Dell Endpoint Security Suite Enterprise ve Threat Defense Uç Nokta Durumunu Analiz Etme

Summary: Bu talimatları kullanarak Dell Endpoint Security Suite Enterprise ve Dell Threat Defense de uç nokta durumlarını analiz etme hakkında bilgi edinin.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Not:
  • Mayıs 2022 itibarıyla Dell Endpoint Security Suite Enterprise'ın Bakım Sonuna ulaşılmıştır. Bu ürün ve ilgili makaleleri artık Dell tarafından güncelleştirilmeyecektir.
  • Mayıs 2022 itibarıyla Dell Threat Defense'in Bakım Sonuna ulaşılmıştır. Bu ürün ve ilgili makaleleri artık Dell tarafından güncelleştirilmeyecektir.
  • Daha fazla bilgi için Dell Data Security için Ürün Yaşam Döngüsü (Destek Sonu ve Kullanım Ömrü Sonu) Politikası (İngilizce) başlıklı makaleye başvurun. Alternatif makaleler hakkında sorularınız varsa satış ekibinizle ya da endpointsecurity@dell.com adresiyle iletişime geçin.
  • Mevcut ürünler hakkında daha fazla bilgi için bkz. Endpoint Security.

Dell Endpoint Security Suite Enterprise ve Dell Threat Defense uç nokta durumları, tehditlerin, güvenlik açıklarından yararlanmaların ve komut dosyalarının ayrıntılı incelemesi için belirli bir uç noktadan alınabilir.

Etkilenen Ürünler:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Etkilenen Platformlar:

  • Windows
  • Mac
  • Linux

Dell Endpoint Security Suite Enterprise veya Dell Threat Defense yöneticileri, aşağıdakileri incelemek için tek bir uç noktaya erişebilir:

  • Kötü Amaçlı Yazılım İçeriği
  • Kötü Amaçlı Yazılım Durumu
  • Kötü Amaçlı Yazılım Türü

Yönetici, bu adımları yalnızca gelişmiş tehdit önleme (ATP) motorunun bir dosyayı yanlış sınıflandırmasına neden olduğunu giderirken gerçekleştirmelidir. Daha fazla bilgi için Access veya Review öğesine tıklayın.

Access

Kötü amaçlı yazılım bilgilerine erişim; Windows, macOS ve Linux arasında farklılık gösterir. Daha fazla bilgi için ilgili işletim sistemine tıklayın.

Windows

Varsayılan olarak Windows, ayrıntılı kötü amaçlı yazılım bilgilerini kaydetmez.

