Dell Endpoint Security Suite EnterpriseおよびThreat Defenseエンドポイントのステータスを分析する方法

Summary: これらの手順を使用して、Dell Endpoint Security Suite EnterpriseおよびDell Threat Defenseでエンドポイントのステータスを分析する方法について説明します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

注:
  • 2022年5月をもって、Dell Endpoint Security Suite Enterpriseはメンテナンス終了となりました。この製品およびこの製品に関する記事は、Dellでは今後アップデートされません。
  • 2022年5月をもって、Dell Threat Defenseはメンテナンス終了となりました。この製品およびこの製品に関する記事は、Dellでは今後アップデートされません。
  • 詳細については、「Dell Data Securityの製品ライフサイクル(サポート終了およびライフサイクル終了)」を参照してください。その他の記事に関する質問がある場合は、担当のセールス チームに連絡するか、またはendpointsecurity@dell.comにお問い合わせください。
  • 現在の製品に関する追加情報については、エンドポイント セキュリティページを参照してください。

Dell Endpoint Security Suite EnterpriseおよびDell Threat Defenseエンドポイントのステータスを特定のエンドポイントから取得して、脅威、悪用、スクリプトを詳細に確認することができます。

対象製品:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

影響を受けるプラットフォーム:

  • Windows
  • Mac
  • Linux

Dell Endpoint Security Suite EnterpriseまたはDell Threat Defense管理者は、個々のエンドポイントにアクセスして次の内容を確認できます。

  • マルウェアのコンテンツ
  • マルウェアの状態
  • マルウェアの種類

管理者は、Advanced Threat Prevention (ATP)エンジンがファイルを誤って分類した原因をトラブルシューティングする場合にのみ、これらの手順を実行する必要があります。詳細については、[ アクセス]または [確認 ]をクリックしてください。

アクセス

マルウェア情報へのアクセスは、WindowsmacOS、およびLinuxによって異なります。詳細については、適切なオペレーティング システムをクリックしてください。

Windows

デフォルトでは、Windowsは詳細なマルウェア情報を記録しません。

  1. Windowsの[スタート]メニューを右クリックして、[ファイル名を指定して実行]をクリックします。
    そのノードで
  2. [ファイル名を指定して実行]のUIで、 regedit をクリックし、Ctrl + Shift + Enter キーを押します。これにより、レジストリー エディターが管理者として実行されます。
    [ファイル名を指定して実行]UI
  3. レジストリー エディターで、次の場所に移動します。 HKEY_LOCAL_MACHINE\Software\Cylance\Desktopとなります。
  4. 左ペインで、[Desktop]を右クリックし、[Permissions]を選択します。
    権限
  5. 「Advanced(詳細設定)」をクリックします。
    高度
  6. Owner]をクリックします。
    [所有者]タブ
  7. Other users or groups]をクリックします。
    [他のユーザーまたはグループ]をクリックします。
  8. グループ内のアカウントを検索し、[OK]をクリックします。
    選択したアカウント
  9. 「OK」をクリックします。
    OK
  10. グループまたはユーザー名の[Full Control]がオンになっていることを確認し、[OK]をクリックします。
    [フル コントロール]が選択されているかどうかの確認
    注:この例では、DDP_Admin(ステップ8)はユーザー グループのメンバーです。
  11. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktopをクリックし、[ デスクトップ ] フォルダーを右クリックし、[ 新規] を選択して、[ DWORD (32 ビット) 値] をクリックします。
    新規DWORD
  12. DWORDに名前を付ける StatusFileEnabledとなります。
    [StatusFileEnabled]
  13. ダブルクリック StatusFileEnabledとなります。
    DWORDの編集
  14. [Value data]に次を入力します。 1 と入力して[OK]を押します。
    更新されたDWORD
  15. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktopをクリックし、[ デスクトップ ] フォルダーを右クリックし、[ 新規] を選択して、[ DWORD (32 ビット) 値] をクリックします。
    新規DWORD
  16. DWORDに名前を付ける StatusFileTypeとなります。
    [StatusFileType]
  17. ダブルクリック StatusFileTypeとなります。
    DWORDの編集
  18. [Value data]に次のいずれかを入力します。 0 または 1となります。[Value data]に入力したら、[OK]を押します。
    更新されたDWORD
    注:[Value data]の入力値:
    • 0 = JSONファイル形式
    • 1 = XML 形式
  19. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktopをクリックし、[ デスクトップ ] フォルダーを右クリックし、[ 新規] を選択して、[ DWORD (32 ビット) 値] をクリックします。
    新規DWORD
  20. DWORDに名前を付ける StatusPeriodとなります。
    [StatusPeriod]
  21. ダブルクリック StatusPeriodとなります。
    DWORDの編集
  22. [Value data]に次の番号を入力します。 15 の出力を 60 と入力し、[OK]をクリックします。
    更新されたDWORD
    注:StatusPeriod は、ファイルが書き込まれる頻度です。
    15 = 15秒間隔
    60 = 60秒間隔
  23. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktopをクリックし、[ デスクトップ ] フォルダーを右クリックして [新規作成] を選択し、[ String Valueとなります。
    新規文字列
  24. 文字列に名前を付けます StatusFilePathとなります。
    [StatusFilePath]
  25. StatusFilePath]をダブルクリックします。
    [Edit String]
  26. Value data]にステータス ファイルを書き込む場所を入力し、[OK]をクリックします。
    編集された文字列
    注:
    • デフォルト パス: <CommonAppData>\Cylance\Status\Status.json
    • パスの例: C:\ProgramData\Cylance
    • .json(JavaScript Object Notation)ファイルは、ASCIIテキスト ドキュメント エディターで開くことができます。

