME)
Intel Management Engine (Intel ME) er en uavhengig mikrokontroller som er innebygd i Intel-prosessorbrikkesett. Intel ME gir et grensesnitt mellom operativsystemet, maskinvaren og BIOS.
Dell Trusted Device-agenten skanner og verifiserer at Intel ME-fastvaren er til stede og ikke tuklet med etter første installasjon, oppstart og hver 24. time.
Sikret komponentverifisering (SCV)
Secured Component Verification (på nettskyen) er et forsikringstilbud for leveringskjeden som gjør det mulig å verifisere integriteten til komponentene i Dell-datamaskinen. Dell Trusted Device sammenligner komponentdetaljer på datamaskinen med et ekstern sertifikat som inneholder de unike systemkomponent-ID-ene som genereres og signeres av Dell under fabrikkmonteringsprosessen. Secured Component Verification (i nettskyen) verifiserer følgende komponenter:
- Prosessor (CPU)
- Trusted Platform Module (TPM)
- Fast oppbevaring
- Innebygd nettverk
- Minne (RAM)
- Hovedkort
- Systeminformasjon
Dell Trusted Device utfører komponentverifisering etter installasjon og ved hver oppstart. For hver komponent skriver Dell Trusted Device en tidsstemplet adgang eller mislykkes til Windows Event Viewer.
| Handling | Nivå | Hendelses-ID | Oppgavekategori |
|---|---|---|---|
| Bekreftelsen er fullført | Informativ | 41 | 9 |
| Bekreftelsen mislyktes | Informativ | 41 | 9 |
| Intern feil på server Nettverksfeil | Feil | 43 | 9 |
| Plattform som ikke støttes | Advarsel | 42 | 9 |
Vanlige sårbarheter og eksponeringer (CVE)
Dell Trusted Device er utviklet for å identifisere og oppdage CVE-er som gjelder BIOS. Ved oppstart evaluerer Dell Trusted Device den gjeldende BIOS-versjonen av enheten og sammenligner den med den nyeste tilgjengelige versjonen. Deretter analyseres gapet mellom disse versjonene og identifiserer sikkerhetsveiledningene (DSA-ene) fra Dell som er løst i den nyere BIOS-versjonen. En DSA representerer en samling av én eller flere CVE-er.
| Handling | Nivå | Hendelses-ID | Oppgavekategori |
|---|---|---|---|
| Vellykket | Informativ | 46 | 10 |
| Error: Det oppstod en nettverkstilkoblingsfeil | Advarsel | 47 | 10 |
| Error: Tukling er oppdaget | Advarsel | 47 | 10 |
| Error: Det har oppstått en ukjent feil | Advarsel | 47 | 10 |
| Error: Plattformen støttes ikke for øyeblikket | Advarsel | 47 | 10 |