  1. Windows başlangıç menüsüne sağ tıklayın ve ardından Çalıştır'a tıklayın.
    Sürücüyü yüklemek için ilgili düğümde
  2. Run UI alanına şunu yazın: regedit ve ardından CTRL+SHIFT+ENTER tuşlarına basın. Bu, Kayıt Defteri Düzenleyicisini yönetici olarak çalıştırır.
    Çalıştır Kullanıcı Arayüzü
  3. Kayıt Defteri Düzenleyicisi'nde şuraya gidin: HKEY_LOCAL_MACHINE\Software\Cylance\DesktopIP adresi için sorgular.
  4. Sol bölmede Masaüstüne sağ tıklayın ve ardından Permissions (İzinler) öğesini seçin.
    İzinler
  5. Advanced (Gelişmiş) seçeneğine tıklayın.
    Advanced (Gelişmiş)
  6. Owner (Sahibi) öğesine tıklayın.
    Sahip sekmesi
  7. Other users or groups (Diğer kullanıcılar veya gruplar) öğesine tıklayın.
    Diğer kullanıcılar veya gruplar
  8. Grupta hesabınızı arayın ve OK (Tamam) öğesine tıklayın.
    Hesap seçildi
  9. Tamam öğesine tıklayın.
    OK
  10. Grup veya kullanıcı adınızda Full Control (Tam Denetim) öğesinin işaretli olduğunu doğrulayın ve OK (Tamam) öğesine tıklayın.
    Full Control seçimi denetleniyor
    Not: Örnekte, DDP_Admin (8. adım) Users (Kullanıcılar) grubunun bir üyesidir.
  11. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktoptıklayın, Masaüstü klasörünü sağ tıklatın, Yeni'yi seçin ve ardından DWORD (32 bit) Değeri'ni tıklatın.
    Yeni DWORD
  12. DWORD'u adlandırın StatusFileEnabledIP adresi için sorgular.
    StatusFileEnabled
  13. Çift tıklama StatusFileEnabledIP adresi için sorgular.
    DWORD'ü düzenle
  14. Değer verilerini şununla doldurun: 1 ve ardından Tamam'a basın.
    Güncelleştirilmiş DWORD
  15. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktoptıklayın, Masaüstü klasörünü sağ tıklatın, Yeni'yi seçin ve ardından DWORD (32 bit) Değeri'ni tıklatın.
    Yeni DWORD
  16. DWORD'u adlandırın StatusFileTypeIP adresi için sorgular.
    StatusFileType
  17. Çift tıklama StatusFileTypeIP adresi için sorgular.
    DWORD'ü düzenle
  18. Değer verilerini aşağıdakilerden biriyle doldurun: 0 veya 1IP adresi için sorgular. Değer verileri doldurulduktan sonra OK (Tamam) düğmesine basın.
    Güncelleştirilmiş DWORD
    Not: Değer veri seçenekleri:
    • 0 = JSON dosya biçimi
    • 1 = XML biçimi
  19. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktoptıklayın, Masaüstü klasörünü sağ tıklatın, Yeni'yi seçin ve ardından DWORD (32 bit) Değeri'ni tıklatın.
    Yeni DWORD
  20. DWORD'u adlandırın StatusPeriodIP adresi için sorgular.
    StatusPeriod
  21. Çift tıklama StatusPeriodIP adresi için sorgular.
    DWORD'ü düzenle
  22. Değer verilerini aşağıdakilerden biri ile doldurun: 15 özniteliğinin değerini 60 yazın ve OK (Tamam) öğesine tıklayın.
    Güncelleştirilmiş DWORD
    Not: StatusPeriod, dosyanın yazılma sıklığını ifade eder.
    15 = 15 saniyelik aralık
    60 = 60 saniyelik aralık
  23. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktoptıklayın, Masaüstü klasörünü sağ tıklatın, Yeni'yi seçin ve ardından String ValueIP adresi için sorgular.
    Yeni Dize
  24. Dizeyi Adlandırın StatusFilePathIP adresi için sorgular.
    StatusFilePath
  25. StatusFilePath öğesine çift tıklayın.
    Dize düzenle
  26. Değer verilerine, durum dosyasının yazılacağı konumu girin ve ardından OK (Tamam) öğesine tıklayın.
    Düzenlenmiş dize
    Not:
    • Varsayılan yol: <CommonAppData>\Cylance\Status\Status.json
    • Örnek yol: C:\ProgramData\Cylance
    • ASCII metin belgesi düzenleyicisinde .json (JavaScript Nesne Gösterimi) dosyası açılabilir.

macOS

Kapsamlı kötü amaçlı yazılım bilgileri Status.json Dosya:

/Library/Application Support/Cylance/Desktop/Status.json
Not: ASCII metin belgesi düzenleyicisinde .json (JavaScript Nesne Gösterimi) dosyası açılabilir.

Linux

Kapsamlı kötü amaçlı yazılım bilgileri Status.json Dosya:

/opt/cylance/desktop/Status.json
Not: ASCII metin belgesi düzenleyicisinde .json (JavaScript Nesne Gösterimi) dosyası açılabilir.