macOS

詳細なマルウェア情報は、 Status.json ファイルは次の場所にあります。

/Library/Application Support/Cylance/Desktop/Status.json
注:.json(JavaScript Object Notation)ファイルは、ASCIIテキスト ドキュメント エディターで開くことができます。

Linux

詳細なマルウェア情報は、 Status.json ファイルは次の場所にあります。

/opt/cylance/desktop/Status.json
注:.json(JavaScript Object Notation)ファイルは、ASCIIテキスト ドキュメント エディターで開くことができます。

確認

ステータス ファイルのコンテンツには、ThreatsExploits、およびScriptsなど、複数のカテゴリーに関する詳細情報が含まれています。該当する情報をクリックすると、詳細が表示されます。

ディレクトリーを削除します。

ステータス ファイルのコンテンツ:

snapshot_time ステータス情報が収集された日付と時刻。日付と時刻はデバイスに対してローカルです。
ProductInfo
  • versionが使用するJava Runtime Environmentへのパスを定義します。デバイス上のAdvanced Threat Preventionエージェントのバージョン
  • last_communicated_timestampが使用するJava Runtime Environmentへのパスを定義します。エージェントのアップデートを最後に確認した日付と時刻
  • serial_numberが使用するJava Runtime Environmentへのパスを定義します。エージェントの登録に使用されるインストール トークン
  • device_nameが使用するJava Runtime Environmentへのパスを定義します。エージェントがインストールされているデバイスの名前
Policy
  • typeが使用するJava Runtime Environmentへのパスを定義します。エージェントがオンラインかオフラインかのステータス
  • idが使用するJava Runtime Environmentへのパスを定義します。ポリシーの一意の識別子
  • nameが使用するJava Runtime Environmentへのパスを定義します。ポリシー名
ScanState
  • last_background_scan_timestampが使用するJava Runtime Environmentへのパスを定義します。最後のバックグラウンド脅威検出スキャンの日付と時刻
  • drives_scannedが使用するJava Runtime Environmentへのパスを定義します。スキャンされたドライブ文字のリスト
Threats
  • countが使用するJava Runtime Environmentへのパスを定義します。検出された脅威の数
  • maxが使用するJava Runtime Environmentへのパスを定義します。ステータス ファイル内の脅威の最大数
  • 脅威
    • file_hash_idが使用するJava Runtime Environmentへのパスを定義します。脅威のSHA256ハッシュ情報を表示します
    • file_md5が使用するJava Runtime Environmentへのパスを定義します。MD5 ハッシュ
    • file_pathが使用するJava Runtime Environmentへのパスを定義します。脅威が検出されたパス。ファイル名を含みます
    • is_runningが使用するJava Runtime Environmentへのパスを定義します。脅威が現在デバイスで実行されているかどうか。True または False
    • auto_runが使用するJava Runtime Environmentへのパスを定義します。脅威ファイルが自動的に実行されるように設定されているかどうか。True または False
    • file_statusが使用するJava Runtime Environmentへのパスを定義します。脅威の現在の状態(許可、実行中、または隔離など)を表示します。Threats:FileStateテーブル
    • file_typeが使用するJava Runtime Environmentへのパスを定義します。Portable Executable (PE)、アーカイブ、PDF などのファイルのタイプを表示します。Threats:ファイル タイプテーブル
    • scoreが使用するJava Runtime Environmentへのパスを定義します。Cylanceスコアを表示します。ステータス ファイルに表示されるスコアの範囲は1000~-1000です。コンソールでは、範囲は100から-100です
    • file_sizeが使用するJava Runtime Environmentへのパスを定義します。ファイル サイズをバイト単位で表示します
