VMware Carbon Black Cloud Endpoint Koodin lisäämisen hälytykset CreateRemoteThread- tai NtQueueApcThread-toiminnolla
Summary: Tässä artikkelissa käsitellään VMware Carbon Black Cloud Endpointin ongelmaa, joka lisää koodin lisäyshälytyksiä CreateRemoteThreadin tai NTQueueApcThreadin avulla.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Tuotteet, joita asia koskee:
- VMware Carbon Black Cloud Endpoint
Versiot, joita asia koskee:
- 3.7.0.1253
Cause
Kun on päivitetty tai asennettu anturiversio 3.7.0.1253, koodin lisäykseen toiminnolla CreateRemoteThread tai NtQueueApcThread liittyviä hälytyksiä saattaa ilmetä aiempaa useammin.
Huomautus: Tässä esimerkissä VMware Carbon Black Cloud ilmoittaa, että svchost.exe on lisännyt koodia järjestelmäprosessiin csrss.exe.
Resolution
Tuki pyrkii löytämään pysyvän korjauksen tutkimalla muutoksia, joka aiheutti havaittujen hälytysten määrän kasvun.
Voit turvallisesti ohittaa injektoidun koodin hälytykset, joita tarkkaillaan CreateRemoteThread tai NtQueueApcThread.
Voit tarkistaa ja ohittaa nämä hälytykset seuraavasti:
- Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
Huomautus: [REGION] = vuokralaisen alue
- Pohjois- ja Etelä-Amerikka = https://defense-prod05.conferdeploy.net/
- Eurooppa = https://defense-eu.conferdeploy.net/
- Aasia ja Tyynenmeren alue = https://defense-prodnrt.conferdeploy.net/
- Australia ja Uusi-Seelanti = https://defense-prodsyd.conferdeploy.net
- Pohjois- ja Etelä-Amerikka = https://defense-prod05.conferdeploy.net/
- Kirjaudu VMware Carbon Black Cloudiin.
- Valitse vasemmanpuoleisesta valikkoruudusta Alerts.
- Laajenna hälytys napsauttamalla nuolta.
- Valitse Investigate-kuvake.
- Varmista, että kutsuttava funktio on joko CreateRemoteThread tai NtQueueApcThread.
Huomautus: Jos injektiokoodihälytyksiä havaitaan muista toiminnoista kuin CreateRemoteThread tai NtQueueApcThread, ota yhteyttä tukeen tutkiaksesi tarkemmin. Katso artikkelia VMware Carbon Black Cloud Endpoint -tuen hankkiminen. - Laajenna vastaava tapahtuma ja valitse Dismiss Alert.
- Valitse Dismiss
Huomautus: Voit halutessasi ohittaa kaikki tulevat esiintymät valitsemalla Jos hälytys ilmenee tulevaisuudessa, hylkää se automaattisesti kaikissa laitteissa.
Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.
Affected Products
VMware Carbon BlackArticle Properties
Article Number: 000191040
Article Type: Solution
Last Modified: 08 Aug 2024
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.