Cómo analizar el estado del terminal Dell Endpoint Security Suite Enterprise y Threat Defense

Summary: Obtenga información sobre cómo analizar los estados de los terminales en Dell Endpoint Security Suite Enterprise y Dell Threat Defense mediante estas instrucciones.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Nota:

Los estados de los terminales de Dell Endpoint Security Suite Enterprise y Dell Threat Defense se pueden extraer de un terminal específico para una revisión en profundidad de las amenazas, las vulnerabilidades y los scripts.

Productos afectados:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Plataformas afectadas:

  • Windows
  • Mac
  • Linux

Los administradores de Dell Endpoint Security Suite Enterprise o Dell Threat Defense pueden acceder a un terminal individual para revisar lo siguiente:

  • Contenido del malware
  • Estado del malware
  • Tipo de Malware

Un administrador solo debe realizar estos pasos cuando solucione el motivo por el cual el motor de Advanced Threat Prevention (ATP) clasificó erróneamente un archivo. Haga clic en Access o Review para obtener más información.

Acceso

El acceso a la información del malware varía entre Windows, macOS y Linux. Para obtener más información, haga clic en el sistema operativo correspondiente.

Windows

De manera predeterminada, Windows no registra información detallada sobre el malware.

  1. Haga clic con el botón secundario en el menú Inicio de Windows y haga clic en Ejecutar.
    Ejecutar
  2. En la interfaz de usuario Ejecutar, escriba regedit y, a continuación, presione CTRL+MAYÚS+INTRO. Esto ejecuta el editor del registro como administrador.
    Interfaz de usuario de Ejecutar
  3. En el Editor del registro, vaya a HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  4. En el panel izquierdo, haga clic con el botón secundario en Escritorio y, a continuación, seleccione Permisos.
    Permisos
  5. Haga clic en Opciones avanzadas.
    Avanzado
  6. Haga clic en Propietario.
    Pestaña Propietario
  7. Haga clic en Otros usuarios o grupos.
    Otros usuarios o grupos
  8. Busque su cuenta en el grupo y, a continuación, haga clic en Aceptar.
    Cuenta seleccionada
  9. Haga clic en Aceptar.
    OK
  10. Asegúrese de que su grupo o nombre de usuario tenga el Control total seleccionado y, a continuación, haga clic en OK.
    Comprobación de la selección de control total
    Nota: En el ejemplo, DDP_Admin (paso 8) es miembro del grupo Usuarios.
  11. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, haga clic con el botón secundario en la carpeta Escritorio , seleccione Nuevo y, a continuación, haga clic en Valor de DWORD (32 bits).
    Nuevo DWORD
  12. Asigne un nombre al DWORD StatusFileEnabled.
    StatusFileEnabled
  13. Haga doble clic StatusFileEnabled.
    Editar DWORD
  14. Complete los datos de valor con 1 y, luego, presione OK.
    DWORD actualizado
  15. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, haga clic con el botón secundario en la carpeta Escritorio , seleccione Nuevo y, a continuación, haga clic en Valor de DWORD (32 bits).
    Nuevo DWORD
  16. Asigne un nombre al DWORD StatusFileType.
    StatusFileType
  17. Haga doble clic StatusFileType.
    Editar DWORD
  18. Complete los datos de Value con cualquiera de las siguientes opciones: 0 o 1. Una vez que se hayan completado los datos de valor, presione OK.
    DWORD actualizado
    Nota: Opciones de datos de valor:
    • 0 = Formato de archivo JSON
    • 1 = Formato XML
  19. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, haga clic con el botón secundario en la carpeta Escritorio , seleccione Nuevo y, a continuación, haga clic en Valor de DWORD (32 bits).
    Nuevo DWORD
  20. Asigne un nombre al DWORD StatusPeriod.
    StatusPeriod
  21. Haga doble clic StatusPeriod.
    Editar DWORD
  22. Complete los datos de Value con un número que oscile entre 15 como 60 y, a continuación, haga clic en OK.
    DWORD actualizado
    Nota: StatusPeriod es la frecuencia con la que se escribe el archivo.
    15 = intervalo de 15 segundos Intervalo
    de 60 = 60 segundos
  23. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, haga clic con el botón secundario en la carpeta Escritorio , seleccione Nuevo y, a continuación, haga clic en String Value.
    Cadena nueva
  24. Asigne un nombre a la cadena StatusFilePath.
    StatusFilePath
  25. Haga doble clic en StatusFilePath.
    Editar cadena
  26. Complete los Datos de valor con la ubicación en la que desea escribir el archivo de estado y, a continuación, haga clic en OK.
    Cadena editada
    Nota:
    • Ruta de acceso predeterminada: <CommonAppData>\Cylance\Status\Status.json
    • Ruta de acceso de ejemplo: C:\ProgramData\Cylance
    • Un archivo .json (JavaScript Object Notation) se puede abrir en un editor de documentos de texto ASCII.

