Quais são os eventos do Windows associados aos resultados da pontuação de segurança

Produtos afetados:

• Dell Trusted Device

Plataformas afetadas:

• OptiPlex
• Latitude
• Precision Workstations
• XPS

Sumário:

• Eventos do Windows associados aos resultados da pontuação de segurança
  • Pontuação de segurança
  • BIOS Verification
  • Indicadores de ataque
  • Verificação ME
• Atributos do BIOS usados em IoAs

Eventos do Windows associados aos resultados da pontuação de segurança

Detalhes de eventos do Windows

Na seção abaixo, alguns exemplos relevantes de log de eventos do Windows são mostrados:

• Pontuação de segurança
• BIOS Verification
• Indicadores de ataque
• Verificação ME

Voltar ao início

Pontuação de segurança

O plug-in Security Score gera um evento sempre que a Security Score Assessment é atualizada. Os eventos de avaliação da pontuação de segurança gravados no registro de eventos do aplicativo Dell têm uma origem chamada Trusted Device | Avaliação de segurança.

Eventos

Veja a seguir exemplos de eventos gerados para Security Score Assessments.

Resultado: APROVADO (exemplo)

Event ID: 13
Level: Informational
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 2:56:08 PM.
Result: PASSED

Score: 100

Risk Areas Scanned:
(Passed: 7, Warning: 0, Fail: 0)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: PASS
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: PASS
- TPM enabled: PASS

Resultado: APROVADO, com advertências (exemplo)

Event ID: 14
Level: Warning
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 2:56:08 PM.
Result: PASSED, with warnings

Score: 100

Risk Areas Scanned:
(Passed: 6, Warning: 1, Fail: 0)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: WARNING
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: PASS
- TPM enabled: PASS

Resultado: Falha (exemplo).

Event ID: 15
Level: Error
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 5:05:22 PM.
Result: FAILED
 
Score: 71
 
Risk Areas Scanned:
(Passed: 4, Warning: 1, Fail: 2)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: WARNING
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: FAIL
- TPM enabled: FAIL

Voltar ao início

BIOS Verification

Se a verificação do BIOS for concluída e bem-sucedida, uma entrada de nível de informação será gravada no registro de eventos dos aplicativos Dell descrevendo o resultado. Se o processamento do BIOS Verification não puder ser concluído por qualquer motivo, uma entrada de nível de erro (ou nível de advertência) será gravada no registro de eventos do sistema Windows descrevendo a falha. Uma entrada gravada no log de eventos do sistema Windows tem uma origem chamada Dell Trusted Device | Verificação do BIOS da Intel.

Eventos

O ID do evento 4 indica os seguintes tipos de erro:

Falha na verificação

BIOS Verification failed and have a Fail evaluation.
Event ID: 4
Level: Error

BIOS Verification : 1 (Failed Result)
[Displays the complete Json Payload.]

Detectar adulteração:

BIOS Verification failed and have a tampering detected error
Event ID: 4
Level: Error
BIOS Verification : 2 (Tampered Result)
[Displays the complete Json Payload.]

O ID de evento 2 indica os seguintes tipos de erro:

Erro de driver

BIOS Verification failed and have a driver error.
Event ID: 2
Level: Error
BIOS Verification : 8 (Driver Error).
See log file for more information

Erro de conexão de rede

BIOS Verification failed and have a network connection error
Event ID: 2
Level: Error
BIOS Verification : 13 (Network Connectivity Error)
See log file for more information

Plataforma incompatível

BIOS Verification failed and have a platform unsupported error
Event ID: 2
Level: Error
BIOS Verification : 11 (Platform Not Currently Supported)
See log file for more information

Unknown Error

BIOS Verification failed and have an unknown error
Event ID: 2
Level: Error

BIOS Verification : 3 (Unknown Error).
See log file for more information

Erro interno do servidor

BIOS Verification failed and have an internal error
Event ID: 2
Level: Error
BIOS Verification : 6 (Internal Error).
See log file for more information

Erro de dados inválidos do BIOS

BIOS Verification failed and have an invalid bios data error
Event ID: 2
Level: Error
BIOS Verification : 9 (Invalid BIOS Data Error).
See log file for more information

Voltar ao início

Indicadores de ataque

Os eventos gerados pelo plug-in Indicadores de ataque (IoA) destinam-se a relatar alterações de estado nas cadeias de ameaças de IoA.

• Os eventos de IoA gravados no log de eventos do sistema Windows têm uma origem chamada Dell Trusted Device | Eventos do BIOS e IoA.
• Os eventos de IoA gravados no registro de eventos do aplicativo Dell têm uma origem chamada Trusted Device | Eventos do BIOS e IoA.

