Dell Trusted Device Events weergeven in Windows Event Viewer
Summary: Informatie over het gebruik van Logboeken in Windows om de statussen van Dell Trusted Device te controleren op BIOS-gebeurtenissen en -indicatoren van aanvallen, BIOS-verificatie en meer. ...
Instructions
Dell Trusted Device maakt deel uit van de Dell SafeBIOS productportfolio. Dell Trusted Device is een applicatie die de beveiligingsstatus van het lokale eindpunt en aanbevolen acties voor beveiligingsbewaking biedt. Dell Trusted Device bevat de volgende functies:
- BIOS-verificatie
- BIOS-gebeurtenissen en aanvalsindicatoren
- BIOS Image Capture
- Intel ME-verificatie
- Verificatie van beveiligde onderdelen (in de cloud)
- Veelvoorkomende kwetsbaarheden en blootstellingen (CVE)
- Beveiligingsrisico beschermingsscore
- Dell Event Repository en SIEM-integratie (Security Information and Event Management)
Betreffend product:
- Dell Trusted Device
Betreffende versies:
- Dell Trusted Device versie 6.1 en hoger
Betreffende platforms:
- Windows 10
- Windows 11
Betreffende hardware:
- Latitude
- OptiPlex
- Precision
- XPS
Als u Dell Trusted Device Events wilt weergeven in de Windows Event Viewer, opent u de Windows Event Viewer. Vervolgens kunt u BIOS Events & Indicators of Attack (IoA),BIOS Verification, Intel Management Engine Verification (Intel ME),Secured Component Verification (SCV) en Common Vulnerabilities and Exposures (CVE) bekijken.
Open Windows Event Viewer
- Klik in de Dell Trusted Device Local Console onder de Windows Systeemkoppelingen op Logboeken.
- Vouw in Event ViewerApplicatie- en servicelogboeken uit en selecteer vervolgens Dell Trusted Device.
- De kolom Bron kan worden gebruikt om gebeurtenisberichten te filteren op categorietypen. De onderstaande secties van dit artikel bieden extra context van wat deze classificaties betekenen.
BIOS Events & Indicators of Attack (IoA)
Met BIOS Events & Indicators of Attack kunnen beheerders gebeurtenissen in de Windows Event Viewer analyseren die kunnen duiden op kwaadwillenden die het BIOS op bedrijfseindpunten aanvallen. Kwaadwillenden veranderen BIOS-kenmerken om lokaal of op afstand toegang te krijgen tot bedrijfscomputers. Deze aanvalsvectoren kunnen worden bewaakt en vervolgens worden verholpen via de BIOS Events & Indicators of Attack-functies die de BIOS-kenmerken kunnen bewaken. De Dell Trusted Device agent verzamelt BIOS-kenmerken na de installatie en standaard elke 12 uur. Gegevens over BIOS-gebeurtenissen en -indicatoren van aanvallen worden 200 dagen bewaard.
Dell Technologies raadt aan om een SIEM-product te gebruiken om logboeken en gebeurtenissen op te halen. Beheerders moeten de resultaten verstrekken aan hun SOC-team (Security Operations Center) om de juiste herstelstrategieën te bepalen.
BIOS-verificatie
BIOS-verificatie vergelijkt de huidige BIOS-versie van het apparaat met de laatst beschikbare versie. Als er een verouderde versie aanwezig is, schrijft BIOS-verificatie het volgende naar de Windows Event Viewer:
| Actie | Niveau | Gebeurtenis-ID | Taakcategorie |
|---|---|---|---|
| Verificatie geslaagd | Informatieve | 9 | 1 |
| Verificatie mislukt | Fout | 2 | 1 |
| Vastgelegde afbeelding | Warning | 1 | 2 |
| Dubbele image vastgelegd | Warning | 2 | 2 |
| BIOS is verouderd | Warning | 40 | 8 |
| BIOS-versie wordt momenteel niet ondersteund | Fout | 2 | 1 |
De BIOS-verificatie wordt standaard elke 24 uur uitgevoerd.
Intel Management Engine Verification (Intel ME)
De Intel Management Engine (Intel ME) is een onafhankelijke microcontroller die is ingebouwd in Intel processorchipsets. Intel ME biedt een interface tussen het besturingssysteem, de hardware en het BIOS.
De Dell Trusted Device agent scant en controleert of de Intel ME-firmware aanwezig en ongewijzigd is na de eerste installatie, het opstarten en elke 24 uur.
Verificatie van beveiligde onderdelen (SCV)
Verificatie van beveiligde componenten (in de cloud) is een aanbod om de leveringsketen te garanderen waarmee u de integriteit van de componenten in uw Dell computer kunt controleren. Dell Trusted Device vergelijkt de gegevens van componenten op uw computer met een off-host-certificaat met de unieke ID's van systeemcomponenten die door Dell zijn gegenereerd en ondertekend tijdens het assemblageproces in de fabriek. Verificatie van beveiligde onderdelen (in de cloud) verifieert de volgende componenten:
- Processor (CPU)
- Trusted Platform Module (TPM)
- Vaste storage
- Onboard Networking
- Geheugen (RAM)
- Moederbord
- Systeeminformatie
Dell Trusted Device voert componentverificatie uit na de installatie en bij elke opstartprocedure. Voor elk onderdeel schrijft Dell Trusted Device een voldoende of mislukt tijdstempel naar Windows-logboeken.
| Actie | Niveau | Gebeurtenis-ID | Taakcategorie |
|---|---|---|---|
| Verificatie geslaagd | Informatieve | 41 | 9 |
| Verificatie mislukt | Informatieve | 41 | 9 |
| Interne fout server Netwerkfout | Fout | 43 | 9 |
| Niet-ondersteund platform | Warning | 42 | 9 |
Veelvoorkomende kwetsbaarheden en blootstellingen (CVE)
Dell Trusted Device is ontworpen voor het identificeren en detecteren van CVE's met betrekking tot het BIOS. Bij het opstarten evalueert Dell Trusted Device de huidige BIOS-versie van uw apparaat en vergelijkt deze met de nieuwste beschikbare versie. Vervolgens wordt het gat tussen deze versies geanalyseerd en worden de Dell beveiligingsaanbevelingen (DSA's) geïdentificeerd die zijn opgelost in de nieuwere BIOS-versie. Een DSA vertegenwoordigt een verzameling van een of meer CVE's.
| Actie | Niveau | Gebeurtenis-ID | Taakcategorie |
|---|---|---|---|
| Succes | Informatieve | 46 | 10 |
| Fout: Er is een fout opgetreden met de netwerkverbinding | Warning | 47 | 10 |
| Fout: Er is geknoeid | Warning | 47 | 10 |
| Fout: Er is een onbekende fout opgetreden | Warning | 47 | 10 |
| Fout: Platform momenteel niet ondersteund | Warning | 47 | 10 |