Jak zobrazit události důvěryhodných zařízení Dell v prohlížeči událostí systému Windows
Summary: Zjistěte, jak používat Prohlížeč událostí v systému Windows ke sledování stavů důvěryhodných zařízení Dell pro události a indikátory útoku na systém BIOS, ověřování systému BIOS atd.
Instructions
Nástroj Dell Trusted Device je součástí portfolia produktů Dell SafeBIOS. Dell Trusted Device je aplikace, která poskytuje informace o stavu zabezpečení místního koncového bodu a doporučené akce pro monitorování zabezpečení. Nástroj Dell Trusted Device obsahuje následující funkce:
- Ověření systému BIOS
- Události systému BIOS a indikátory útoku
- Zachycení obrazu systému BIOS
- Ověření Intel ME
- Ověření zabezpečených komponent (v cloudu)
- Běžné chyby zabezpečení a zranitelná místa (CVE)
- Skóre ochrany před bezpečnostními riziky
- Dell Event Repository a integrace SIEM (Security Information and Event Management)
Dotčený produkt:
- Dell Trusted Device
Dotčené verze:
- Nástroj Dell Trusted Device verze 6.1 a novější
Dotčené platformy:
- Windows 10
- Windows 11
Dotčený hardware:
- Latitude
- OptiPlex
- Precision
- XPS
Chcete-li zobrazit události důvěryhodných zařízení Dell v Prohlížeči událostí systému Windows, otevřete Prohlížeč událostí systému Windows. Zde si můžete prohlédnout události a indikátory útoku (IoA) systému BIOS, ověřování systému BIOS, ověřování Intel ME (Intel Management Engine Verification),ověřování zabezpečených komponent (SCV) a běžné chyby zabezpečení a zranitelná místa (CVE).
Otevřete Prohlížeč událostí systému Windows.
- V místní konzoli Dell Trusted Device v části Odkazy na systém Windows klikněte na položku Prohlížeč událostí.
- V Prohlížeči událostí rozbalte položku Protokoly aplikací a služeb a vyberte položku Dell Trusted Device.
- Zdrojový sloupec lze použít k filtrování zpráv o událostech podle typů kategorií. Níže uvedené části tohoto článku vám pomůžou poskytnout další kontext toho, co tyto klasifikace znamenají.
Události systému BIOS a indikátory útoku (IoA)
Funkce BIOS Events & Indicators of Attack umožňuje správcům analyzovat události v Prohlížeči událostí systému Windows, které mohou naznačovat škodlivé aktéry zaměřené na systém BIOS na podnikových koncových bodech. Útočníci mění atributy systému BIOS, aby získali místní nebo vzdálený přístup k podnikovým počítačům. Tyto vektory útoku lze monitorovat a následně zmírnit pomocí funkce událostí a indikátorů útoku systému BIOS, které monitorují atributy systému BIOS. Agent Dell Trusted Device shromažďuje atributy systému BIOS po instalaci a ve výchozím nastavení každých 12 hodin. Data o událostech a indikátorech útoku na systém BIOS se uchovávají po dobu 200 dní.
Společnost Dell Technologies doporučuje k načítání protokolů a událostí používat produkt SIEM. Správci by měli poskytnout výsledky svému týmu SOC (Security Operations Center), aby určili vhodné strategie nápravy.
Ověření systému BIOS
Funkce BIOS Verification porovná aktuální verzi systému BIOS v zařízení s nejnovější dostupnou verzí. Pokud je k dispozici zastaralá verze, nástroj BIOS Verification zapíše do Prohlížeče událostí systému Windows následující zprávu:
| Akce | Úroveň | ID události | Kategorie úkolu |
|---|---|---|---|
| Ověření úspěšně | Informační | 9 | 1 |
| Ověření se nezdařilo | Chyba | 2 | 1 |
| Obrázek zachycen | Warning | 1 | 2 |
| Pořízen duplicitní obraz | Warning | 2 | 2 |
| Systém BIOS je zastaralý. | Warning | 40 | 8 |
| Verze systému BIOS není v současné době podporována. | Chyba | 2 | 1 |
Ověření systému BIOS se ve výchozím nastavení spouští každých 24 hodin.
Intel Management Engine Verification (Intel ME)
Intel Management Engine (Intel ME) je nezávislý mikrořadič, který je zabudován do čipových sad procesorů Intel. Intel ME poskytuje rozhraní mezi operačním systémem, hardwarem a systémem BIOS.
Agent Dell Trusted Device po počáteční instalaci, spuštění a každých 24 hodin kontroluje a ověřuje, zda je firmware Intel ME přítomen a není s ním manipulováno.
SCV (Secured Component Verification)
Secured Component Verification (On Cloud) je nabídka zajištění dodavatelského řetězce, která umožňuje ověřit integritu komponent v počítači Dell. Nástroj Dell Trusted Device porovnává detaily komponent v počítači s externím certifikátem obsahujícím jedinečné ID systémových komponent vygenerované a podepsané společností Dell během procesu montáže. Ověření zabezpečených komponent (v cloudu) ověřuje následující komponenty:
- Procesor (CPU)
- Modul TPM (Trusted Platform Module)
- Permanentní paměť
- Integrované síťové připojení
- Paměť (RAM)
- Základní deska
- System Information
Nástroj Dell Trusted Device ověřuje komponenty po instalaci a při každém spuštění. Nástroj Dell Trusted Device zapíše pro každou komponentu do prohlížeče událostí systému Windows heslo nebo selhání s časovým razítkem.
| Akce | Úroveň | ID události | Kategorie úkolu |
|---|---|---|---|
| Ověření proběhlo úspěšně | Informační | 41 | 9 |
| Ověření se nezdařilo | Informační | 41 | 9 |
| Interní chyba serveru Chyba sítě | Chyba | 43 | 9 |
| Nepodporovaná platforma | Warning | 42 | 9 |
Běžné chyby zabezpečení a zranitelná místa (CVE)
Nástroj Dell Trusted Device je určen k identifikaci a detekci chyb CVE týkajících se systému BIOS. Nástroj Dell Trusted Device po spuštění vyhodnotí aktuální verzi systému BIOS v zařízení a porovná ji s nejnovější dostupnou verzí. Poté analyzuje mezeru mezi těmito verzemi a identifikuje bezpečnostní doporučení společnosti Dell (DSA), která byla v novější verzi systému BIOS vyřešena. DSA představuje kolekci jednoho nebo více CVE.
| Akce | Úroveň | ID události | Kategorie úkolu |
|---|---|---|---|
| Úspěšné spuštění | Informační | 46 | 10 |
| Chyba: Došlo k chybě síťového připojení | Warning | 47 | 10 |
| Chyba: Bylo zjištěno neoprávněně manipulované zásahy. | Warning | 47 | 10 |
| Chyba: Došlo k neznámé chybě | Warning | 47 | 10 |
| Chyba: Platforma není v současné době podporována. | Warning | 47 | 10 |