Exploits
  • countが使用するJava Runtime Environmentへのパスを定義します。検出された悪用の数
  • maxが使用するJava Runtime Environmentへのパスを定義します。ステータス ファイル内の悪用の最大数
  • Exploit
    • ProcessIdが使用するJava Runtime Environmentへのパスを定義します。メモリー保護によって識別されたアプリケーションのプロセスIDを表示します
    • ImagePathが使用するJava Runtime Environmentへのパスを定義します。悪用が発生したパス。ファイル名を含みます
    • ImageHashが使用するJava Runtime Environmentへのパスを定義します。悪用のSHA256ハッシュ情報を表示します
    • FileVersionが使用するJava Runtime Environmentへのパスを定義します。悪用ファイルのバージョン番号を表示します
    • Usernameが使用するJava Runtime Environmentへのパスを定義します。悪用が発生したときにデバイスにログインしていたユーザーの名前を表示します
    • Groupsが使用するJava Runtime Environmentへのパスを定義します。ログイン ユーザーが関連付けられているグループを表示します
    • Sidが使用するJava Runtime Environmentへのパスを定義します。ログインしているユーザーのセキュリティ識別子(SID)
    • ItemTypeが使用するJava Runtime Environmentへのパスを定義します。違反タイプに関連する悪用タイプを表示します
    注:
    • 都道府県/州:悪用の現在の状態(許可、ブロック、終了など)を表示します。
    注:エクスプロイトを参照してください: Stateテーブルを参照してください。
    • MemDefVersionが使用するJava Runtime Environmentへのパスを定義します。悪用を識別するために使用されるメモリ保護のバージョン (通常はエージェントのバージョン番号)
    • Countが使用するJava Runtime Environmentへのパスを定義します。悪用の実行が試行された回数
Scripts
  • countが使用するJava Runtime Environmentへのパスを定義します。デバイス上で実行されるスクリプトの数
  • maxが使用するJava Runtime Environmentへのパスを定義します。ステータス ファイル内のスクリプトの最大数
  • スクリプト
    • script_pathが使用するJava Runtime Environmentへのパスを定義します。スクリプトが発生したパス。ファイル名を含みます
    • file_hash_idが使用するJava Runtime Environmentへのパスを定義します。スクリプトのSHA256ハッシュ情報を表示します
    • file_md5が使用するJava Runtime Environmentへのパスを定義します。スクリプトのMD5ハッシュ情報を表示します(利用可能な場合)
    • file_sha1が使用するJava Runtime Environmentへのパスを定義します。スクリプトのSHA1ハッシュ情報を表示します(利用可能な場合)
    • drive_typeが使用するJava Runtime Environmentへのパスを定義します。スクリプトが発生したドライブのタイプを識別します(例:Fixed)。
    • last_modifiedが使用するJava Runtime Environmentへのパスを定義します。スクリプトが最後に変更された日時
    • interpreterが使用するJava Runtime Environmentへのパスを定義します。
      • nameが使用するJava Runtime Environmentへのパスを定義します。悪意のあるスクリプトを識別したスクリプト制御機能の名前
      • versionが使用するJava Runtime Environmentへのパスを定義します。スクリプト制御機能のバージョン番号
    • usernameが使用するJava Runtime Environmentへのパスを定義します。スクリプトの起動時にデバイスにログインしたユーザーの名前が表示されます
    • groupsが使用するJava Runtime Environmentへのパスを定義します。ログイン ユーザーが関連付けられているグループを表示します
    • sidが使用するJava Runtime Environmentへのパスを定義します。ログインしているユーザーのセキュリティ識別子(SID)
    • actionが使用するJava Runtime Environmentへのパスを定義します。スクリプトで実行されたアクション(許可、ブロック、終了など)を表示します。Scripts:アクションテーブル

