Como analisar o status de endpoints no Dell Endpoint Security Suite Enterprise e no Threat Defense

Summary: Saiba mais sobre como analisar os status de endpoints no Dell Endpoint Security Suite Enterprise e no Dell Threat Defense usando estas instruções.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Nota:

Os status dos endpoints do Dell Endpoint Security Suite Enterprise e do Dell Threat Defense podem ser extraídos de um endpoint específico para uma análise aprofundada de ameaças, explorações e scripts.

Produtos afetados:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Plataformas afetadas:

  • Windows
  • Mac
  • Linux

Os administradores do Dell Endpoint Security Suite Enterprise ou do Dell Threat Defense podem acessar um endpoint individual para analisar:

  • Conteúdo do malware
  • Estado do malware
  • Tipo de malware

Um administrador só deve executar essas etapas ao solucionar o motivo pelo qual o mecanismo de ATP (Advanced Threat Prevention) classificou incorretamente um arquivo. Clique em Acessar ou Analisar para obter mais informações.

Acesso

O acesso a informações de malware varia entre Windows, macOS e Linux. Para obter mais informações, clique no sistema operacional adequado.

Windows

Por padrão, o Windows não registra informações detalhadas sobre malware.

  1. Clique com o botão direito do mouse no menu Iniciar do Windows e clique em Executar.
    Execute
  2. Na IU Executar, digite regedit e, em seguida, pressione CTRL+SHIFT+ENTER. Isso executa o Editor do Registro como administrador.
    IU Executar
  3. No Editor do Registro, vá para HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  4. No painel esquerdo, clique com o botão direito do mouse em Desktop e, em seguida, selecione Permissões.
    Permissões
  5. Clique em Avançado.
    Avançado
  6. Clique em Proprietário.
    Guia Proprietário
  7. Clique em Outros usuários ou grupos.
    Outros usuários ou grupos
  8. Procure sua conta no grupo e clique em OK.
    Conta selecionada
  9. Clique em OK.
    OK
  10. Verifique se o seu grupo ou nome de usuário tem Controle total marcado e clique em OK.
    Verificando a seleção de Full Control
    Nota: No exemplo, DDP_Admin (etapa 8) é um membro do grupo Usuários.
  11. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, clique com o botão direito do mouse na pasta Área de Trabalho, selecione Novo e clique em Valor DWORD (32 bits).
    Novo DWORD
  12. Nomeie o DWORD StatusFileEnabled.
    StatusFileEnabled
  13. Clique duas vezes em StatusFileEnabled.
    Editar o DWORD
  14. Preencha dados de valor com 1 e pressione OK.
    DWORD atualizado
  15. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, clique com o botão direito do mouse na pasta Área de Trabalho, selecione Novo e clique em Valor DWORD (32 bits).
    Novo DWORD
  16. Nomeie o DWORD StatusFileType.
    StatusFileType
  17. Clique duas vezes em StatusFileType.
    Editar o DWORD
  18. Preencha os dados de valor com 0 ou 1. Depois que os Dados do valor tiverem sido preenchidos, pressione OK.
    DWORD atualizado
    Nota: Opções de dados de valor:
    • 0 = formato de arquivo JSON
    • 1 = formato XML
  19. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, clique com o botão direito do mouse na pasta Área de Trabalho, selecione Novo e clique em Valor DWORD (32 bits).
    Novo DWORD
  20. Nomeie o DWORD StatusPeriod.
    StatusPeriod
  21. Clique duas vezes em StatusPeriod.
    Editar o DWORD
  22. Preencha os dados de valor com um número que varia de 15 para 60 e em seguida, clique OK.
    DWORD atualizado
    Nota: O StatusPeriod é a frequência com que o arquivo é gravado.
    15 = intervalo
    de 15 segundos 60 = intervalo de 60 segundos
  23. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, clique com o botão direito do mouse na pasta Área de Trabalho , selecione Novo e clique em String Value.
    Nova string
  24. Nomeie a cadeia de caracteres StatusFilePath.
    StatusFilePath
  25. Clique duas vezes em StatusFilePath.
    Editar string
  26. Preencha os Dados do valor com a localização para gravar o arquivo de status e clique em OK.
    String editada
    Nota:
    • Caminho padrão: <CommonAppData>\Cylance\Status\Status.json
    • Exemplo de caminho: C:\ProgramData\Cylance
    • Um arquivo .json (JavaScript Object Notation, notação de objeto do JavaScript) pode ser aberto em um editor de documentos de texto ASCII.

