VMware Carbon Black Cloud EndpointでCreateRemoteThreadまたはNtQueueApcThreadを使用したコード インジェクション アラートが増加する

Summary: この記事では、VMware Carbon Black Cloud EndpointでCreateRemoteThreadまたはNTQueueApcThreadを使用してコード インジェクション アラートが増加する問題について説明します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

対象製品:

  • VMware Carbon Black Cloud Endpoint

影響を受けるバージョン:

  • v3.7.0.1253

Cause

センサー バージョン3.7.0.1253をアップグレードまたはインストールした後、CreateRemoteThreadまたはNtQueueApcThread関数を呼び出すと、コード インジェクション アラートが増加することがあります。

アラートの例:

注:この例では、VMware Carbon Black Cloudは、svchost.exeがシステム プロセス csrss.exeにコードを挿入したことを報告しています。

Resolution

サポート チームでは、恒久対策について、発生したアラートの増加の原因となった変更を調査中です。

次の機能で観察されている 注入コード アラートを安全に無視できます。 CreateRemoteThread または NtQueueApcThreadです。

これらのアラートを確認して無視するには、次の手順を実行します。

  1. Webブラウザーで、[REGION].conferdeploy.net.に移動します。
    注:[REGION] = 以下のテナントの地域
  2. VMware Carbon Black Cloudにサインインします。
    サインイン
  3. 左のメニュー ペインで、[Alerts]をクリックします。
    警告
  4. キャレットをクリックして、アラートを展開します。
    アラートの展開
  5. 調査アイコンをクリックします。
    Investigate
  6. 呼び出されている関数が CreateRemoteThread または NtQueueApcThread であることを確認します。
    検証機能
    注:CreateRemoteThread または NtQueueApcThread 以外の関数に対して挿入コード アラートが発生した場合は、サポートに連絡してさらに調査してください。詳細については、「VMware Carbon Black Cloud Endpointのサポートを受ける方法」を参照してください。
  7. 該当するイベントを展開し、[Dismiss Alert]をクリックします。
    アラートの解除
  8. Dismiss]をクリックします。
    [Dismiss]
    注:今後発生するすべてのアラートを無視する場合は 、このアラートが将来発生する場合は、すべてのデバイスから自動的に無視するの横にあるフィールドをオンにして、無視することを選択できます。

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000191040
Article Type: Solution
Last Modified: 08 Aug 2024
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.