macOS

La información detallada sobre malware se encuentra en el Status.json Presentar en:

/Library/Application Support/Cylance/Desktop/Status.json
Nota: Un archivo .json (JavaScript Object Notation) se puede abrir en un editor de documentos de texto ASCII.

Linux

La información detallada sobre malware se encuentra en el Status.json Presentar en:

/opt/cylance/desktop/Status.json
Nota: Un archivo .json (JavaScript Object Notation) se puede abrir en un editor de documentos de texto ASCII.

Revisión

El contenido del archivo de estado incluye información detallada sobre varias categorías, incluidas Amenazas, Vulnerabilidades de seguridad y Scripts. Haga clic en la información correspondiente para obtener más información.

directorio

Contenidos del archivo de estado:

snapshot_time La fecha y la hora en que se recopiló la información de Estado. La fecha y la hora son locales para el dispositivo.
ProductInfo
  • version: Versión del agente de Advanced Threat Prevention en el dispositivo
  • last_communicated_timestamp: Fecha y hora de la última comprobación de una actualización del agente
  • serial_number: Token de instalación utilizado para registrar el agente
  • device_name: Nombre del dispositivo en el que está instalado el agente
Policy
  • type: Estado de si el agente está en línea u offline
  • id: Identificador único de la política
  • name: Nombre de la política
ScanState
  • last_background_scan_timestamp: Fecha y hora del último análisis de Detección de amenazas en segundo plano
  • drives_scanned: Lista de letras de unidad escaneadas
Threats
  • count: La cantidad de amenazas encontradas
  • max: La cantidad máxima de amenazas en el archivo de estado
  • Amenaza
    • file_hash_id: Muestra la información de hash SHA256 de la amenaza
    • file_md5: El hash MD5
    • file_path: La ruta donde se encontró la amenaza. Incluye el nombre del archivo
    • is_running: ¿La amenaza se está ejecutando actualmente en el dispositivo? Verdadero o falso
    • auto_run: ¿El archivo de amenaza está configurado para ejecutarse automáticamente? Verdadero o falso
    • file_status: Muestra el estado actual de la amenaza como Permitido, En ejecución o En cuarentena. Consulte las amenazas: Tabla FileState
    • file_type: Muestra el tipo de archivo, como archivo ejecutable portátil (PE), archivo o PDF. Consulte las amenazas: Tabla FileType
    • score: Muestra el puntaje Cylance. El puntaje que se muestra en el archivo de estado varía de 1000 a -1000. En la consola, el rango es de 100 a -100
    • file_size: Muestra el tamaño del archivo, en bytes
Exploits
  • count: La cantidad de exploits encontrados
  • max: El número máximo de vulnerabilidades en el archivo de estado
  • Explotar
    • ProcessId: Muestra el ID de proceso de la aplicación identificada por Protección de memoria
    • ImagePath: La ruta de origen de la explotación de vulnerabilidad. Incluye el nombre del archivo
    • ImageHash: Muestra la información de hash SHA256 de la vulnerabilidad
    • FileVersion: Muestra el número de versión del archivo de vulnerabilidad
    • Username: Muestra el nombre del usuario que inició sesión en el dispositivo cuando se produjo la vulnerabilidad
    • Groups: Muestra el grupo al que está asociado el usuario que inició sesión.
    • Sid: El identificador de seguridad (SID) del usuario que inició sesión
    • ItemType: Muestra el tipo de vulnerabilidad, que se relaciona con los tipos de infracción
    Nota:
    • State: Muestra el estado actual de la vulnerabilidad, como Permitido, Bloqueado o Finalizado
    Nota: Consulte las vulnerabilidades: Tabla de Estado.
    • MemDefVersion: La versión de Protección de memoria utilizada para identificar la vulnerabilidad, por lo general, el número de versión del agente
    • Count: El número de veces que el exploit intentó ejecutarse
Scripts
  • count: La cantidad de scripts que se ejecutan en el dispositivo
  • max: La cantidad máxima de scripts en el archivo de estado
  • Script
    • script_path: La ruta de donde se origina el script. Incluye el nombre del archivo
    • file_hash_id: Muestra la información de hash SHA256 para el script
    • file_md5: Muestra la información de hash MD5 para el script, si está disponible
    • file_sha1: Muestra la información de hash SHA1 para el script, si está disponible
    • drive_type: Identifica el tipo de unidad desde la que se originó el script, como Fixed
    • last_modified: La fecha y hora en que se modificó por última vez el script
    • interpreter:
      • name: El nombre de la característica de control de script que identificó el script malicioso
      • version: El número de versión de la característica de control de script
    • username: Muestra el nombre del usuario que inició sesión en el dispositivo cuando se inició el script
    • groups: Muestra el grupo al que está asociado el usuario que inició sesión.
    • sid: El identificador de seguridad (SID) del usuario que inició sesión
    • action: Muestra la acción que se realiza en el script, como Permitida, Bloqueada o Finalizada. Consulte los Scripts: Tabla de acciones