MacOS

Informações detalhadas sobre malware estão no Status.json arquivo em:

/Library/Application Support/Cylance/Desktop/Status.json
Nota: Um arquivo .json (JavaScript Object Notation, notação de objeto do JavaScript) pode ser aberto em um editor de documentos de texto ASCII.

Linux

Informações detalhadas sobre malware estão no Status.json arquivo em:

/opt/cylance/desktop/Status.json
Nota: Um arquivo .json (JavaScript Object Notation, notação de objeto do JavaScript) pode ser aberto em um editor de documentos de texto ASCII.

Análise

O conteúdo do arquivo de status inclui informações detalhadas sobre várias categorias, como Ameaças, Exploits e Scripts. Clique nas informações apropriadas para saber mais sobre elas.

.

Conteúdo do arquivo de status:

snapshot_time A data e a hora em que as informações de status foram coletadas. A data e a hora são locais para o dispositivo.
ProductInfo
  • version: Versão do agente do Advanced Threat Prevention no dispositivo
  • last_communicated_timestamp: Data e hora da última verificação de uma atualização do agente
  • serial_number: Token de instalação usado para registrar o agente
  • device_name: Nome do dispositivo em que o agente está instalado
Policy
  • type: Status do agente se está on-line ou off-line
  • id: Identificador exclusivo da política
  • name: Policy Name
ScanState
  • last_background_scan_timestamp: Data e hora da última verificação da Detecção de ameaças em segundo plano
  • drives_scanned: Lista de letras de unidade digitalizadas
Threats
  • count: O número de ameaças encontradas
  • max: O número máximo de ameaças no arquivo de Status
  • Threat
    • file_hash_id: Exibe as informações do hash SHA256 sobre a ameaça
    • file_md5: O hash MD5
    • file_path: O caminho onde a ameaça foi encontrada. Inclui o nome do arquivo
    • is_running: A ameaça está em execução atualmente no dispositivo? Verdadeiro ou falso
    • auto_run: O aquivo de ameaça está definido para executar automaticamente? Verdadeiro ou falso
    • file_status: Exibe o estado atual da ameaça, como Permitido, Em execução ou Em quarentena. Veja as ameaças: Tabela FileState
    • file_type: Exibe o tipo de arquivo, como Executável portátil (PE), Arquivo ou PDF. Veja as ameaças: Tabela FileType
    • score: Exibe a Pontuação da Cylance. A pontuação exibida no arquivo de status varia de 1.000 a -1.000. No Console, o intervalo é de 100 a -100
    • file_size: Exibe o tamanho do arquivo, em bytes
Exploits
  • count: O número de exploits encontrados
  • max: O número máximo de explorações no arquivo de Status
  • Exploit
    • ProcessId: Exibe o ID do processo do aplicativo identificado pelo Memory Protection
    • ImagePath: O caminho de origem do exploit. Inclui o nome do arquivo
    • ImageHash: Exibe as informações do hash SHA256 sobre a exploração
    • FileVersion: Exibe o número da versão do arquivo de exploração
    • Username: Exibe o nome do usuário que estava conectado ao dispositivo quando a exploração ocorreu
    • Groups: Exibe o grupo ao qual o usuário conectado está associado
    • Sid: O identificador de segurança (SID) do usuário conectado
    • ItemType: Exibe o tipo de exploração, que está relacionado aos tipos de violação
    Nota:
    • Estado: Exibe o estado atual da exploração, como Permitido, Bloqueado ou Encerrado
    Nota: Consulte as explorações: Tabela de Estado.
    • MemDefVersion: A versão do Memory Protection usada para identificar a vulnerabilidade, normalmente o número da versão do agente
    • Count: O número de vezes que o exploit tentou ser executado
Scripts
  • count: O número de scripts executados no dispositivo
  • max: O número máximo de scripts no arquivo de Status
  • Script
    • script_path: O caminho de origem do script. Inclui o nome do arquivo
    • file_hash_id: Exibe as informações de hash SHA256 do script
    • file_md5: Exibe as informações de hash MD5 do script, se disponível
    • file_sha1: Exibe as informações do hash SHA1 do script, se disponível
    • drive_type: Identifica o tipo de unidade de origem do script, como Fixed
    • last_modified: A data e a hora em que o script foi modificado pela última vez
    • interpreter:
      • name: O nome do recurso de controle de script que identificou o script mal-intencionado
      • version: O número da versão do recurso de controle de script
    • username: Exibe o nome do usuário que estava conectado ao dispositivo quando o script foi iniciado
    • groups: Exibe o grupo ao qual o usuário conectado está associado
    • sid: O identificador de segurança (SID) do usuário conectado
    • action: Exibe a ação executada no script, como Permitido, Bloqueado ou Encerrado. Consulte os Scripts: Tabela de ações

