Jakie są zdarzenia systemu Windows powiązane z wynikami oceny zabezpieczeń

Dotyczy produktów:

• Dell Trusted Device

Dotyczy platform:

• OptiPlex
• Latitude
• Stacje robocze Precision
• XPS

Spis treści:

• Zdarzenia systemu Windows powiązane z wynikami oceny zabezpieczeń
  • Ocena bezpieczeństwa
  • Weryfikacja systemu BIOS
  • Oznaki ataku
  • Weryfikacja ME
• Atrybuty systemu BIOS używane w IoAs

Zdarzenia systemu Windows powiązane z wynikami oceny zabezpieczeń

Szczegóły zdarzeń w systemie Windows

W poniższej sekcji przedstawiono kilka odpowiednich przykładów dzienników zdarzeń systemu Windows:

• Ocena bezpieczeństwa
• Weryfikacja systemu BIOS
• Oznaki ataku
• Weryfikacja ME

Powrót do góry

Ocena bezpieczeństwa

Wtyczka Wynik zabezpieczeń generuje zdarzenie przy każdym odświeżeniu oceny wyniku zabezpieczeń. Zdarzenia oceny wyniku zabezpieczeń zapisywane w dzienniku zdarzeń aplikacji Dell mają źródło o nazwie Zaufane urządzenie | Ocena zabezpieczeń.

Zdarzenia

Poniżej przedstawiono przykłady zdarzeń wygenerowanych na potrzeby ocen wyniku zabezpieczeń.

Wynik: POWODZENIE (przykład)

Event ID: 13
Level: Informational
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 2:56:08 PM.
Result: PASSED

Score: 100

Risk Areas Scanned:
(Passed: 7, Warning: 0, Fail: 0)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: PASS
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: PASS
- TPM enabled: PASS

Wynik: PASSED, z ostrzeżeniami (przykład)

Event ID: 14
Level: Warning
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 2:56:08 PM.
Result: PASSED, with warnings

Score: 100

Risk Areas Scanned:
(Passed: 6, Warning: 1, Fail: 0)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: WARNING
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: PASS
- TPM enabled: PASS

Wynik: Niepowodzenie (przykład).

Event ID: 15
Level: Error
Dell Trusted Device has completed a security scan of the system with service tag xxxxxxx at 9/28/2020 5:05:22 PM.
Result: FAILED
 
Score: 71
 
Risk Areas Scanned:
(Passed: 4, Warning: 1, Fail: 2)
- Antivirus solution detected and enabled: PASS
- BIOS Admin Password set: PASS
- BIOS Verification: PASS
- Disk Encryption: WARNING
- Firewall solution detected and enabled: PASS
- Indicators of Attack detected: FAIL
- TPM enabled: FAIL

Powrót do góry

Weryfikacja systemu BIOS

Jeśli weryfikacja systemu BIOS zakończy się pomyślnie, w dzienniku zdarzeń aplikacji Dell zapisywany jest wpis na poziomie informacji opisujący wynik. Jeśli przetwarzanie weryfikacji systemu BIOS nie może zostać ukończone z jakiegokolwiek powodu, w dzienniku zdarzeń systemu Windows zapisywany jest wpis poziomu błędu (lub ostrzeżenia) opisujący awarię. Wpis zapisany w dzienniku zdarzeń systemu Windows ma źródło o nazwie Dell Trusted Device | Weryfikacja systemu Intel BIOS.

Zdarzenia

Identyfikator zdarzenia 4 wskazuje następujące typy błędów:

Weryfikacja nie powiodła się

BIOS Verification failed and have a Fail evaluation.
Event ID: 4
Level: Error

BIOS Verification : 1 (Failed Result)
[Displays the complete Json Payload.]

Wykrywanie manipulacji:

BIOS Verification failed and have a tampering detected error
Event ID: 4
Level: Error
BIOS Verification : 2 (Tampered Result)
[Displays the complete Json Payload.]

Identyfikator zdarzenia 2 wskazuje następujące typy błędów:

Błąd sterownika

BIOS Verification failed and have a driver error.
Event ID: 2
Level: Error
BIOS Verification : 8 (Driver Error).
See log file for more information

Błąd połączenia z siecią

BIOS Verification failed and have a network connection error
Event ID: 2
Level: Error
BIOS Verification : 13 (Network Connectivity Error)
See log file for more information

Platforma nieobsługiwana

BIOS Verification failed and have a platform unsupported error
Event ID: 2
Level: Error
BIOS Verification : 11 (Platform Not Currently Supported)
See log file for more information

Unknown Error

BIOS Verification failed and have an unknown error
Event ID: 2
Level: Error

BIOS Verification : 3 (Unknown Error).
See log file for more information

Wewnętrzny błąd serwera

BIOS Verification failed and have an internal error
Event ID: 2
Level: Error
BIOS Verification : 6 (Internal Error).
See log file for more information

Błąd nieprawidłowych danych systemu BIOS

BIOS Verification failed and have an invalid bios data error
Event ID: 2
Level: Error
BIOS Verification : 9 (Invalid BIOS Data Error).
See log file for more information

Powrót do góry

Oznaki ataku

Zdarzenia generowane przez wtyczkę Indicators of Attack (IoA) mają na celu raportowanie zmian stanu w łańcuchach zagrożeń IoA.

• Zdarzenia IoA zapisywane w dzienniku zdarzeń systemu Windows mają źródło o nazwie Dell Trusted Device | Zdarzenia BIOS i IoA.
• Zdarzenia IoA zapisywane w dzienniku zdarzeń aplikacji Dell mają źródło o nazwie Trusted Device | Zdarzenia BIOS i IoA.

