VMware Carbon Black Cloud Endpoint збільшує кількість сповіщень про впровадження коду за допомогою CreateRemoteThread або NtQueueApcThread
Summary: У цій статті обговорюється проблема в тому, що кінцева точка VMware Carbon Black Cloud збільшує сповіщення про впровадження коду за допомогою CreateRemoteThread або NTQueueApcThread.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Продукти, на які вплинули:
- Кінцева точка VMware Carbon Black Cloud
Впливає на версії:
- v3.7.0.1253
Cause
Після оновлення або встановлення датчика версії 3.7.0.1253 ви можете побачити збільшення спостережуваних попереджень про впровадження коду шляхом виклику функцій CreateRemoteThread або NtQueueApcThread.
Примітка: У цьому прикладі VMware Carbon Black Cloud повідомляє, що svchost.exe впровадила код у системний процес csrss.exe.
Resolution
Служба підтримки досліджує зміни, які спричинили збільшення кількості спостережень про постійне виправлення.
Ви можете безпечно відхилити сповіщення про код ін'єкції , які спостерігаються для функцій CreateRemoteThread або NtQueueApcThread.
Перевірка та відхилення цих сповіщень
- У веб-браузері перейдіть на сторінку [REGION].conferdeploy.net.
Примітка: [РЕГІОН] = Регіон орендаря
- Америка = https://defense-prod05.conferdeploy.net
- Європа = https://defense-eu.conferdeploy.net/
- Азіатсько-Тихоокеанський регіон = https://defense-prodnrt.conferdeploy.net/
- Австралія та Нова Зеландія = https://defense-prodsyd.conferdeploy.net
- Америка = https://defense-prod05.conferdeploy.net
- Увійдіть у хмару VMware Carbon Black Cloud.
- В області меню ліворуч натисніть Оповіщення.
- Натисніть на морквину, щоб розгорнути оповіщення.
- Натисніть значок «Розслідування ».
- Переконайтеся, що функція, яку ви викликаєте, є CreateRemoteThread або NtQueueApcThread.
Примітка: Якщо спостерігаються сповіщення про код ін'єкції для будь-якої іншої функції, крім CreateRemoteThread або NtQueueApcThread, зверніться до служби підтримки для подальшого розслідування. Довідка: Як отримати підтримку кінцевої точки VMware Carbon Black Cloud. - Розгорніть відповідну подію та натисніть «Відхилити сповіщення».
- Натисніть Відхилити
Примітка: Ви можете закрити всі майбутні надходження, поставивши галочку в полі Якщо це сповіщення з'явиться в майбутньому, автоматично закрити його з усіх пристроїв.
Щоб зв'язатися зі службою підтримки, зверніться за номерами телефонів міжнародної підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову статистику та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.
Affected Products
VMware Carbon BlackArticle Properties
Article Number: 000191040
Article Type: Solution
Last Modified: 08 Aug 2024
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.