Quels sont les événements Windows associés aux résultats du score de sécurité ?

Produits concernés :

• Dell Trusted Device

Plates-formes concernées :

• OptiPlex
• Latitude
• Stations de travail Precision
• XPS

Sommaire :

• Événements Windows associés aux résultats du score de sécurité
  • Score de sécurité
  • Vérification du BIOS
  • Indicateurs d’attaque
  • Vérification ME
• Attributs du BIOS utilisés dans IoAs

Événements Windows associés aux résultats du score de sécurité

Détails des événements Windows

Dans la section ci-dessous, vous trouverez quelques exemples pertinents de journaux d’événements Windows :

• Score de sécurité
• Vérification du BIOS
• Indicateurs d’attaque
• Vérification ME

Retour au début

Score de sécurité

Le plugin Security Score génère un événement chaque fois que Security Score Assessment est actualisé. Les événements Security Score Assessment écrits dans le journal des événements des applications Dell ont une source nommée Trusted Device | Évaluation de la sécurité.

Épreuves

Vous trouverez ci-dessous des exemples d’événements générés pour les évaluations du score de sécurité.

Résultat : PASSED (exemple)

Event ID: 13
Level: Informational
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 2:56:08 PM.
Result: PASSED

Score: 100

Risk Areas Scanned:
(Passed: 7, Warning: 0, Fail: 0)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: PASS
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: PASS
- TPM enabled: PASS

Résultat : PASSED, avec des avertissements (exemple)

Event ID: 14
Level: Warning
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 2:56:08 PM.
Result: PASSED, with warnings

Score: 100

Risk Areas Scanned:
(Passed: 6, Warning: 1, Fail: 0)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: WARNING
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: PASS
- TPM enabled: PASS

Résultat : Échec (exemple).

Event ID: 15
Level: Error
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 5:05:22 PM.
Result: FAILED
 
Score: 71
 
Risk Areas Scanned:
(Passed: 4, Warning: 1, Fail: 2)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: WARNING
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: FAIL
- TPM enabled: FAIL

Retour au début

Vérification du BIOS

Si BIOS Verification se termine et réussit, une entrée de niveau info est écrite dans le journal des événements des applications Dell pour décrire le résultat. Si le traitement de BIOS Verification ne peut pas être terminé pour quelque raison que ce soit, une entrée de niveau erreur (ou avertissement) est écrite dans le journal des événements du système Windows décrivant l’échec. Une entrée écrite dans le journal des événements système Windows a une source nommée Dell Trusted Device | Vérification du BIOS Intel.

Épreuves

L’ID d’événement 4 indique les types d’erreurs ci-dessous :

Échec de la vérification

BIOS Verification failed and have a Fail evaluation.
Event ID: 4
Level: Error

BIOS Verification : 1 (Failed Result)
[Displays the complete Json Payload.]

Détecter les altérations :

BIOS Verification failed and have a tampering detected error
Event ID: 4
Level: Error
BIOS Verification : 2 (Tampered Result)
[Displays the complete Json Payload.]

L’ID d’événement 2 indique les types d’erreurs ci-dessous :

Erreur de pilote

BIOS Verification failed and have a driver error.
Event ID: 2
Level: Error
BIOS Verification : 8 (Driver Error).
See log file for more information

Erreur de connexion réseau

BIOS Verification failed and have a network connection error
Event ID: 2
Level: Error
BIOS Verification : 13 (Network Connectivity Error)
See log file for more information

Plate-forme non prise en charge

BIOS Verification failed and have a platform unsupported error
Event ID: 2
Level: Error
BIOS Verification : 11 (Platform Not Currently Supported)
See log file for more information

Unknown Error

BIOS Verification failed and have an unknown error
Event ID: 2
Level: Error

BIOS Verification : 3 (Unknown Error).
See log file for more information

Erreur de serveur interne

BIOS Verification failed and have an internal error
Event ID: 2
Level: Error
BIOS Verification : 6 (Internal Error).
See log file for more information

Erreur de données du BIOS non valides

BIOS Verification failed and have an invalid bios data error
Event ID: 2
Level: Error
BIOS Verification : 9 (Invalid BIOS Data Error).
See log file for more information

Retour au début

Indicateurs d’attaque

Les événements générés par le plugin Indicateurs d’attaque (IoA) sont destinés à signaler les changements d’état dans les chaînes de menaces IoA.

• Les événements IoA écrits dans le journal des événements système Windows ont une source nommée Dell Trusted Device | Événements du BIOS et IoA.
• Les événements IoA écrits dans le journal des événements de l’application Dell ont une source nommée Trusted Device | Événements du BIOS et IoA.

