Dell Endpoint Security Suite Enterprisen ja Threat Defensen päätepisteen tilan analysointi (englanninkielinen)

Summary: Lisätietoja päätepisteiden tilojen analysoinnista Dell Endpoint Security Suite Enterprisessa ja Dell Threat Defensessa näiden ohjeiden avulla.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Huomautus:

Dell Endpoint Security Suite Enterprise- ja Dell Threat Defense -päätepisteiden tilat voidaan hakea tietystä päätepisteestä uhkien, hyväksikäyttöjen ja komentosarjojen perusteellista tarkastelua varten.

Tuotteet, joita asia koskee:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Ympäristöt, joita tämä koskee:

  • Windows
  • Mac
  • Linux

Dell Endpoint Security Suite Enterprise- tai Dell Threat Defense -järjestelmänvalvojat voivat käyttää yksittäistä päätepistettä tarkistaakseen seuraavat:

  • haittaohjelman sisältö
  • haittaohjelman tila
  • haittaohjelman tyyppi.

Järjestelmänvalvojan tulisi suorittaa nämä vaiheet vain suorittaessaan vianmääritystä, miksi Advanced Threat Prevention (ATP) -moduuli luokitteli tiedoston väärin. Katso lisätietoja valitsemalla Access tai Review .

Access

Saatavilla olevat haittaohjelmatiedot vaihtelevat Windowsin, macOS:n ja Linuxinvälillä. Katso lisätietoja valitsemalla asianmukainen käyttöjärjestelmä.

Windows

Windows ei oletusarvoisesti tallenna kattavia haittaohjelmatietoja.

  1. Napsauta Windowsin Käynnistä-valikkoa hiiren kakkospainikkeella ja valitse Suorita.
    Suorita
  2. Kirjoita Suorita-käyttöliittymään regedit ja paina sitten CTRL+VAIHTO+ENTER. Tällöin rekisterieditori suoritetaan järjestelmänvalvojana.
    Suorita-kenttä
  3. Siirry rekisterieditorissa kohtaan HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  4. Napsauta vasemmassa ruudussa työpöytää hiiren kakkospainikkeella ja valitse Käyttöoikeudet.
    Käyttöoikeudet
  5. Valitse Advanced.
    Advanced
  6. Valitse Omistaja.
    Omistaja-välilehti
  7. Valitse Muut käyttäjät tai ryhmät.
    Muut käyttäjät tai ryhmät
  8. Hae tilisi ryhmästä ja valitse OK.
    Tili valittu
  9. Valitse OK.
    OK
  10. Varmista, että ryhmän tai käyttäjänimen Täydet oikeudet on valittu, ja valitse OK.
    Tarkistetaan täyden hallinnan valintaa
    Huomautus: Esimerkissä DDP_Admin (vaihe 8) on Käyttäjät-ryhmän jäsen.
  11. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, napsauta Työpöytä-kansiota hiiren kakkospainikkeella, valitse Uusi ja valitse sitten DWORD-arvo (32-bittinen).
    Uusi DWORD
  12. Nimeä DWORD StatusFileEnabled.
    StatusFileEnabled
  13. Kaksoisnapsauta StatusFileEnabled.
    Muokkaa DWORDia
  14. Täytä Value data -kenttään 1 ja paina sitten OK.
    Päivitetty DWORD
  15. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, napsauta Työpöytä-kansiota hiiren kakkospainikkeella, valitse Uusi ja valitse sitten DWORD-arvo (32-bittinen).
    Uusi DWORD
  16. Nimeä DWORD StatusFileType.
    StatusFileType
  17. Kaksoisnapsauta StatusFileType.
    Muokkaa DWORDia
  18. Täytä Value-data joko 0 tai 1. Kun Arvon tiedot on lisätty, valitse OK.
    Päivitetty DWORD
    Huomautus: Arvon tietojen valinnat:
    • 0 = JSON-tiedostomuoto
    • 1 = XML-muoto
  19. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, napsauta Työpöytä-kansiota hiiren kakkospainikkeella, valitse Uusi ja valitse sitten DWORD-arvo (32-bittinen).
    Uusi DWORD
  20. Nimeä DWORD StatusPeriod.
    TilaJakso
  21. Kaksoisnapsauta StatusPeriod.
    Muokkaa DWORDia
  22. Täytä Arvotiedot-kohtaan luku, joka vaihtelee seuraavista 15 jotta 60 ja valitse sitten OK.
    Päivitetty DWORD
    Huomautus: StatusPeriod kertoo, kuinka usein tiedosto kirjoitetaan.
    15 = 15 sekunnin väli
    60 = 60 sekunnin väli
  23. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, napsauta hiiren kakkospainikkeella Työpöytä-kansiota, valitse Uusi ja valitse sitten String Value.
    Uusi merkkijono
  24. Nimeä merkkijono StatusFilePath.
    StatusFilePath
  25. Kaksoisnapsauta kohtaa StatusFilePath.
    Muokkaa merkkijonoa
  26. Lisää Arvon tiedot -kohtaan sijainti, johon haluat kirjoittaa tilatiedoston, ja valitse OK.
    Muokattu merkkijono
    Huomautus:
    • Oletuspolku: <CommonAppData>\Cylance\Status\Status.json
    • Esimerkkipolku: C:\ProgramData\Cylance
    • .json (JavaScript Object Notation) -tiedoston voi avata ASCII-tekstieditorissa.

