Wyświetlanie zdarzeń Dell Trusted Device w Podglądzie zdarzeń systemu Windows
Summary: Dowiedz się, jak korzystać z Podglądu zdarzeń w systemie Windows do monitorowania stanu Dell Trusted Device pod kątem zdarzeń BIOS i wskaźników ataku, weryfikacji systemu BIOS i nie tylko. ...
Instructions
Dell Trusted Device jest częścią portfolio produktów Dell SafeBIOS. Dell Trusted Device to aplikacja, która zapewnia stan zabezpieczeń lokalnego punktu końcowego i zalecane działania w celu monitorowania zabezpieczeń. Narzędzie Dell Trusted Device ma następujące funkcje:
- Weryfikacja systemu BIOS
- Zdarzenia systemu BIOS i wskaźniki ataku
- Przechwytywanie obrazu systemu BIOS
- Weryfikacja Intel ME
- Bezpieczna weryfikacja komponentów (w chmurze)
- Typowe luki i zagrożenia (CVE)
- Ocena ryzyka bezpieczeństwa
- Integracja repozytorium zdarzeń Dell oraz funkcji zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM)
Produkt, którego dotyczy problem:
- Dell Trusted Device
Dotyczy wersji:
- Dell Trusted Device w wersji 6.1 lub nowszej
Dotyczy platform:
- Windows 10
- Windows 11
Dotyczy sprzętu:
- Latitude
- OptiPlex
- Precision
- XPS
Aby wyświetlić zdarzenia Dell Trusted Device w Podglądzie zdarzeń systemu Windows, otwórz Podgląd zdarzeń systemu Windows. Z tego miejsca można przeglądać BIOS Events & Indicators of Attack (IoA),BIOS Verification, Intel Management Engine Verification (Intel ME),Secured Component Verification (SCV) oraz Common Vulnerabilities and Exposures (CVE).
Otwórz Podgląd zdarzeń systemu Windows
- W konsoli lokalnej Dell Trusted Device w obszarze Łącza systemowe Windows kliknij opcję Podgląd zdarzeń.
- W Podglądzie zdarzeń rozwiń dzienniki aplikacji i usług, a następnie wybierz pozycję Zaufane urządzenie Dell.
- Kolumna źródłowa może służyć do filtrowania komunikatów o zdarzeniach według typów kategorii. Poniższe sekcje tego artykułu pomagają zapewnić dodatkowy kontekst znaczenia tych klasyfikacji.
Zdarzenia BIOS i wskaźniki ataku (IoA)
Narzędzie BIOS Events & Indicators of Attack umożliwia administratorom analizowanie zdarzeń w Podglądzie zdarzeń systemu Windows, które mogą wskazywać na ataki cyberprzestępców atakujących BIOS na punktach końcowych przedsiębiorstwa. Złośliwe podmioty zmieniają atrybuty systemu BIOS, aby uzyskać lokalny lub zdalny dostęp do komputerów firmy. Te wektory ataków mogą być monitorowane, a następnie łagodzone poprzez zdolność funkcji BIOS Events & Indicators of Attack do monitorowania atrybutów BIOS. Agent Dell Trusted Device zbiera atrybuty systemu BIOS po instalacji, domyślnie co 12 godzin. Dane zdarzeń BIOS i wskaźników ataków są przechowywane przez 200 dni.
Firma Dell Technologies zaleca korzystanie z produktu SIEM do pobierania dzienników i zdarzeń. Administratorzy powinni przekazywać wyniki swojemu zespołowi centrum operacji zabezpieczeń (SOC) w celu określenia odpowiednich strategii korygowania.