İnceleme

Durum dosyasının İçerikler bölümünde; Tehditler, Güvenlik Açıkları ve Komut Dosyaları dahil olmak üzere birçok kategori hakkındaki ayrıntılı bilgi bulunur. Hakkında daha fazla bilgi edinmek için ilgili bilgilere tıklayın.

gidin

Durum dosyası içeriği:

snapshot_time Durum bilgilerinin toplandığı tarih ve saat. Tarih ve saat aygıt için yereldir.
ProductInfo
  • version: Cihazdaki Advanced Threat Prevention Aracısı sürümü
  • last_communicated_timestamp: Aracı güncelleştirmesi için son denetimin tarihi ve saati
  • serial_number: Aracıyı kaydetmek için kullanılan Kurulum Belirteci
  • device_name: Aracının yüklü olduğu aygıtın adı
Policy
  • type: Temsilcinin Çevrimiçi mi Çevrimdışı mı Olduğu Durumu
  • id: Politika için benzersiz tanımlayıcı
  • name: Politika Adı
ScanState
  • last_background_scan_timestamp: Son Arka Plan Tehdit Algılama taramasının tarihi ve saati
  • drives_scanned: Taranan sürücü harflerinin listesi
Threats
  • count: Bulunan tehditlerin sayısı
  • max: Durum dosyasındaki maksimum tehdit sayısı
  • Tehdit
    • file_hash_id: Tehdit için SHA256 karma bilgilerini görüntüler
    • file_md5: MD5 karması
    • file_path: Tehdidin bulunduğu yol. Dosya adını içerir
    • is_running: Tehdit şu anda aygıt üzerinde mi çalışıyor? Doğru veya yanlış
    • auto_run: Tehdit dosyası otomatik olarak çalışacak şekilde ayarlanmış mı? Doğru veya yanlış
    • file_status: Tehdidin İzin Verildi, Çalışıyor veya Karantinada gibi mevcut durumları gösterir. Bkz. Tehditler: FileStatetablosu
    • file_type: Taşınabilir Yürütülebilir Öğe (PE), Arşiv veya PDF gibi dosya türlerini görüntüler. Bkz. Tehditler: FileTypetablosu
    • score: Cylance Puanı görüntülenir. Durum dosyasında görüntülenen puan 1000 ile -1000 arasında değişir. Konsolda aralık 100 ila -100 arasındadır
    • file_size: Dosya boyutunu bayt cinsinden görüntüler
Exploits
  • count: Bulunan güvenlik açıklarının sayısı
  • max: Durum dosyasındaki maksimum yararlanma sayısı
  • Güvenlik Açığı
    • ProcessId: Bellek Koruması ile tanımlanan uygulamanın işlem kimliğini görüntüler
    • ImagePath: Güvenlik açıklarının kaynaklandığı yol. Dosya adını içerir
    • ImageHash: İstismar için SHA256 karma bilgilerini görüntüler
    • FileVersion: Yararlanma dosyasının sürüm numarasını görüntüler
    • Username: Exploit gerçekleştiğinde cihazda oturum açmış olan kullanıcının adını görüntüler
    • Groups: Oturum açmış kullanıcının ilişkili olduğu grubu görüntüler
    • Sid: Oturum açmış kullanıcının Güvenlik Tanımlayıcısı (SID)
    • ItemType: İhlal Türleri ile ilgili yararlanma türünü gösterir
    Not:
    • State (Durum): İzin Verilen, Engellenen veya Sonlandırıldı gibi istismarın mevcut durumunu görüntüler
    Not: İstismarlara bakın: Durum tablosu.
    • MemDefVersion: Güvenlik açığını tanımlamak için kullanılan Bellek Koruması sürümü, genellikle Aracı sürüm numarası
    • Count: Exploit'in çalıştırılma girişimi sayısı
Scripts
  • count: Aygıtta çalıştırılan komut dosyalarının sayısı
  • max: Durum dosyasındaki maksimum komut dosyası sayısı
  • Komut dosyası
    • script_path: Komut dosyasının çıkış noktası yolu. Dosya adını içerir
    • file_hash_id: Komut dosyası için SHA256 karma bilgilerini görüntüler
    • file_md5: Varsa, komut dosyası için MD5 karma bilgilerini görüntüler
    • file_sha1: Varsa, komut dosyası için SHA1 karma bilgilerini görüntüler
    • drive_type: Komut dosyasının kaynaklandığı sürücü türünü tanımlar. Örneğin, Sabit
    • last_modified: Komut dosyasının en son değiştirildiği tarih ve saat
    • interpreter:
      • name: Kötü amaçlı komut dosyasını tanımlayan komut dosyası denetim özelliğinin adı
      • version: Komut dosyası denetimi özelliğinin sürüm numarası
    • username: Komut dosyası başlatıldığında cihazda oturum açmış olan kullanıcının adını görüntüler
    • groups: Oturum açmış kullanıcının ilişkili olduğu grubu görüntüler
    • sid: Oturum açmış kullanıcının Güvenlik Tanımlayıcısı (SID)
    • action: İzin Verilen, Engellenen veya Sonlandırılmış gibi komut dosyası üzerinde gerçekleştirilen eylemi görüntüler. Bkz. Komut Dosyaları: Eylemtablosu

