Quali sono gli eventi di Windows associati ai risultati del punteggio di sicurezza

Prodotti interessati:

• Dell Trusted Device

Piattaforme interessate:

• OptiPlex
• Latitude
• Workstation Precision
• XPS

Sommario:

• Eventi di Windows associati ai risultati del punteggio di sicurezza
  • Punteggio di sicurezza
  • Verifica del BIOS
  • Indicatori di attacco
  • Verifica ME
• Attributi del BIOS utilizzati in IoAs

Eventi di Windows associati ai risultati del punteggio di sicurezza

Dettagli sugli eventi di Windows

Nella sezione riportata di seguito vengono illustrati alcuni esempi pertinenti del registro eventi di Windows:

• Punteggio di sicurezza
• Verifica del BIOS
• Indicatori di attacco
• Verifica ME

Torna all'inizio

Punteggio di sicurezza

Il plug-in Security Score genera un evento ogni volta che viene aggiornata la valutazione del punteggio di sicurezza. Gli eventi Security Score Assessment scritti nel registro eventi dell'applicazione Dell hanno un'origine denominata Trusted Device | Valutazione della sicurezza.

Avvenimenti

Di seguito sono riportati alcuni esempi di eventi generati per le valutazioni del punteggio di sicurezza.

Risultato: SUPERATO (esempio)

Event ID: 13
Level: Informational
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 2:56:08 PM.
Result: PASSED

Score: 100

Risk Areas Scanned:
(Passed: 7, Warning: 0, Fail: 0)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: PASS
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: PASS
- TPM enabled: PASS

Risultato: SUPERATO, con avvisi (esempio)

Event ID: 14
Level: Warning
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 2:56:08 PM.
Result: PASSED, with warnings

Score: 100

Risk Areas Scanned:
(Passed: 6, Warning: 1, Fail: 0)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: WARNING
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: PASS
- TPM enabled: PASS

Risultato: Esito negativo (esempio).

Event ID: 15
Level: Error
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 5:05:22 PM.
Result: FAILED
 
Score: 71
 
Risk Areas Scanned:
(Passed: 4, Warning: 1, Fail: 2)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: WARNING
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: FAIL
- TPM enabled: FAIL

Torna all'inizio

Verifica del BIOS

Se BIOS Verification viene completata e ha esito positivo, nel registro eventi delle applicazioni Dell viene scritta una voce a livello di informazioni che descrive il risultato. Se l'elaborazione di BIOS Verification non può essere completata per qualsiasi motivo, nel registro eventi di sistema di Windows viene scritta una voce a livello di errore (o di avvertenza) che descrive l'errore. Una voce scritta nel registro eventi di sistema di Windows ha un'origine denominata Dell Trusted Device | Verifica del BIOS Intel.

Avvenimenti

L'ID evento 4 indica i tipi di errore riportati di seguito:

Verifica non riuscita

BIOS Verification failed and have a Fail evaluation.
Event ID: 4
Level: Error

BIOS Verification : 1 (Failed Result)
[Displays the complete Json Payload.]

Rilevamento di manomissioni:

BIOS Verification failed and have a tampering detected error
Event ID: 4
Level: Error
BIOS Verification : 2 (Tampered Result)
[Displays the complete Json Payload.]

L'ID evento 2 indica i seguenti tipi di errore:

Errore del driver

BIOS Verification failed and have a driver error.
Event ID: 2
Level: Error
BIOS Verification : 8 (Driver Error).
See log file for more information

Errore connessione di rete

BIOS Verification failed and have a network connection error
Event ID: 2
Level: Error
BIOS Verification : 13 (Network Connectivity Error)
See log file for more information

Piattaforma non supportata

BIOS Verification failed and have a platform unsupported error
Event ID: 2
Level: Error
BIOS Verification : 11 (Platform Not Currently Supported)
See log file for more information

Unknown Error

BIOS Verification failed and have an unknown error
Event ID: 2
Level: Error

BIOS Verification : 3 (Unknown Error).
See log file for more information

Errore interno del server

BIOS Verification failed and have an internal error
Event ID: 2
Level: Error
BIOS Verification : 6 (Internal Error).
See log file for more information

Errore dei dati del BIOS non validi

BIOS Verification failed and have an invalid bios data error
Event ID: 2
Level: Error
BIOS Verification : 9 (Invalid BIOS Data Error).
See log file for more information

Torna all'inizio

Indicatori di attacco

Gli eventi generati dal plug-in Indicators of Attack (IoA) hanno lo scopo di segnalare cambiamenti di stato nelle catene di minacce IoA.

• Gli eventi IoA scritti nel registro eventi di sistema di Windows hanno un'origine denominata Dell Trusted Device | Eventi del BIOS e IoA.
• Gli eventi IoA scritti nel registro eventi dell'applicazione Dell hanno un'origine denominata Trusted Device | Eventi del BIOS e IoA.

