Какие события Windows связаны с результатами оценки безопасности

Затронутые продукты:

• Dell Trusted Device

Затронутые платформы:

• OptiPlex
• Latitude
• Рабочие станции Precision
• XPS

Содержание

• События Windows, связанные с результатами оценки безопасности
  • Оценка безопасности
  • BIOS Verification
  • Индикаторы атаки
  • Проверка ME
• Атрибуты BIOS, используемые в модуле ввода-вывода

События Windows, связанные с результатами оценки безопасности

Сведения о событиях Windows

В разделе ниже приведены некоторые примеры соответствующих журналов событий Windows.

• Оценка безопасности
• BIOS Verification
• Индикаторы атаки
• Проверка ME

В начало

Оценка безопасности

Подключаемый модуль оценки безопасности создает событие при каждом обновлении оценки безопасности. События оценки безопасности, записанные в журнал событий приложений Dell, имеют источник с именем Trusted Device | Оценка безопасности.

События

Ниже приведены примеры событий, создаваемых для оценок безопасности.

Результат. PASSED (пример)

Event ID: 13
Level: Informational
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 2:56:08 PM.
Result: PASSED

Score: 100

Risk Areas Scanned:
(Passed: 7, Warning: 0, Fail: 0)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: PASS
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: PASS
- TPM enabled: PASS

Результат. PASSED, с предупреждениями (пример)

Event ID: 14
Level: Warning
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 2:56:08 PM.
Result: PASSED, with warnings

Score: 100

Risk Areas Scanned:
(Passed: 6, Warning: 1, Fail: 0)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: WARNING
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: PASS
- TPM enabled: PASS

Результат. Fail (пример).

Event ID: 15
Level: Error
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 5:05:22 PM.
Result: FAILED
 
Score: 71
 
Risk Areas Scanned:
(Passed: 4, Warning: 1, Fail: 2)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: WARNING
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: FAIL
- TPM enabled: FAIL

В начало

BIOS Verification

Если проверка BIOS завершается успешно и завершается успешно, в журнал событий приложений Dell записывается запись информационного уровня с описанием результата. Если по какой-либо причине не удается выполнить проверку BIOS, в журнале системных событий Windows записывается запись уровня ошибки (или предупреждения) с описанием неисправности. Запись, записанная в журнал системных событий Windows, имеет источник с именем Dell Trusted Device | Проверка Intel BIOS.

События

Идентификатор события 4 указывает на следующие типы ошибок:

Сбой проверки

BIOS Verification failed and have a Fail evaluation.
Event ID: 4
Level: Error

BIOS Verification : 1 (Failed Result)
[Displays the complete Json Payload.]

Обнаружение несанкционированного доступа:

BIOS Verification failed and have a tampering detected error
Event ID: 4
Level: Error
BIOS Verification : 2 (Tampered Result)
[Displays the complete Json Payload.]

Идентификатор события 2 указывает на следующие типы ошибок:

Ошибка драйвера

BIOS Verification failed and have a driver error.
Event ID: 2
Level: Error
BIOS Verification : 8 (Driver Error).
See log file for more information

Ошибка сетевого подключения

BIOS Verification failed and have a network connection error
Event ID: 2
Level: Error
BIOS Verification : 13 (Network Connectivity Error)
See log file for more information

Платформа не поддерживается

BIOS Verification failed and have a platform unsupported error
Event ID: 2
Level: Error
BIOS Verification : 11 (Platform Not Currently Supported)
See log file for more information

Unknown Error

BIOS Verification failed and have an unknown error
Event ID: 2
Level: Error

BIOS Verification : 3 (Unknown Error).
See log file for more information

Ошибка внутреннего сервера

BIOS Verification failed and have an internal error
Event ID: 2
Level: Error
BIOS Verification : 6 (Internal Error).
See log file for more information

Ошибка недопустимых данных BIOS

BIOS Verification failed and have an invalid bios data error
Event ID: 2
Level: Error
BIOS Verification : 9 (Invalid BIOS Data Error).
See log file for more information

В начало

Индикаторы атаки

События, генерируемые подключаемым модулем Indicators of Attack (IoA), предназначены для сообщения об изменениях состояния в цепочках угроз IoA.

• События IoA, записанные в системный журнал событий Windows, имеют источник с именем Dell Trusted Device | События BIOS и IoA.
• События IoA, записанные в журнал событий приложений Dell, имеют источник с именем Trusted Device | События BIOS и IoA.

