Så analyserar du slutpunktsstatus för Dell Endpoint Security Suite Enterprise och Threat Defense

Summary: Läs mer om hur du analyserar slutpunktsstatus i Dell Endpoint Security Suite Enterprise och Dell Threat Defense med hjälp av de här instruktionerna.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Obs!

Slutpunktsstatus för Dell Endpoint Security Suite Enterprise och Dell Threat Defense kan hämtas från en specifik slutpunkt för djupgående granskning av hot, kryphål och skript.

Berörda produkter:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Berörda plattformar:

  • Windows
  • Mac
  • Linux

Dell Endpoint Security Suite Enterprise- eller Dell Threat Defense-administratörer kan komma åt en enskild slutpunkt för att granska:

  • Innehåll i skadlig programvara
  • Tillstånd för skadlig programvara
  • Typ av skadlig programvara

En administratör bör bara utföra de här stegen när du felsöker varför ATP-motorn (Advanced Threat Prevention) felklassificerade en fil. Klicka på Åtkomst eller Granska om du vill ha mer information.

Access

Åtkomsten till information om skadlig programvara varierar mellan Windows, macOS och Linux. Klicka på operativsystemen om du vill ha mer information om dem.

Windows

Som standard registrerar Windows inte detaljerad information om skadlig kod.

  1. Högerklicka på Windows startmeny och klicka sedan på Kör.
    Kör
  2. I användargränssnittet Kör skriver du regedit och tryck sedan på CTRL+SKIFT+RETUR. Detta kör Registereditorn som administratör.
    Körgränssnittt
  3. I Registereditorn går du till HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  4. I den vänstra rutan högerklickar du på Skrivbord och väljer sedan Behörigheter.
    Behörigheter
  5. Klicka på Advanced (avancerat).
    Avancerad
  6. Klicka på Ägare.
    Fliken Ägare
  7. Klicka på Andra användare eller grupper.
    Andra användare eller grupper
  8. Sök efter ditt konto i gruppen och klicka sedan på OK.
    Valt konto
  9. Klicka på OK.
    OK
  10. Kontrollera att fullständig behörighet är markerad för din grupp eller ditt användarnamn och klicka sedan på OK.
    Kontrollerar för val av fullständig kontroll
    Obs! I exemplet är DDP_Admin (steg 8) medlem i gruppen Användare.
  11. Vid HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, högerklicka på mappen Skrivbord, välj Nytt och klicka sedan på DWORD-värde (32-bitars).
    Ny DWORD
  12. Namnge DWORD StatusFileEnabled.
    StatusFileEnabled
  13. Dubbelklicka StatusFileEnabled.
    Redigera DWORD
  14. Fyll i värdedata med 1 och tryck sedan på OK.
    Uppdaterat DWORD
  15. Vid HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, högerklicka på mappen Skrivbord, välj Nytt och klicka sedan på DWORD-värde (32-bitars).
    Ny DWORD
  16. Namnge DWORD StatusFileType.
    StatusFileType
  17. Dubbelklicka StatusFileType.
    Redigera DWORD
  18. Fyll i värdedata med antingen 0 eller 1. När värdedata har fyllts i trycker du på OK.
    Uppdaterat DWORD
    Obs! Val av värdedata:
    • 0 = JSON-filformat
    • 1 = XML-format
  19. Vid HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, högerklicka på mappen Skrivbord, välj Nytt och klicka sedan på DWORD-värde (32-bitars).
    Ny DWORD
  20. Namnge DWORD StatusPeriod.
    StatusPeriod
  21. Dubbelklicka StatusPeriod.
    Redigera DWORD
  22. Fyll i värdedata med ett tal som sträcker sig från 15 till 60 och klicka sedan på OK.
    Uppdaterat DWORD
    Obs! StatusPeriod är hur ofta filen skrivs.
    15 = 15 sekunders intervall
    60 = 60 sekunders intervall
  23. Vid HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, högerklicka på mappen Skrivbord , välj Ny och klicka sedan på String Value.
    Ny sträng
  24. Namnge strängen StatusFilePath.
    StatusFilePath (på engelska)
  25. Dubbelklicka på StatusFilePath.
    Redigera sträng
  26. Fyll i värdedata med den plats som statusfilen ska skrivas till och klicka sedan på OK.
    Redigerad sträng
    Obs!
    • Standardsökväg: <CommonAppData>\Cylance\Status\Status.json
    • Exempel på sökväg: C:\ProgramData\Cylance
    • En .json-fil (JavaScript Object Notation) kan öppnas i en ASCII-textdokumentredigerare.