macOS

Perusteelliset haittaohjelmatiedot ovat kohdassa Status.json tiedosto osoitteessa:

/Library/Application Support/Cylance/Desktop/Status.json
Huomautus: .json (JavaScript Object Notation) -tiedoston voi avata ASCII-tekstieditorissa.

Linux

Perusteelliset haittaohjelmatiedot ovat kohdassa Status.json tiedosto osoitteessa:

/opt/cylance/desktop/Status.json
Huomautus: .json (JavaScript Object Notation) -tiedoston voi avata ASCII-tekstieditorissa.

Tarkastelu

Tilatiedoston sisältö sisältää yksityiskohtaisia tietoja useista luokista, kuten uhkista, hyväksikäytöistä ja komentosarjoista. Katso lisätietoja aiheesta valitsemalla se.

Sisältö

Tilatiedoston sisältö:

snapshot_time Päivämäärä ja aika, jolloin tilatiedot kerättiin. Päiväys ja aika ovat laitekohtaisia.
ProductInfo
  • version: Laitteen Advanced Threat Prevention Agent -versio
  • last_communicated_timestamp: Agenttipäivityksen viimeisimmän tarkistuksen päivämäärä ja kellonaika
  • serial_number: Agentin rekisteröinnissä käytettävä asennustunnus
  • device_name: Sen laitteen nimi, johon agentti on asennettu
Policy
  • type: Tila, onko agentti online- vai offline-tilassa
  • id: Käytännön yksilöivä tunnus
  • name: Käytännön nimi
ScanState
  • last_background_scan_timestamp: Viimeisimmän uhkien havaitsemisen taustatarkistuksen päivämäärä ja kellonaika
  • drives_scanned: Luettelo skannatuista asemakirjaimista
Threats
  • count: Havaittujen uhkien määrä
  • max: Tilatiedoston uhkien enimmäismäärä
  • Uhka
    • file_hash_id: Näyttää uhan SHA256-hajautustiedot
    • file_md5: MD5-tiiviste
    • file_path: Polku, josta uhka löytyi. Sisältää tiedostonimen
    • is_running: Onko uhka tällä hetkellä käynnissä laitteessa? Tosi vai epätosi
    • auto_run: Onko uhkatiedosto määritetty automaattisesti suoritettavaksi? Tosi vai epätosi
    • file_status: Näyttää uhan nykyisen tilan, kuten Sallittu, Käynnissä tai Karanteenissa. Katso Threats: FileState-taulukko
    • file_type: Näyttää tiedostotyypin, kuten PE (kannettava suoritettava tiedosto), arkisto tai PDF. Katso Threats: FileType-taulukko
    • score: Näyttää Cylance-arvosanan. Tilatiedostossa näkyvä pistemäärä on 1000–-1000. Konsolin alue on 100–-100
    • file_size: Näyttää tiedoston koon tavuina
Exploits
  • count: Löydettyjen hyväksikäyttöjen määrä
  • max: Tilatiedoston haavoittuvuuksien enimmäismäärä
  • Heikkouksia hyödyntävä ohjelma
    • ProcessId: Näyttää sovelluksen prosessitunnuksen, jonka Muistisuojaus tunnistaa
    • ImagePath: Polku, jossa heikkouksia hyödyntävä ohjelma sijaitsee. Sisältää tiedostonimen
    • ImageHash: Näyttää hyväksikäytön SHA256-hajautustiedot
    • FileVersion: Näyttää hyväksikäyttötiedoston versionumeron
    • Username: Näyttää sen käyttäjän nimen, joka oli kirjautuneena laitteeseen, kun hyväksikäyttö tapahtui
    • Groups: Näyttää ryhmän, johon kirjautunut käyttäjä on liitetty
    • Sid: Kirjautuneen käyttäjän suojaustunnus (SID)
    • ItemType: Näyttää hyväksikäyttötyypin, joka liittyy rikkomustyyppeihin
    Huomautus:
    • Tila: Näyttää hyväksikäytön nykyisen tilan, kuten Sallittu, Estetty tai Lopetettu.
    Huomautus: Katso haavoittuvuuksia: State -taulukko.
    • MemDefVersion: Muistisuojauksen versio, jota käytetään hyväksikäytön tunnistamiseen, yleensä agentin versionumero
    • Count: Kuinka monta kertaa hyväksikäyttö yritettiin suorittaa
Scripts
  • count: Laitteessa suoritettavien komentosarjojen määrä
  • max: Tilatiedoston komentosarjojen enimmäismäärä
  • Komentosarja
    • script_path: Polku, jossa komentosarja sijaitsee. Sisältää tiedostonimen
    • file_hash_id: Näyttää komentosarjan SHA256-hajautusarvon
    • file_md5: Näyttää komentosarjan MD5-hajautustiedot, jos ne ovat käytettävissä
    • file_sha1: Näyttää komentosarjan SHA1-hajautustiedot, jos ne ovat käytettävissä
    • drive_type: Tunnistaa asematyypin, josta komentosarja on peräisin, kuten Kiinteä
    • last_modified: päivämäärä ja kellonaika, jolloin komentosarjaa viimeksi muokattiin
    • interpreter:
      • name: Sen komentosarjan ohjausobjektin nimi, joka tunnisti haitallisen komentosarjan
      • version: Komentosarjan ohjausobjektin versionumero
    • username: Näyttää sen käyttäjän nimen, joka oli kirjautuneena laitteeseen, kun komentosarja käynnistettiin
    • groups: Näyttää ryhmän, johon kirjautunut käyttäjä on liitetty
    • sid: Kirjautuneen käyttäjän suojaustunnus (SID)
    • action: Näyttää komentosarjalle suoritetun toiminnon, kuten Sallittu, Estetty tai Lopetettu. Katso Scripts: Toimintotaulukko