Amenazas

Las amenazas tienen varias categorías numéricas que se deben descifrar en File_Status, FileState y FileType. Consulte la categoría adecuada para los valores que se asignarán.

File_Status

El campo File_Status es un valor decimal calculado en función de los valores habilitados por FileState (consulte la tabla en la sección FileState ). Por ejemplo, un valor decimal de 9 para file_status se calcula a partir del archivo que se identifica como una amenaza (0x01) y el archivo se ha puesto en cuarentena (0x08).

file_status y file_type

FileState

Amenazas: FileState

Ninguno 0x00
Amenaza 0x01
Sospechoso 0x02
Allowed (Permitido) 0x04
En cuarentena 0x08
Ejecución 0x10
Dañado 0x20
FileType

Amenazas: FileType

No admitido 0
PE 1
Archivado 2
PDF 3
OLE 4

Explotaciones de vulnerabilidad

Las explotaciones de vulnerabilidad tienen dos categorías basadas en números que se descifrarán tanto en ItemType como en Estado.

ItemType y State

Consulte la categoría adecuada para los valores que se asignarán.

ItemType

Explotaciones de vulnerabilidad: ItemType

StackPivot 1 Pivote de pila
StackProtect 2 Stack Protect
OverwriteCode 3 Overwrite Code
OopAllocate 4 Asignación remota de memoria
OopMap 5 Asignación remota de memoria
OopWrite 6 Escritura remota en la memoria
OopWritePe 7 Escritura remota de PE en la memoria
OopOverwriteCode 8 Sobrescribir código de forma remota
OopUnmap 9 Quitar asignación remota de memoria
OopThreadCreate 10 Creación remota de subprocesos
OopThreadApc 11 APC remoto programado
LsassRead 12 Lectura de LSASS
TrackDataRead 13 Desechar RAM
CpAllocate 14 Asignación remota de memoria
CpMap 15 Asignación remota de memoria
CpWrite 16 Escritura remota en la memoria
CpWritePe 17 Escritura remota de PE en la memoria
CpOverwriteCode 18 Sobrescribir código de forma remota
CpUnmap 19 Quitar asignación remota de memoria
CpThreadCreate 20 Creación remota de subprocesos
CpThreadApc 21 APC remoto programado
ZeroAllocate 22 Asignación de ceros
DyldInjection 23 Inyección de DYLD
MaliciousPayload 24 Carga útil maliciosa
Nota:
Estado

Explotaciones de vulnerabilidad: Estado

Ninguno 0
Allowed (Permitido) 1
Blocked 2
Terminado 3

Scripts

Las explotaciones de vulnerabilidad tienen una única categoría basada en números que se descifrará en Acción.

Acción

Scripts: Acción

Ninguno 0
Allowed (Permitido) 1
Blocked 2
Terminado 3

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.