macOS

Detaljerad information om skadlig kod finns i Status.json file på:

/Library/Application Support/Cylance/Desktop/Status.json
Obs! En .json-fil (JavaScript Object Notation) kan öppnas i en ASCII-textdokumentredigerare.

Linux

Detaljerad information om skadlig kod finns i Status.json file på:

/opt/cylance/desktop/Status.json
Obs! En .json-fil (JavaScript Object Notation) kan öppnas i en ASCII-textdokumentredigerare.

Recension

Statusfilens innehåll innehåller detaljerad information om flera kategorier, inklusive hot, kryphål och skript. Klicka på lämplig information om du vill veta mer om det.

Innehåll

Statusfilens innehåll:

snapshot_time Datum och tid då statusinformationen samlades in. Datum och tid är lokala för enheten.
ProductInfo
  • version: Advanced Threat Prevention Agent-versionen på enheten
  • last_communicated_timestamp: Datum och tid för den senaste kontrollen av en agentuppdatering
  • serial_number: Installationstoken som används för att registrera agenten
  • device_name: Namn på den enhet som agenten är installerad på
Policy
  • type: Status för om agenten är online eller offline
  • id: Unik identifierare för policyn
  • name: Policynamn
ScanState
  • last_background_scan_timestamp: Datum och tid för den senaste genomsökningen av Background Threat Detection
  • drives_scanned: Lista över genomsökta enhetsbokstäver
Threats
  • count: Antalet hittade hot
  • max: Det maximala antalet hot i statusfilen
  • Hot
    • file_hash_id: Visar SHA256-hashinformation för hotet
    • file_md5: MD5-hashen
    • file_path: Sökvägen där hotet hittades. Inkluderar filnamnet
    • is_running: Körs hotet på enheten för närvarande? Sant eller falskt
    • auto_run: Är hotfilen inställd på att köras automatiskt? Sant eller falskt
    • file_status: Visar hotets aktuella tillstånd, till exempel Tillåtet, Körs eller I karantän. Se hoten: FileState-tabell
    • file_type: Visar typen av fil, t.ex. bärbar körbar fil (PE), arkiv eller PDF. Se hoten: Tabell över filtyper
    • score: Visar Cylance-poängen. Poängen som visas i statusfilen sträcker sig från 1000 till -1000. I konsolen är intervallet 100 till -100
    • file_size: Visar filstorleken i byte
Exploits
  • count: Antalet kryphål som hittats
  • max: Det maximala antalet kryphål i statusfilen
  • Utnyttja
    • ProcessId: Visar process-ID för det program som identifieras av Memory Protection
    • ImagePath: Sökvägen som kryphålet kommer från. Inkluderar filnamnet
    • ImageHash: Visar SHA256-hashinformation för exploateringen
    • FileVersion: Visar versionsnumret för sårbarhetsfilen
    • Username: Visar namnet på den användare som var inloggad på enheten när sårbarheten inträffade
    • Groups: Visar den grupp som den inloggade användaren är associerad med
    • Sid: Säkerhetsidentifierare (SID) för den inloggade användaren
    • ItemType: Visar sårbarhetstypen, som relaterar till överträdelsetyperna
    Obs!
    • Stat: Visar det aktuella läget för exploateringen, t.ex. Tillåtet, Blockerat eller Avslutat
    Obs! Se kryphålen: Tillståndstabell .
    • MemDefVersion: Den version av Memory Protection som används för att identifiera sårbarheten, vanligtvis agentversionsnumret
    • Count: Antalet gånger som sårbarheten försökte köras
Scripts
  • count: Antalet skript som körs på enheten
  • max: Det maximala antalet skript i statusfilen
  • Manus
    • script_path: Sökvägen som skriptet kommer från. Inkluderar filnamnet
    • file_hash_id: Visar SHA256-hashinformation för skriptet
    • file_md5: Visar MD5-hashinformation för skriptet, om sådan är tillgänglig
    • file_sha1: Visar SHA1-hashinformation för skriptet, om sådan är tillgänglig
    • drive_type: Identifierar typen av enhet som skriptet kommer från, t.ex. Fast
    • last_modified: Datum och tid då skriptet senast ändrades
    • interpreter:
      • name: Namnet på skriptkontrollfunktionen som identifierade det skadliga skriptet
      • version: Versionsnumret för skriptkontrollfunktionen
    • username: Visar namnet på den användare som var inloggad på enheten när skriptet startades
    • groups: Visar den grupp som den inloggade användaren är associerad med
    • sid: Säkerhetsidentifierare (SID) för den inloggade användaren
    • action: Visar den åtgärd som vidtas för skriptet, till exempel Tillåtna, Blockerade eller Avslutade. Se skripten: Åtgärdstabell

