Welche Windows-Ereignisse sind mit den Ergebnissen der Sicherheitsbewertung verknüpft?

Betroffene Produkte:

• Dell Trusted Device

Betroffene Plattformen:

• OptiPlex
• Latitude
• Precision-Workstations
• XPS

Inhaltsverzeichnis:

• Windows-Ereignisse im Zusammenhang mit den Ergebnissen der Sicherheitsbewertung
  • Sicherheitsbewertung
  • BIOS-Verifizierung
  • Indikatoren für einen Angriff
  • ME-Verifizierung
• In IoAs verwendete BIOS-Attribute

Windows-Ereignisse im Zusammenhang mit den Ergebnissen der Sicherheitsbewertung

Details zu Windows-Ereignissen

Im folgenden Abschnitt werden einige relevante Beispiele für Windows-Ereignisprotokolle gezeigt:

• Sicherheitsbewertung
• BIOS-Verifizierung
• Indikatoren für einen Angriff
• ME-Verifizierung

Zurück zum Anfang

Sicherheitsbewertung

Das Sicherheitsbewertungs-Plug-in erzeugt jedes Mal ein Ereignis, wenn die Sicherheitsbewertungsbewertung aktualisiert wird. Security Score Assessment-Ereignisse, die in das Dell Anwendungsereignisprotokoll geschrieben werden, haben eine Quelle namens Trusted Device | Sicherheitsbewertung.

Ereignisse

Im Folgenden finden Sie Beispiele für Ereignisse, die für Security Score Assessments erzeugt werden.

Ergebnis: BESTANDEN (Beispiel)

Event ID: 13
Level: Informational
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 2:56:08 PM.
Result: PASSED

Score: 100

Risk Areas Scanned:
(Passed: 7, Warning: 0, Fail: 0)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: PASS
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: PASS
- TPM enabled: PASS

Ergebnis: BESTANDEN, mit Warnungen (Beispiel)

Event ID: 14
Level: Warning
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 2:56:08 PM.
Result: PASSED, with warnings

Score: 100

Risk Areas Scanned:
(Passed: 6, Warning: 1, Fail: 0)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: WARNING
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: PASS
- TPM enabled: PASS

Ergebnis: Fehler (Beispiel).

Event ID: 15
Level: Error
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 5:05:22 PM.
Result: FAILED
 
Score: 71
 
Risk Areas Scanned:
(Passed: 4, Warning: 1, Fail: 2)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: WARNING
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: FAIL
- TPM enabled: FAIL

Zurück zum Anfang

BIOS-Verifizierung

Wenn die BIOS-Überprüfung abgeschlossen und erfolgreich ist, wird ein Eintrag auf Infoebene in das Ereignisprotokoll von Dell Anwendungen geschrieben, in dem das Ergebnis beschrieben wird. Wenn die Verarbeitung der BIOS-Überprüfung aus irgendeinem Grund nicht abgeschlossen werden kann, wird ein Eintrag auf Fehlerstufe (oder Warnungsstufe) in das Windows-Systemereignisprotokoll geschrieben, in dem der Fehler beschrieben wird. Ein Eintrag, der in das Windows-Systemereignisprotokoll geschrieben wurde, verfügt über eine Quelle mit dem Namen Dell Trusted-Device | Intel BIOS Verification.

Ereignisse

Ereignis-ID 4 weist auf die folgenden Fehlertypen hin:

Verifizierung fehlgeschlagen

BIOS Verification failed and have a Fail evaluation.
Event ID: 4
Level: Error

BIOS Verification : 1 (Failed Result)
[Displays the complete Json Payload.]

Manipulation erkennen:

BIOS Verification failed and have a tampering detected error
Event ID: 4
Level: Error
BIOS Verification : 2 (Tampered Result)
[Displays the complete Json Payload.]

Die Ereignis-ID 2 weist auf die folgenden Fehlertypen hin:

Treiberfehler

BIOS Verification failed and have a driver error.
Event ID: 2
Level: Error
BIOS Verification : 8 (Driver Error).
See log file for more information

Netzwerkverbindungsfehler

BIOS Verification failed and have a network connection error
Event ID: 2
Level: Error
BIOS Verification : 13 (Network Connectivity Error)
See log file for more information

Nicht unterstützte Plattform

BIOS Verification failed and have a platform unsupported error
Event ID: 2
Level: Error
BIOS Verification : 11 (Platform Not Currently Supported)
See log file for more information

Unknown Error

BIOS Verification failed and have an unknown error
Event ID: 2
Level: Error

BIOS Verification : 3 (Unknown Error).
See log file for more information

Interner Serverfehler

BIOS Verification failed and have an internal error
Event ID: 2
Level: Error
BIOS Verification : 6 (Internal Error).
See log file for more information

Fehler wegen ungültiger BIOS-Daten

BIOS Verification failed and have an invalid bios data error
Event ID: 2
Level: Error
BIOS Verification : 9 (Invalid BIOS Data Error).
See log file for more information

Zurück zum Anfang

Indikatoren für einen Angriff

Ereignisse, die vom Indicators of Attack (IoA) Plugin generiert werden, sollen Statusänderungen in den IoA-Bedrohungsketten melden.

• In das Windows-Systemereignisprotokoll geschriebene IoA-Ereignisse haben eine Quelle mit dem Namen Dell Trusted-Device | BIOS-Ereignisse und IoA.
• IoA-Ereignisse, die in das Dell Anwendungsereignisprotokoll geschrieben werden, haben eine Quelle namens Trusted Device | BIOS-Ereignisse und IoA.