Threats

脅威には、 File_StatusFileStateFileTypeで解読される複数の数値ベースのカテゴリーがあります。割り当てる値の適切なカテゴリーを参照します。

File_Status

File_Status フィールドは、FileState によって有効にされる値に基づいて計算された 10 進値です ( FileState セクションの表を参照)。たとえば、[file_status]が10進値9の場合、脅威(0x01)として識別されているファイルから計算されており、ファイルは隔離(0x08)されている状態です。

file_statusおよびfile_type

FileState

Threats:FileState

なし 0x00
脅威 0x01
不審 0x02
許可 0x04
隔離 0x08
実行中 0x10
破損 0x20
Filetype

Threats:Filetype

サポート対象外 0
PE 1
アーカイブ 2
PDF 3
OLE 4

Exploits

には、ItemType>およびState>の両方に判読用の2つの数値ベースのカテゴリーがあります。

ItemTypeおよびstate

割り当てる値の適切なカテゴリーを参照します。

Itemtype

Exploits:Itemtype

StackPivot 1 スタック ピボット
StackProtect 2 スタック保護
OverwriteCode 3 コードを上書き
OopAllocate 4 メモリーのリモート割り当て
OopMap 5 メモリーのリモート マッピング
OopWrite 6 メモリーへのリモート書き込み
OopWritePe 7 メモリーへのリモート書き込みPE
OopOverwriteCode 8 リモート上書きコード
OopUnmap 9 メモリーのリモート マッピング解除
OopThreadCreate 10 リモート スレッドの作成
OopThreadApc 11 スケジュールされたリモートAPC
LsassRead 12 LSASS読み取り
TrackDataRead 13 RAMスクレイピング
CpAllocate 14 メモリーのリモート割り当て
CpMap 15 メモリーのリモート マッピング
CpWrite 16 メモリーへのリモート書き込み
CpWritePe 17 メモリーへのリモート書き込みPE
CpOverwriteCode 18 リモート上書きコード
CpUnmap 19 メモリーのリモート マッピング解除
CpThreadCreate 20 リモート スレッドの作成
CpThreadApc 21 スケジュールされたリモートAPC
ZeroAllocate 22 ゼロ割り当て
DyldInjection 23 DYLDインジェクション
MaliciousPayload 24 悪意のあるペイロード
注:
状態

Exploits:状態

なし 0
許可 1
ブロック済み 2
終了 3

スクリプト

[Exploits]には、[Action]で解読される単一の数値ベースのカテゴリーがあります。

動作

Scripts:動作

なし 0
許可 1
ブロック済み 2
終了 3

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.