Hot

Hot har flera numeriska kategorier som ska dechiffreras i File_Status, FileState och FileType. Ange lämplig kategori för de värden som ska tilldelas.

File_Status

Fältet File_Status är ett decimalvärde som beräknas baserat på de värden som är aktiverade av FileState (se tabellen i avsnittet FileState ). Till exempel beräknas ett decimalvärde på 9 för file_status från filen som identifieras som ett hot (0x01) och filen har satts i karantän (0x08).

file_status och file_type

Filtillstånd

Hot: Filtillstånd

Inget 0x00
Hot 0x01
Misstänksam 0x02
Tillåten 0x04
Karantän 0x08
Löpning 0x10
Korrupt 0x20
Filtyp

Hot: Filtyp

Stöds inte 0
PE 1
Arkiv 2
PDF 3
OLE 4

Utnyttjar

Kryphål har två numeriska kategorier som ska dechiffreras i både ItemType och State.

Objekttyp och delstat

Ange lämplig kategori för de värden som ska tilldelas.

Artikeltyp

Utnyttjar: Artikeltyp

StackPivot 1 Pivotering av stacken
StackProtect 2 Skydda stacken
OverwriteCode 3 Skriv över kod
OopAllocate 4 Fjärrallokering av minne
OopMap 5 Fjärrmappning av minne
OopWrite 6 Fjärrskrivning till minnet
OopWritePe 7 Fjärrskrivning PE till minnet
OopOverwriteCode 8 Kod för fjärröverskrivning
OopUnmap 9 Fjärravkarta över minne
OopThreadCreate 10 Skapa trådar på distans
OopThreadApc 11 Fjärr-APC, schemalagd
LsassRead 12 LSASS Läs
TrackDataRead 13 RAM-skrapning
CpAllocate 14 Fjärrallokering av minne
CpMap 15 Fjärrmappning av minne
CpWrite 16 Fjärrskrivning till minnet
CpWritePe 17 Fjärrskrivning PE till minnet
CpOverwriteCode 18 Kod för fjärröverskrivning
CpUnmap 19 Fjärravkarta över minne
CpThreadCreate 20 Skapa trådar på distans
CpThreadApc 21 Fjärr-APC, schemalagd
ZeroAllocate 22 Noll allokering
DyldInjection 23 DYLD-injektion
MaliciousPayload 24 Skadlig nyttolast
Obs!
Läge

Utnyttjar: Läge

Inget 0
Tillåten 1
Blockerad 2
Avslutas 3

Skript

Kryphål har en enda numerisk baserad kategori som ska dechiffreras i Action.

Åtgärd

Skript: Åtgärd

Inget 0
Tillåten 1
Blockerad 2
Avslutas 3

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.