Avvenimenti

Il plug-in IoA genera i seguenti eventi. Questi possono avere contenuti leggermente variabili, come <<il tipo di>> attacco e <<le modifiche>> agli attributi rilevanti, a seconda della catena di minacce coinvolta. Il contenuto variabile viene sostituito con il contenuto effettivo quando viene scritto l'evento.

Le definizioni degli ID evento correnti sono legate allo stato corrente della minaccia:

• 10 indica che i criteri della catena non sono stati soddisfatti.
• 11 indica che i criteri della catena hanno raggiunto il livello per un attacco parziale.
• 12 indica che i criteri della catena sono stati pienamente soddisfatti.

Rilevato attacco parziale

When a partial attack is detected, the following event is written:
Event ID: 11
Level: Warning
A partial Indicator of Attack was detected (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

L'attacco parziale si trasforma in attacco completo:

When a partial attack escalates to a full attack, the following event is written:
Event ID: 12
Level: Error
A partial Indicator of Attack has escalated (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Attacco parziale cancellato

When a partial attack is cleared, the following event is written:
Event ID: 10
Level: Information
A partial Indicator of Attack has been cleared (Category: <<Attack Type>>).

Attacco completo

When a threat chain goes from clear to detecting a full attack, the following event is written:
Event ID: 12
Level: Error
An Indicator of Attack was detected (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Attacco completo ridotto ad attacco parziale

When a full attack is reduced to a partial attack, the following event is written:
Event ID: 11
Level: Warning
An Indicator of Attack has been reduced (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Attacco completo eliminato

When a full attack is cleared, the following event is written:
Event ID: 10
Level: Information
An Indicator of Attack has been cleared (Category: <<Attack Type>>).

Torna all'inizio

Verifica ME

ME Verification gestisce il processo di verifica ME. Se la verifica ME viene completata e ha esito positivo, nel registro eventi delle applicazioni Dell viene scritta una voce a livello di informazioni che descrive il risultato. Se per qualsiasi motivo non è possibile completare l'elaborazione della verifica ME, viene scritta una voce a livello di errore (o di avvertenza) sia nel registro eventi di sistema di Windows che nel registro eventi delle applicazioni Dell che descrive l'errore:

• Una voce scritta nel registro eventi di sistema di Windows ha un'origine denominata Dell Trusted Device | Verifica di Intel ME.
• Una voce scritta nel registro eventi dell'applicazione Dell ha un'origine denominata Trusted Device | Verifica di Intel ME.

Avvenimenti

Il plug-in di verifica ME genera i seguenti eventi:

Le definizioni degli ID evento correnti sono legate al livello di registrazione:

• 18 indica che si tratta di un tipo di voce Informazioni.
• 19 indica che si tratta di un tipo di voce Warning.
• 20 indica che si tratta di un tipo di voce Error.

Verifica riuscita

ME Verification succeeded and have a Pass evaluation
Event ID: 18
Level: Information
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result: PASSED

Verifica non riuscita

ME Verification failed and have a Fail evaluation
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result: FAILED

Errore del driver

ME Verification failed and have a driver error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. A driver error has occurred

Errore connessione di rete

ME Verification failed and have a network connection error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. A network connection error occurred

Piattaforma non supportata

ME Verification failed and have a platform unsupported error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. Platform not currently supported

Errore interno del server

Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. An internal error occurred within the server

Rilevamento di manomissioni:

ME Verification failed and have a tampering detected error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. Tampering has been detected

Unknown Error

ME Verification failed and have an unknown error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. An unknown error has occurred

Parametro non valido

ME Verification issues a warning about invalid parameter
Event ID: 19
Level: Warning
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Warning. The parameter is invalid

Torna all'inizio

Attributi del BIOS utilizzati in IoAs

IoAs	Screenshot del BIOS
Avvio protetto
AttemptLegacyBoot
Elenco di avvio
UEFIBootPathSecurity
AutoOSThresholdRecovery
AllowBiosDowngrade
Aggiornamento Capsule Firmware
BIOSAUTORecovery
TPMActivazione
TPM
TPMClear
TPMPpiClearOverride
Accensione automatica
WakeOnLan
RemoteWipeInternalDrives
USBWake
WakeOnDock
TPMRemoteActivation	TBD
AdminPwMinLen
PwdMinLen	TBD
StrongPassword
AdminSetupLockout
BIOSAdminPwd	TBD
ClearBIOSLog	TBD
ClearPowerLog	TBD
ClearThermalLog	TBD
ClearChassisIntrusionWarning
ClearDellRMTLog	TBD
Segnalazione sulle intrusioni dello chassis
Intrusione nello chassis	N/D
Microfono

Torna all'inizio

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

• Panoramica del punteggio di sicurezza di Dell Trusted Device nella console TechDirect