Weryfikacja systemu BIOS
Weryfikacja systemu BIOS porównuje bieżącą wersję systemu BIOS urządzenia z najnowszą dostępną wersją. Jeśli obecna jest nieaktualna wersja, weryfikacja systemu BIOS zapisuje następujący kod w Podglądzie zdarzeń systemu Windows:
| Czynność | Poziom | Identyfikator zdarzenia | Kategoria zadania |
|---|---|---|---|
| Weryfikacja zakończona pomyślnie | Informacyjne | 9 | 1 |
| Weryfikacja nie powiodła się | Błąd | 2 | 1 |
| Przechwycony obraz | Warning | 1 | 2 |
| Zduplikowany obraz przechwycony | Warning | 2 | 2 |
| System BIOS jest nieaktualny | Warning | 40 | 8 |
| Wersja systemu BIOS nie jest obecnie obsługiwana | Błąd | 2 | 1 |
Weryfikacja systemu BIOS jest domyślnie uruchamiana co 24 godziny.
Intel Management Engine Verification (Intel ME)
Intel Management Engine (Intel ME) to niezależny mikrokontroler wbudowany w chipsety procesorów Intel. Technologia Intel ME zapewnia interfejs między systemem operacyjnym, sprzętem i systemem BIOS.
Agent Dell Trusted Device skanuje i sprawdza, czy oprogramowanie wewnętrzne Intel ME jest obecne i nienaruszone po wstępnej instalacji i uruchomieniu co 24 godziny.
Weryfikacja zabezpieczonych komponentów (SCV)
Usługa Secured Component Verification (On Cloud) to usługa zapewniania bezpieczeństwa łańcucha dostaw, umożliwiająca weryfikację integralności podzespołów wewnątrz komputera firmy Dell. Narzędzie Dell Trusted Device porównuje dane elementów komputera z certyfikatem zewnętrznym zawierającym unikatowe identyfikatory komponentów systemu wygenerowane i podpisane przez firmę Dell podczas procesu montażu fabrycznego. Usługa Secured Component Verification (On Cloud) weryfikuje następujące elementy:
- Procesor (CPU)
- Moduł TPM (Trusted Platform Module)
- Stała pamięć masowa
- Zintegrowane urządzenia sieciowe
- Pamięć (RAM)
- płycie głównej
- Informacje o systemie
Narzędzie Dell Trusted Device weryfikuje elementy po instalacji i przy każdym uruchomieniu. Dla każdego elementu narzędzie Dell Trusted Device zapisuje w Podglądzie zdarzeń systemu Windows komunikat potwierdzający przebieg lub niepowodzenie wraz z sygnaturą czasową.
| Czynność | Poziom | Identyfikator zdarzenia | Kategoria zadania |
|---|---|---|---|
| Weryfikacja powiodła się | Informacyjne | 41 | 9 |
| Weryfikacja nie powiodła się | Informacyjne | 41 | 9 |
| Błąd wewnętrzny serwera Błąd sieci | Błąd | 43 | 9 |
| Nieobsługiwana platforma | Warning | 42 | 9 |
Typowe luki i zagrożenia (CVE)
Narzędzie Dell Trusted Device służy do identyfikacji i wykrywania luk CVE dotyczących systemu BIOS. Po uruchomieniu narzędzie Zaufane urządzenie Dell ocenia aktualną wersję systemu BIOS i porównuje ją z najnowszą dostępną wersją. Następnie analizuje lukę między tymi wersjami i identyfikuje luki w zabezpieczeniach Dell (DSA), które zostały rozwiązane w nowszej wersji systemu BIOS. DSA reprezentuje zbiór co najmniej jednego CVE.
| Czynność | Poziom | Identyfikator zdarzenia | Kategoria zadania |
|---|---|---|---|
| Powodzenie | Informacyjne | 46 | 10 |
| Error: Wystąpił błąd połączenia sieciowego | Warning | 47 | 10 |
| Error: Wykryto manipulację | Warning | 47 | 10 |
| Error: Wystąpił nieznany błąd | Warning | 47 | 10 |
| Error: Platforma nie jest obecnie obsługiwana | Warning | 47 | 10 |