VMware Carbon Black Cloud Endpoint Augmentation des alertes d’injection de code à l’aide de CreateRemoteThread ou NtQueueApcThread

Summary: Cet article traite d’un problème dans VMware Carbon Black Cloud Endpoint qui augmente les alertes d’injection de code à l’aide de CreateRemoteThread ou NTQueueApcThread.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Produits concernés :

  • VMware Carbon Black Cloud Endpoint

Versions concernées :

  • v3.7.0.1253

Cause

Après la mise à niveau ou l’installation de la version 3.7.0.1253 du capteur, vous pouvez constater une augmentation des alertes observées pour l’injection de code par l’appel des fonctions CreateRemoteThread ou NtQueueApcThread.

Exemple d’alerte

Remarque : Dans cet exemple, VMware Carbon Black Cloud signale qu’svchost.exe a injecté du code dans un csrss.exe de processus système.

Resolution

Le support étudie les modifications ayant provoqué l’augmentation des alertes observées pour un correctif permanent.

Vous pouvez ignorer en toute sécurité les alertes de code injecté observées pour les fonctions de CreateRemoteThread ou NtQueueApcThread.

Pour vérifier et ignorer ces alertes

  1. Dans un navigateur Web, accédez à [REGION].conferdeploy.net.
    Remarque : [REGION] = Zone géographique du client
  2. Connectez-vous à VMware Carbon Black Cloud.
    Se connecter
  3. Dans le volet du menu de gauche, cliquez sur Alerts (Alertes).
    Alertes
  4. Cliquez sur la coche pour développer l’alerte.
    Développez l’alerte
  5. Cliquez sur ll’icône Investigate (Enquêter).
    Enquêter
  6. Vérifiez que la fonction appelée est CreateRemoteThread ou NtQueueApcThread.
    Vérifiez la fonction
    Remarque : Si des alertes d’injection de code sont observées pour une autre fonction que CreateRemoteThread ou NtQueueApcThread, contactez le support pour obtenir plus d’informations. Référez vous à l’article Obtenir du support pour VMware Carbon Black Cloud Endpoint.
  7. Développez l’événement correspondant et cliquez sur Dismiss Alert (Ignorer l’alerte).
    Ignorer l’alerte
  8. Cliquez sur Dismiss (Ignorer)
    Ignorer
    Remarque : Vous pouvez choisir d’ignorer toutes les occurrences futures en cochant le champ en regard de Si cette alerte se produit à l’avenir, l’ignorer automatiquement de tous les appareils.

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000191040
Article Type: Solution
Last Modified: 08 Aug 2024
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.