Zdarzenia

Wtyczka IoA generuje następujące zdarzenia. Mogą one mieć nieco zmienną zawartość, taką jak <<typ>> ataku i <<odpowiednie zmiany>> atrybutów, w zależności od danego łańcucha zagrożeń. Zmienna zawartość jest zastępowana rzeczywistą treścią podczas zapisywania zdarzenia.

Bieżące definicje identyfikatorów zdarzeń są powiązane z bieżącym stanem zagrożenia:

• 10 oznacza, że kryteria łańcucha nie zostały spełnione.
• 11 oznacza, że kryteria łańcucha osiągnęły poziom częściowego ataku.
• 12 oznacza, że kryteria łańcucha zostały w pełni spełnione.

Wykryto atak częściowy

When a partial attack is detected, the following event is written:
Event ID: 11
Level: Warning
A partial Indicator of Attack was detected (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Atak częściowy przeradza się w pełny atak:

When a partial attack escalates to a full attack, the following event is written:
Event ID: 12
Level: Error
A partial Indicator of Attack has escalated (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Częściowy atak wyczyszczony

When a partial attack is cleared, the following event is written:
Event ID: 10
Level: Information
A partial Indicator of Attack has been cleared (Category: <<Attack Type>>).

Pełny atak

When a threat chain goes from clear to detecting a full attack, the following event is written:
Event ID: 12
Level: Error
An Indicator of Attack was detected (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Pełny atak zredukowany do częściowego ataku

When a full attack is reduced to a partial attack, the following event is written:
Event ID: 11
Level: Warning
An Indicator of Attack has been reduced (Category: <<Attack Type>>) based on the following events:
<<Relevant Attribute Changes>>

Pełny atak oczyszczony

When a full attack is cleared, the following event is written:
Event ID: 10
Level: Information
An Indicator of Attack has been cleared (Category: <<Attack Type>>).

Powrót do góry

Weryfikacja ME

ME Verification obsługuje proces weryfikacji ME. Jeśli weryfikacja ME zakończy się pomyślnie, w dzienniku zdarzeń aplikacji Dell zapisywany jest wpis na poziomie informacji opisujący wynik. Jeśli przetwarzanie weryfikacji ME nie może zostać ukończone z jakiegokolwiek powodu, wpis poziomu błędu (lub ostrzeżenia) jest zapisywany zarówno w dzienniku zdarzeń systemu Windows, jak i w dzienniku zdarzeń aplikacji firmy Dell opisującym awarię:

• Wpis zapisany w dzienniku zdarzeń systemu Windows ma źródło o nazwie Dell Trusted Device | Weryfikacja Intel ME.
• Wpis zapisany w dzienniku zdarzeń aplikacji Dell ma źródło o nazwie Zaufane urządzenie | Weryfikacja Intel ME.

Zdarzenia

Wtyczka ME Verification generuje następujące zdarzenia:

Bieżące definicje identyfikatorów zdarzeń są powiązane z poziomem rejestrowania:

• 18 oznacza, że jest to typ Wpis informacyjny.
• 19 oznacza, że jest to wpis typu Ostrzeżenie.
• 20 oznacza, że jest to wpis typu Błąd.

Weryfikacja powiodła się

ME Verification succeeded and have a Pass evaluation
Event ID: 18
Level: Information
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result: PASSED

Weryfikacja nie powiodła się

ME Verification failed and have a Fail evaluation
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result: FAILED

Błąd sterownika

ME Verification failed and have a driver error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. A driver error has occurred

Błąd połączenia z siecią

ME Verification failed and have a network connection error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. A network connection error occurred

Platforma nieobsługiwana

ME Verification failed and have a platform unsupported error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. Platform not currently supported

Błąd wewnętrzny serwera

Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. An internal error occurred within the server

Wykrywanie manipulacji:

ME Verification failed and have a tampering detected error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. Tampering has been detected

Unknown Error

ME Verification failed and have an unknown error
Event ID: 20
Level: Error
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Error. An unknown error has occurred

Nieprawidłowy parametr

ME Verification issues a warning about invalid parameter
Event ID: 19
Level: Warning
Dell Trusted Device has completed an Intel ME Verification scan of the system with service tag G1CCLQ2 at 4/28/2021 2:56:08 PM.
Result:Warning. The parameter is invalid

Powrót do góry

Atrybuty systemu BIOS używane w IoAs

IoAs	Zrzut ekranu systemu BIOS
Bezpieczny rozruch
PróbaRozruch w trybie LegacyBoot
Lista startowa
UEFIBootPathSecurity
AutoOSThresholdRecovery
AllowBiosDowngrade
CapsuleFirmwareUpdate
BiosAutoOdzyskiwanie
Działanie TPMA
TPM,
TPMClear
TPMPpiClearOverride
Automatyczne włączanie
WakeOnLAN
RemoteWipeDyski wewnętrzne
USBWake
WakeOnDock
TPMRemoteAktywacja	Do ustalenia
AdminPwMinLen
PwdMinLen	Do ustalenia
StrongPassword
AdminSetupLockout
BIOSAdminPwd	Do ustalenia
ClearBIOSLog	Do ustalenia
Czyszczenie rejestru PowerLog	Do ustalenia
ClearThermalLog	Do ustalenia
ClearChassisIntrusionWarning
ClearDellRMTLog	Do ustalenia
Raportowanie naruszenia obudowy
Naruszenie obudowy	Nie dotyczy
Mikrofon

Powrót do góry

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

• Omówienie wyniku zabezpieczeń urządzeń Dell w konsoli TechDirect