Uhat

Uhkilla on useita numeerisia luokkia, jotka tulkitaan File_Status-, FileState- ja FileType-kohdissa. Viittaa määritettävien arvojen asianmukaiseen luokkaan.

File_Status

File_Status-kenttä on desimaaliarvo, joka lasketaan FileStaten käyttöön ottamien arvojen perusteella (katso FileState-osan taulukko). Esimerkiksi File_Status-desimaaliarvo 9 lasketaan uhaksi tunnistettavasta tiedostosta (0x01), ja tiedosto on asetettu karanteeniin (0x08).

file_status ja file_type

FileState

Uhat: FileState

None 0x00
Uhka 0x01
Epäilyttävä 0x02
Sallittu 0x04
Karanteenissa 0x08
Käynnissä 0x10
Korruptoitunut 0x20
Filetype

Uhat: Filetype

Ei tuettu 0
PE 1
Arkisto 2
PDF 3
OLE 4

Heikkouksia hyödyntävät ohjelmat

Heikkouksia hyödyntävillä ohjelmilla on kaksi numeerista kategoriaa, jotka tulkitaan sekä ItemType- että State-kohdassa.

ItemType ja osavaltio

Viittaa määritettävien arvojen asianmukaiseen luokkaan.

ItemType

Heikkouksia hyödyntävät ohjelmat: ItemType

StackPivot 1 Pinon kierto
StackProtect 2 Pinon suojaus
OverwriteCode 3 Korvauskoodi
OopAllocate 4 Muistin etävaraus
OopMap 5 Muistin etäkartoitus
OopWrite 6 Etäkirjoitus muistiin
OopWritePe 7 PE:n etäkirjoitus muistiin
OopOverwriteCode 8 Etäkorvauskoodi
OopUnmap 9 Muistin etäpoisto
OopThreadCreate 10 Säikeen etäluonti
OopThreadApc 11 Etä-APC ajoitettu
LsassRead 12 LSASS:n luku
TrackDataRead 13 RAM-muistin haalinta
CpAllocate 14 Muistin etävaraus
CpMap 15 Muistin etäkartoitus
CpWrite 16 Etäkirjoitus muistiin
CpWritePe 17 PE:n etäkirjoitus muistiin
CpOverwriteCode 18 Etäkorvauskoodi
CpUnmap 19 Muistin etäpoisto
CpThreadCreate 20 Säikeen etäluonti
CpThreadApc 21 Etä-APC ajoitettu
ZeroAllocate 22 Nollavaraus
DyldInjection 23 DYLD-lisäys
MaliciousPayload 24 Haitallinen tietosisältö
Huomautus:
Tila

Heikkouksia hyödyntävät ohjelmat: Tila

None 0
Sallittu 1
Estetty 2
Lopetettu 3

Komentosarjat

Heikkouksia hyödyntävillä ohjelmilla on yksi numeerinen kategoria, joka on tulkittava Action-kohdassa.

Toiminto

Komentosarjat: Toiminto

None 0
Sallittu 1
Estetty 2
Lopetettu 3

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.