События

Подключаемый модуль IoA генерирует следующие события. Они могут иметь слегка варьирующееся содержимое, такое как <<тип>> атаки и <<соответствующие изменения>> атрибутов, в зависимости от задействованной цепочки угроз. Переменное содержимое заменяется фактическим содержимым при записи события.

Определения идентификаторов текущих событий привязаны к текущему состоянию угрозы:

• 10 указывает на то, что критерии цепочки не были соблюдены.
• 11 указывает на то, что критерии цепочки соответствуют уровню для частичной атаки.
• 12 указывает на то, что критерии цепи полностью выполнены.

Обнаружена частичная атака

When a partial attack is detected, the following event is written:
Event ID: 11
Level: Warning
A partial Indicator of Attack was detected (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Частичная атака перерастает в полную:

When a partial attack escalates to a full attack, the following event is written:
Event ID: 12
Level: Error
A partial Indicator of Attack has escalated (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Частичная атака снята

When a partial attack is cleared, the following event is written:
Event ID: 10
Level: Information
A partial Indicator of Attack has been cleared (Category: <<Attack Type>>).

Полная атака

When a threat chain goes from clear to detecting a full attack, the following event is written:
Event ID: 12
Level: Error
An Indicator of Attack was detected (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Полная атака уменьшена до частичной.

When a full attack is reduced to a partial attack, the following event is written:
Event ID: 11
Level: Warning
An Indicator of Attack has been reduced (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Полная атака снята

When a full attack is cleared, the following event is written:
Event ID: 10
Level: Information
An Indicator of Attack has been cleared (Category: <<Attack Type>>).

В начало

Проверка ME

ME Verification обрабатывает процесс проверки ME. Если проверка ME завершится успешно и завершится, в журнал событий приложений Dell будет записана запись информационного уровня с описанием результата. Если по какой-либо причине не удается завершить проверку ME, в журнал системных событий Windows и журнал событий приложений Dell записывается запись уровня ошибки (или предупреждения) с описанием сбоя:

• Запись, записанная в журнал системных событий Windows, имеет источник с именем Dell Trusted Device | Проверка Intel ME.
• Запись, записанная в журнал событий приложений Dell, имеет источник с именем Trusted Device | Проверка Intel ME.

События

Подключаемый модуль ME Verification генерирует следующие события:

Текущие определения идентификаторов событий привязаны к уровню ведения журнала:

• 18 указывает на то, что это тип ввода информации.
• 19 указывает, что это тип записи Warning.
• 20 указывает на то, что это тип записи Error.

Проверка успешно пройдена

ME Verification succeeded and have a Pass evaluation
Event ID: 18
Level: Information
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result: PASSED

Сбой проверки

ME Verification failed and have a Fail evaluation
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result: FAILED

Ошибка драйвера

ME Verification failed and have a driver error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. A driver error has occurred

Ошибка сетевого подключения

ME Verification failed and have a network connection error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. A network connection error occurred

Платформа не поддерживается

ME Verification failed and have a platform unsupported error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. Platform not currently supported

Внутренняя ошибка сервера

Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. An internal error occurred within the server

Обнаружение несанкционированного доступа:

ME Verification failed and have a tampering detected error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. Tampering has been detected

Unknown Error

ME Verification failed and have an unknown error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. An unknown error has occurred

Недопустимый параметр

ME Verification issues a warning about invalid parameter
Event ID: 19
Level: Warning
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Warning. The parameter is invalid

В начало

Атрибуты BIOS, используемые в модуле ввода-вывода

IoAs	Снимок экрана BIOS
Безопасная загрузка
ПопыткаLegacyЗагрузка
Список загрузки
UEFIBootPathSecurity
AutoOSThresholdRecovery
РазрешитьПонижение версии Bios
Обновление капсулыМикропрограммы
Автоматическое восстановление BIOS
TPМактивация
TPM
Программный модуль TPMClear
Переопределение TPMPpiClearOverride
Автовкл.
Функция WakeOnLan
Удаленное стирание внутренних накопителей
USBWake
WakeOnDock
Активация эмоций TPMRemote	Уточняется
АдминистраторPwMinLen
ПвдМинЛен	Уточняется
StrongPassword
AdminSetupLockout
BIOSАdminPwd	Уточняется
ClearBIOSLog	Уточняется
Журнал ClearPowerLog	Уточняется
ClearThermalLog	Уточняется
Очистка корпуса Предупреждение о вскрытии
ClearDellRMTLog	Уточняется
Отчеты о вскрытии корпуса
Вскрытие корпуса	-
Микрофон

В начало

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

• Обзор оценки безопасности доверенного устройства Dell в консоли TechDirect