Ameaças

As ameaças têm várias categorias baseadas em números a serem decifradas em File_Status, FileState e FileType. Consulte a categoria apropriada para os valores a serem atribuídos.

File_Status

O campo File_Status é um valor decimal calculado com base nos valores habilitados pelo FileState (consulte a tabela na seção FileState ). Por exemplo, um valor decimal de 9 para file_status é calculado a partir do arquivo que está sendo identificado como ameaça (0x01) e o arquivo foi colocado em quarentena (0x08).

file_status e file_type

FileState

Threats: FileState

Nenhuma 0x00
Threat 0x01
Suspeito 0x02
Permitido 0x04
Em quarentena 0x08
Em execução 0x10
Corrompido 0x20
FileType

Threats: FileType

Incompatíveis 0
PE 1
Arquivo 2
PDF 3
OLE 4

Exploits

Os exploits têm duas categorias baseadas em números para serem decifradas como ItemType e State.

ItemType e State

Consulte a categoria apropriada para os valores a serem atribuídos.

ItemType

Exploits: ItemType

StackPivot 1 Stack pivot
StackProtect 2 Proteção de pilha
OverwriteCode 3 Substituir código
OopAllocate 4 Alocação remota de memória
OopMap 5 Mapeamento remoto da memória
OopWrite 6 Gravação remota na memória
OopWritePe 7 Gravação remota de PE na memória
OopOverwriteCode 8 Substituir código remoto
OopUnmap 9 Cancelamento do mapeamento remoto de memória
OopThreadCreate 10 Criação remota de thread
OopThreadApc 11 APC remoto agendado
LsassRead 12 Leitura de LSASS
TrackDataRead 13 RAM Scraping
CpAllocate 14 Alocação remota de memória
CpMap 15 Mapeamento remoto da memória
CpWrite 16 Gravação remota na memória
CpWritePe 17 Gravação remota de PE na memória
CpOverwriteCode 18 Substituir código remoto
CpUnmap 19 Cancelamento do mapeamento remoto de memória
CpThreadCreate 20 Criação remota de thread
CpThreadApc 21 APC remoto agendado
ZeroAllocate 22 Alocação zero
DyldInjection 23 Injeção DYLD
MaliciousPayload 24 Payload mal-intencionada
Nota:
Estado

Exploits: Estado

Nenhuma 0
Permitido 1
Bloqueado 2
Encerrado 3

Scripts

Os exploits têm uma única categoria baseada em números a ser decifrada como Ação.

Ação

Scripts: Ação

Nenhuma 0
Permitido 1
Bloqueado 2
Encerrado 3

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.