Épreuves

Le plug-in IoA génère les événements suivants. Ceux-ci peuvent avoir un contenu légèrement variable, tel que le <<type>> d’attaque et <<les modifications d’attributs pertinentes>>, en fonction de la chaîne de menaces impliquée. Le contenu variable est remplacé par le contenu réel lors de l’écriture de l’événement.

Les définitions d’ID d’événement actuel sont liées à l’état actuel de la menace :

• 10 indique que les critères de chaîne n’ont pas été remplis.
• 11 indique que les critères de chaîne ont atteint le niveau d’une attaque partielle.
• 12 indique que les critères de chaîne ont été entièrement remplis.

Attaque partielle détectée

When a partial attack is detected, the following event is written:
Event ID: 11
Level: Warning
A partial Indicator of Attack was detected (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Une attaque partielle se transforme en attaque totale :

When a partial attack escalates to a full attack, the following event is written:
Event ID: 12
Level: Error
A partial Indicator of Attack has escalated (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Attaque partielle effacée

When a partial attack is cleared, the following event is written:
Event ID: 10
Level: Information
A partial Indicator of Attack has been cleared (Category: <<Attack Type>>).

Attaque complète

When a threat chain goes from clear to detecting a full attack, the following event is written:
Event ID: 12
Level: Error
An Indicator of Attack was detected (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Attaque complète réduite à Attaque partielle

When a full attack is reduced to a partial attack, the following event is written:
Event ID: 11
Level: Warning
An Indicator of Attack has been reduced (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Attaque complète effacée

When a full attack is cleared, the following event is written:
Event ID: 10
Level: Information
An Indicator of Attack has been cleared (Category: <<Attack Type>>).

Retour au début

Vérification ME

ME Verification gère le processus de vérification ME. Si ME Verification se termine et réussit, une entrée de niveau info est écrite dans le journal des événements des applications Dell pour décrire le résultat. Si le traitement de ME Verification ne peut pas être terminé pour quelque raison que ce soit, une entrée de niveau erreur (ou avertissement) est écrite à la fois dans le journal des événements du système Windows et dans le journal des événements des applications Dell décrivant la défaillance :

• Une entrée écrite dans le journal des événements système Windows a une source nommée Dell Trusted Device | Vérification Intel ME.
• Une entrée écrite dans le journal des événements de l’application Dell a une source nommée Trusted Device | Vérification Intel ME.

Épreuves

Le plugin ME Verification génère les événements suivants :

Les définitions d’ID d’événement actuel sont liées au niveau de journalisation :

• 18 indique qu’il s’agit d’un type de saisie d’information.
• 19 indique qu’il s’agit d’une entrée de type Avertissement.
• 20 indique qu’il s’agit d’une entrée de type Erreur.

Vérification réussie

ME Verification succeeded and have a Pass evaluation
Event ID: 18
Level: Information
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result: PASSED

Échec de la vérification

ME Verification failed and have a Fail evaluation
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result: FAILED

Erreur de pilote

ME Verification failed and have a driver error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. A driver error has occurred

Erreur de connexion réseau

ME Verification failed and have a network connection error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. A network connection error occurred

Plate-forme non prise en charge

ME Verification failed and have a platform unsupported error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. Platform not currently supported

Erreur interne du serveur

Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. An internal error occurred within the server

Détecter les altérations :

ME Verification failed and have a tampering detected error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. Tampering has been detected

Unknown Error

ME Verification failed and have an unknown error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. An unknown error has occurred

Paramètre non valide

ME Verification issues a warning about invalid parameter
Event ID: 19
Level: Warning
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Warning. The parameter is invalid

Retour au début

Attributs du BIOS utilisés dans IoAs

IoAs	Capture d’écran BIOS
Démarrage sécurisé
AttemptLegacyBoot
Liste de démarrage
UEFIBootPathSecurity
AutoOSThresholdRecovery
AllowBiosDowngrad
Mise à jour du firmware de capsule
Récupération automatique du BIOS
TPMActivation
TPM
TPMClear
TPMPpiClearOverride
Activation automatique
WakeOnLan
RemoteWipeInternalDrives
USBWake
WakeOnDock
TPMRemoteActivation	À déterminer
AdminPwMinLen
PwdMinLen	À déterminer
StrongPassword
AdminSetupLockout
BIOSAdminPwd	À déterminer
ClearBIOSLog	À déterminer
Effacer le journal d’alimentation	À déterminer
Effacer le journal thermique	À déterminer
ClearChassisIntrusionWarning
ClearDellRMTLog	À déterminer
ChassisIntrusionReporting
ChassisIntrusion	Sans objet
Microphone

Retour au début

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

• Présentation du score de sécurité de Dell Trusted Device dans la console TechDirect