Så här visar du händelser för betrodda Dell-enheter i Windows Loggboken
Summary: Lär dig hur du använder Loggboken i Windows för att övervaka status för Dell Trusted Device för BIOS-händelser och -attackindikatorer, BIOS-verifiering med mera.
Instructions
Dell Trusted Device är en del av produktsortimentet Dell SafeBIOS. Dell Trusted Device är ett program som tillhandahåller säkerhetsstatus för den lokala slutpunkten och rekommenderade åtgärder för säkerhetsövervakning. Dell Trusted Device har följande funktioner:
- BIOS-verifiering
- BIOS-händelser och attackindikatorer
- BIOS-avbildning
- Intel ME-verifiering
- Säker komponentverifiering (i molnet)
- Vanliga säkerhetsproblem och exponeringar (CVE)
- Poäng för skydd mot säkerhetsrisker
- Dells händelsedatabas och integrering av säkerhetsinformation och händelsehantering (SIEM)
Berörd produkt:
- Dell Trusted Device
Berörda versioner:
- Dell Trusted Device version 6.1 och senare
Berörda plattformar:
- Windows 10
- Windows 11
Berörd maskinvara:
- Latitude
- OptiPlex
- Precision
- XPS
Om du vill visa Dell Trusted Device Events i Loggboken öppnar du Loggboken i Windows. Därifrån kan du granska BIOS-händelser och attackindikatorer (IoA),BIOS-verifiering, Intel Management Engine Verification (Intel ME),Secured Component Verification (SCV) och vanliga sårbarheter och exponeringar (CVE).
Öppna Loggboken i Windows
- Från Dell Trusted Device Local Console, under Windows System Links, klickar du på Event Viewer.
- Från Loggboken expanderar du Program- och tjänstloggar och väljer sedan Dell Trusted Device.
- Källkolumnen kan användas för att filtrera händelsemeddelanden efter kategorityper. Avsnitten nedan i den här artikeln ger ytterligare kontext för vad dessa klassificeringar betyder.
BIOS-händelser och attackindikatorer (IoA)
BIOS Events & Indicators of Attack gör det möjligt för administratörer att analysera händelser i Windows Loggboken som kan tyda på att skadliga aktörer riktar in sig på BIOS på företagsslutpunkter. Illvilliga aktörer ändrar BIOS-attribut för att få lokal eller fjärråtkomst till företagsdatorer. Dessa attackvektorer kan övervakas och sedan minimeras genom BIOS-händelsernas och attackindikatorernas möjlighet att övervaka BIOS-attribut. Dell Trusted Device-agenten samlar in BIOS-attribut efter installationen och var 12:e timme som standard. BIOS-händelser och -indikatorer för angrepp data sparas i 200 dagar.
Dell Technologies rekommenderar att du använder en SIEM-produkt för att hämta loggar och händelser. Administratörer bör tillhandahålla resultat till sitt SOC-team (Security Operations Center) för att fastställa lämpliga åtgärdsstrategier.
BIOS-verifiering
BIOS-verifiering jämför enhetens aktuella BIOS-version med den senaste tillgängliga versionen. Om det finns en inaktuell version skriver BIOS Verification följande till Windows Loggboken:
| Åtgärd | Nivå | Händelse-ID | Uppgiftskategori |
|---|---|---|---|
| Verifieringen har godkänts | Informativt | 9 | 1 |
| Verifieringen misslyckades | Fel | 2 | 1 |
| Bild tagen | Varning | 1 | 2 |
| Duplicera bild som tagits | Varning | 2 | 2 |
| BIOS är inaktuellt | Varning | 40 | 8 |
| BIOS-versionen stöds inte för närvarande | Fel | 2 | 1 |
BIOS-verifiering körs var 24:e timme som standard.
Intel Management Engine-verifiering (Intel ME)
Intel Management Engine (Intel ME) är en oberoende mikrokontroller som är inbyggd i Intel processorchipset. Intel ME tillhandahåller ett gränssnitt mellan operativsystemet, maskinvaran och BIOS.
Dell Trusted Device-agenten söker igenom och verifierar att den fasta programvaran Intel ME finns och inte manipuleras efter den första installationen, starten och var 24:e timme.
Säker komponentverifiering (SCV)
Säker komponentverifiering (i molnet) är ett erbjudande för säkerhet i leverantörskedjan som gör att du kan verifiera integriteten hos komponenterna i din Dell-dator. Dell Trusted Device jämför komponentinformation på din dator med ett certifikat utanför värden som innehåller de unika systemkomponent-ID:n som genererades och signerades av Dell under fabriksmonteringsprocessen. Säker komponentverifiering (i molnet) verifierar följande komponenter:
- Processor (CPU)
- TPM (Trusted Platform Module)
- Fast lagring
- Inbyggt nätverk
- Minne (RAM)
- Moderkort
- Systeminformation
Dell Trusted Device utför komponentverifiering efter installation och vid varje start. För varje komponent skriver Dell Trusted Device ett tidsstämplat godkännande eller ett misslyckande till Windows Loggboken.
| Åtgärd | Nivå | Händelse-ID | Uppgiftskategori |
|---|---|---|---|
| Verifiering slutförd | Informativt | 41 | 9 |
| Verifieringen misslyckades | Informativt | 41 | 9 |
| Internt serverfel Nätverksfel | Fel | 43 | 9 |
| Plattform som inte stöds | Varning | 42 | 9 |
Vanliga säkerhetsproblem och exponeringar (CVE)
Dell Trusted Device är utformad för att identifiera och detektera CVE:er som hör till BIOS. När enheten startas utvärderar den den aktuella BIOS-versionen av enheten och jämför den med den senaste tillgängliga versionen. Den analyserar sedan gapet mellan dessa versioner och identifierar de Dell-säkerhetsrekommendationer (DSA) som har lösts i den nyare BIOS-versionen. En DSA representerar en samling med en eller flera CVE:er.
| Åtgärd | Nivå | Händelse-ID | Uppgiftskategori |
|---|---|---|---|
| Lyckades | Informativt | 46 | 10 |
| Fel: Ett nätverksanslutningsfel uppstod | Varning | 47 | 10 |
| Fel: Manipulering har upptäckts | Varning | 47 | 10 |
| Fel: Ett okänt fel har inträffat | Varning | 47 | 10 |
| Fel: Plattformen stöds för närvarande inte | Varning | 47 | 10 |