Eventos

O plug-in IoA gera os eventos a seguir. Eles podem ter conteúdo ligeiramente variável, como <<Tipo>> de ataque e <<Alterações>> de atributo relevantes, dependendo da cadeia de ameaças envolvida. O conteúdo variável é substituído pelo conteúdo real quando o evento é gravado.

As definições atuais de ID de evento estão vinculadas ao estado atual da ameaça:

• 10 indica que os critérios de cadeia não foram atendidos.
• 11 indica que os critérios de cadeia atenderam ao nível de um ataque parcial.
• 12 indica que os critérios em cadeia foram plenamente atendidos.

Ataque parcial detectado

When a partial attack is detected, the following event is written:
Event ID: 11
Level: Warning
A partial Indicator of Attack was detected (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

O ataque parcial escalou para um ataque completo:

When a partial attack escalates to a full attack, the following event is written:
Event ID: 12
Level: Error
A partial Indicator of Attack has escalated (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Ataque parcial removido

When a partial attack is cleared, the following event is written:
Event ID: 10
Level: Information
A partial Indicator of Attack has been cleared (Category: <<Attack Type>>).

Ataque completo

When a threat chain goes from clear to detecting a full attack, the following event is written:
Event ID: 12
Level: Error
An Indicator of Attack was detected (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Ataque total reduzido a ataque parcial

When a full attack is reduced to a partial attack, the following event is written:
Event ID: 11
Level: Warning
An Indicator of Attack has been reduced (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Ataque completo removido

When a full attack is cleared, the following event is written:
Event ID: 10
Level: Information
An Indicator of Attack has been cleared (Category: <<Attack Type>>).

Voltar ao início

Verificação ME

O ME Verification lida com o processo de verificação de ME. Se a verificação ME for concluída e bem-sucedida, uma entrada de nível de informação será gravada no registro de eventos de aplicativos Dell descrevendo o resultado. Se o processamento do ME Verification não puder ser concluído por qualquer motivo, uma entrada de nível de erro (ou nível de advertência) será gravada no registro de eventos do sistema Windows e no registro de eventos dos aplicativos Dell descrevendo a falha:

• Uma entrada gravada no log de eventos do sistema Windows tem uma origem chamada Dell Trusted Device | Verificação do Intel ME.
• Uma entrada gravada no registro de eventos do aplicativo Dell tem uma origem chamada Trusted Device | Verificação do Intel ME.

Eventos

O plug-in de verificação do ME gera os seguintes eventos:

As definições atuais de ID do evento estão vinculadas ao nível de log:

• 18 indica que é um tipo de entrada de informações.
• 19 indica que é um tipo de entrada de advertência.
• 20 indica que é um tipo de entrada de erro.

Verificação bem-sucedida

ME Verification succeeded and have a Pass evaluation
Event ID: 18
Level: Information
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result: PASSED

Falha na verificação

ME Verification failed and have a Fail evaluation
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result: FAILED

Erro de driver

ME Verification failed and have a driver error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. A driver error has occurred

Erro de conexão de rede

ME Verification failed and have a network connection error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. A network connection error occurred

Plataforma incompatível

ME Verification failed and have a platform unsupported error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. Platform not currently supported

Erro interno do servidor

Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. An internal error occurred within the server

Detectar adulteração:

ME Verification failed and have a tampering detected error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. Tampering has been detected

Unknown Error

ME Verification failed and have an unknown error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. An unknown error has occurred

Parâmetro inválido

ME Verification issues a warning about invalid parameter
Event ID: 19
Level: Warning
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Warning. The parameter is invalid

Voltar ao início

Atributos do BIOS usados em IoAs

IoAs	Captura de tela do BIOS
Inicialização segura
AttemptLegacyBoot
Lista de inicialização
UEFIBootPathSecurity
AutoOSThresholdRecovery
AllowBiosDowngrade
CapsuleFirmwareUpdate
BiosAutoRecuperação
TPMActivação
TPM
TPMClear
TPMPpiClearOverride
Ativação automática
WakeOnLan
RemoteWipeInternalDrives
USBWake
WakeOnDock
TPMRemoteActivation	não definido
AdminPwMinLen
PwdMinLen	não definido
StrongPassword
AdminSetupLockout
BIOSAdminPwd	não definido
ClearBIOSLog	não definido
ClearPowerLog	não definido
ClearThermalLog	não definido
ClearChassisIntrusionWarning
ClearDellRMTLog	não definido
ChassisIntrusionReporting
Intrusão no chassi	N/D
Microfone

Voltar ao início

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

• Visão geral da pontuação de segurança do Dell Trusted Device no TechDirect Console