VMware Carbon Black Cloud Endpoint Увеличение количества оповещений о внедрении кода с помощью CreateRemoteThread или NtQueueApcThread

Summary: В этой статье обсуждается проблема VMware Carbon Black Cloud Endpoint увеличивает количество оповещений о внедрении кода с помощью CreateRemoteThread или NTQueEacpcThread.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Затронутые продукты:

  • VMware Carbon Black Cloud Endpoint

Затронутые версии:

  • v3.7.0.1253

Cause

После модернизации или установки датчика версии 3.7.0.1253 можно заметить увеличение количества отображаемых оповещений о внедрении кода с помощью функций CreateRemoteThread или NtQueueApcThread.

Пример оповещения

Примечание. В этом примере VMware Carbon Black Cloud сообщает, что svchost.exe внедрили код в системный процесс csrss.exe.

Resolution

Служба поддержки изучает изменения, которые вызвали увеличение количества отображаемых оповещений, чтобы найти окончательное решение.

Вы можете спокойно игнорировать оповещения о коде внедрения , которые наблюдаются для функций CreateRemoteThread или NtQueueApcThread.

Чтобы проверить и отклонить эти оповещения, выполните следующие действия.

  1. В браузере перейдите по ссылке [REGION].conferdeploy.net.
    Примечание. [REGION] = регион пользователя
  2. Войдите в VMware Carbon Black Cloud.
    Sign In
  3. На левой панели меню нажмите Alerts.
    Оповещения
  4. Нажмите на стрелку, чтобы развернуть оповещение.
    Expand The Alert
  5. Нажмите на значок Investigate.
    Investigate
  6. Убедитесь, что вызывается функция CreateRemoteThread или NtQueueApcThread.
    Verify function
    Примечание. Если оповещения о коде внедрения наблюдаются для любой другой функции, кроме CreateRemoteThread или NtQueueApcThread, обратитесь в службу поддержки для дальнейшего изучения. См. статью Как получить поддержку для VMware Carbon Black Cloud Endpoint.
  7. Разверните соответствующее событие и нажмите Dismiss Alert.
    Dismiss Alert
  8. Нажмите Dismiss
    Dismiss
    Примечание. Вы можете отклонить все будущие оповещения, установив флажок в поле Если это оповещение возникнет в будущем, автоматически отклонить его на всех устройствах.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Affected Products

VMware Carbon Black
Article Properties
Article Number: 000191040
Article Type: Solution
Last Modified: 08 Aug 2024
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.