Ereignisse

Das IoA-Plug-in erzeugt die folgenden Ereignisse. Diese können je nach Bedrohungskette leicht variierende Inhalte aufweisen, z. B <<. Angriffstyp>> und <<relevante Attributänderungen>>. Der Variableninhalt wird durch den tatsächlichen Inhalt ersetzt, wenn das Ereignis geschrieben wird.

Die Definitionen der aktuellen Ereignis-ID sind an den aktuellen Status der Bedrohung gebunden:

• 10 zeigt an, dass die Kettenkriterien nicht erfüllt wurden.
• 11 zeigt an, dass die Kettenkriterien das Level für einen partiellen Angriff erreicht haben.
• 12 gibt an, dass die Kettenkriterien vollständig erfüllt wurden.

Teilangriff erkannt

When a partial attack is detected, the following event is written:
Event ID: 11
Level: Warning
A partial Indicator of Attack was detected (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Teilangriff eskaliert zu vollständigem Angriff:

When a partial attack escalates to a full attack, the following event is written:
Event ID: 12
Level: Error
A partial Indicator of Attack has escalated (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Teilangriff gelöscht

When a partial attack is cleared, the following event is written:
Event ID: 10
Level: Information
A partial Indicator of Attack has been cleared (Category: <<Attack Type>>).

Vollständiger Angriff

When a threat chain goes from clear to detecting a full attack, the following event is written:
Event ID: 12
Level: Error
An Indicator of Attack was detected (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Vollständiger Angriff auf Teilangriff reduziert

When a full attack is reduced to a partial attack, the following event is written:
Event ID: 11
Level: Warning
An Indicator of Attack has been reduced (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Vollständiger Angriff abgeräumt

When a full attack is cleared, the following event is written:
Event ID: 10
Level: Information
An Indicator of Attack has been cleared (Category: <<Attack Type>>).

Zurück zum Anfang

ME-Verifizierung

ME Verification wickelt den ME-Verifizierungsprozess ab. Wenn ME Verification abgeschlossen und erfolgreich ist, wird ein Eintrag auf Infoebene in das Ereignisprotokoll von Dell Anwendungen geschrieben, in dem das Ergebnis beschrieben wird. Wenn die ME Verification-Verarbeitung aus irgendeinem Grund nicht abgeschlossen werden kann, wird ein Eintrag auf Fehlerstufe (oder Warnstufe) sowohl in das Windows-Systemereignisprotokoll als auch in das Ereignisprotokoll von Dell Anwendungen geschrieben, in dem der Fehler beschrieben wird:

• Ein Eintrag, der in das Windows-Systemereignisprotokoll geschrieben wurde, verfügt über eine Quelle mit dem Namen Dell Trusted-Device | Intel ME Verifizierung.
• Ein Eintrag, der in das Dell Anwendungsereignisprotokoll geschrieben wurde, verfügt über eine Quelle mit dem Namen Trusted Device | Intel ME Verifizierung.

Ereignisse

Das ME Verification Plug-in erzeugt die folgenden Ereignisse:

Aktuelle Ereignis-ID-Definitionen sind an die Protokollierungsebene gebunden:

• 18 gibt an, dass es sich um einen Informationseingabetyp handelt.
• 19 gibt an, dass es sich um den Eingabetyp Warnung handelt.
• 20 gibt an, dass es sich um einen Fehlereingabetyp handelt.

Verifizierung erfolgreich

ME Verification succeeded and have a Pass evaluation
Event ID: 18
Level: Information
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result: PASSED

Verifizierung fehlgeschlagen

ME Verification failed and have a Fail evaluation
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result: FAILED

Treiberfehler

ME Verification failed and have a driver error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. A driver error has occurred

Netzwerkverbindungsfehler

ME Verification failed and have a network connection error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. A network connection error occurred

Nicht unterstützte Plattform

ME Verification failed and have a platform unsupported error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. Platform not currently supported

Interner Serverfehler

Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. An internal error occurred within the server

Manipulation erkennen:

ME Verification failed and have a tampering detected error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. Tampering has been detected

Unknown Error

ME Verification failed and have an unknown error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. An unknown error has occurred

Ungültiger Parameter

ME Verification issues a warning about invalid parameter
Event ID: 19
Level: Warning
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Warning. The parameter is invalid

Zurück zum Anfang

In IoAs verwendete BIOS-Attribute

IoAs	BIOS-Screenshot
Sicherer Start
AttemptLegacyBoot
Bootliste
UEFIBootPath-Sicherheit
AutoOSThresholdRecovery
AllowBiosDowngrade
Capsule-FirmwareUpdate
BiosAutoRecovery
TPMActivation
TPM
TPMClear
TPMPpiClearOverride
AutoOn
WakeOnLan
RemoteWipeInternalDrives
USB-Akku
WakeOnDock
TPMRemote-Aktivierung	Noch festzulegen
AdminPwMinLen
PwdMinLen	Noch festzulegen
StrongPassword
AdminSetupLockout
BIOSAdminPwd	Noch festzulegen
ClearBIOSLog	Noch festzulegen
PowerLog löschen	Noch festzulegen
Thermalprotokoll löschen	Noch festzulegen
Warnung: Gehäuseeingriff löschen
DellRMTLog löschen	Noch festzulegen
Gehäuseeingriff-Reporting
Gehäuseeingriff	N. z.
Mikrofon

Zurück zum Anfang

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

• Übersicht über die Dell Trusted-Device-Sicherheitsbewertung in der TechDirect-Konsole