Tehditler

Tehditlerin File_Status, FileState ve FileType içinde deşifre edilecek birden çok sayısal tabanlı kategorisi vardır. Atanacak değerler için uygun kategoriye başvurun.

File_Status

File_Status alanı, FileState tarafından etkinleştirilen değerlere göre hesaplanan ondalık bir değerdir ( FileState bölümündeki tabloya bakın). Örneğin, tehdit (0x01) olarak tanımlanan dosyadan file_status için 9 ondalık değer hesaplanır ve dosya karantinaya alınmıştır (0x08).

file_status ve file_type

FileState

Tehditler: FileState

None 0x00
Tehdit 0x01
Şüpheli 0x02
İzin Verildi 0x04
Karantinada 0x08
Çalışıyor 0x10
Bozuk 0x20
FileType

Tehditler: FileType

Desteklenmiyor 0
PE 1
Arşiv 2
PDF 3
OLE 4

Güvenlik Açıkları

Güvenlik açıkları, hem ItemType hem de State (Durum) içinde deşifre edilecek iki sayısal tabanlı kategoriye sahiptir.

ItemType ve Durum

Atanacak değerler için uygun kategoriye başvurun.

ItemType

Güvenlik Açıkları: ItemType

StackPivot 1 Yığın Özeti
StackProtect 2 Yığın Koruması
OverwriteCode 3 Üzerine Yazma Kodu
OopAllocate 4 Belleğin Uzaktan Tahsisi
OopMap 5 Belleğin Uzaktan Eşlemesi
OopWrite 6 Belleğe Uzaktan Yazma
OopWritePe 7 PE'yi Belleğe Uzaktan Yazma
OopOverwriteCode 8 Uzaktan Üzerine Yazma Kodu
OopUnmap 9 Belleğin Uzaktan Eşlemesinin Kaldırılması
OopThreadCreate 10 Uzaktan İş Parçacığı Oluşturma
OopThreadApc 11. Uzaktan Zamanlanmış APC
LsassRead 12 LSASS Okuma
TrackDataRead 13 RAM Kazıma
CpAllocate 14 Belleğin Uzaktan Tahsisi
CpMap 15 Belleğin Uzaktan Eşlemesi
CpWrite 16 Belleğe Uzaktan Yazma
CpWritePe 17 PE'yi Belleğe Uzaktan Yazma
CpOverwriteCode 18 Uzaktan Üzerine Yazma Kodu
CpUnmap 19 Belleğin Uzaktan Eşlemesinin Kaldırılması
CpThreadCreate 20 Uzaktan İş Parçacığı Oluşturma
CpThreadApc 21 Uzaktan Zamanlanmış APC
ZeroAllocate 22 Sıfır Tahsis
DyldInjection 23 YLD Ekleme
MaliciousPayload 24 Kötü Amaçlı Yük
Not:
Durum

Güvenlik Açıkları: Durum

None 0
İzin Verildi 1
Engellendi 2
Sonlandırıldı 3

Komut Dosyaları

Güvenlik açıklarının Eylem'de deşifre edilecek tek bir sayısal tabanlı kategorisi vardır.

İşlem

Komut Dosyaları: İşlem

None 0
İzin Verildi 1
Engellendi 2
Sonlandırıldı 3

Destek ile iletişime geçmek için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.
Çevrimiçi olarak teknik destek talebi oluşturmak için TechDirect adresine gidin.
Daha fazla faydalı bilgi ve kaynak için Dell Security Topluluk Forumu'na katılın.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.