如何分析 Dell Endpoint Security Suite Enterprise 和 Threat Defense 端點狀態

Summary: 瞭解如何使用這些指示分析 Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 中的端點狀態。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

注意:

您可以從特定端點提取 Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 端點狀態,以深入檢閱威脅、惡意探索和指令檔。

受影響的產品:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

受影響的平台:

  • Windows
  • Mac
  • Linux

Dell Endpoint Security Suite Enterprise 或 Dell Threat Defense 系統管理員可存取個別端點以檢閱:

  • 惡意軟體內容
  • 惡意軟體狀態
  • 惡意軟體類型

只有在故障診斷 Advanced Threat Prevention (ATP) 引擎錯誤分類檔案的原因時,系統管理員才應執行這些步驟。如需詳細資訊,請按一下 存取檢閱

存取

WindowsmacOSLinux 之間對惡意軟體資訊的存取會有所不同。如需詳細資訊,請按一下適當的作業系統。

Windows

根據預設,Windows 不會深入記錄惡意軟體資訊。

  1. 以滑鼠右鍵按一下 Windows 開始功能表,然後按一下執行
    執行
  2. 在執行 UI 中輸入 regedit 然後按下 CTRL+SHIFT+ENTER。這會以管理員的身分執行 Registry Editor。
    執行 UI
  3. 在 Registry Editor 中,前往 HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
  4. 在左窗格中,以滑鼠右鍵按一下桌面,然後選取權限
    權限
  5. 按一下進階
    進階
  6. 按一下擁有者
    擁有者標籤
  7. 按一下其他使用者或群組
    其他使用者或群組
  8. 在群組中搜尋您的帳戶,然後按一下確定
    選取的帳戶
  9. 按一下確定
    確定
  10. 請確定您的群組或使用者名稱已勾選完全控制,然後按一下確定
    檢查「完全控制」選項
    注意:在範例中,DDP_Admin (步驟 8) 是使用者群組的成員。
  11. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,右鍵按下 “桌面 ”資料夾,選擇 “新建”,然後按兩下“ DWORD(32 位)值”。
    新增 DWORD
  12. 將 DWORD 命名為 DWORD StatusFileEnabled
    StatusFileEnabled
  13. 按兩下 StatusFileEnabled
    編輯 DWORD
  14. 值資料 填入以下項目 1 然後按下確認
    更新的 DWORD
  15. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,右鍵按下 “桌面 ”資料夾,選擇 “新建”,然後按兩下“ DWORD(32 位)值”。
    新增 DWORD
  16. 將 DWORD 命名為 DWORD StatusFileType
    StatusFileType
  17. 按兩下 StatusFileType
    編輯 DWORD
  18. 使用以下任一選項填入值資料 01。填入值資料後,按下確定
    更新的 DWORD
    注意:值資料選擇:
    • 0 = JSON 檔案格式
    • 1 = XML 格式
  19. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,右鍵按下 “桌面 ”資料夾,選擇 “新建”,然後按兩下“ DWORD(32 位)值”。
    新增 DWORD
  20. 將 DWORD 命名為 DWORD StatusPeriod
    StatusPeriod
  21. 按兩下 StatusPeriod
    編輯 DWORD
  22. 使用範圍15 的輸出傳送至 60 然後按一下確定
    更新的 DWORD
    注意:StatusPeriod 是寫入檔案的頻率。
    15 = 15 秒間隔
    60 = 60 秒間隔
  23. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,右鍵按下 “桌面 ”資料夾,選擇 “新建”,然後按兩下 String Value
    新字串
  24. 為字串命名 StatusFilePath
    StatusFilePath
  25. 按兩下 StatusFilePath
    編輯字串
  26. 值資料填入要寫入狀態檔案的位置,然後按一下確定
    編輯的字串
    注意:
    • 預設路徑: <CommonAppData>\Cylance\Status\Status.json
    • 範例路徑: C:\ProgramData\Cylance
    • 可在 ASCII 文字文件編輯器中開啟 .json (JavaScript 物件標記法) 檔案。

macOS

深入的惡意軟體資訊位於 Status.json 檔案位置:

/Library/Application Support/Cylance/Desktop/Status.json
注意:可在 ASCII 文字文件編輯器中開啟 .json (JavaScript 物件標記法) 檔案。

Linux

深入的惡意軟體資訊位於 Status.json 檔案位置:

/opt/cylance/desktop/Status.json
注意:可在 ASCII 文字文件編輯器中開啟 .json (JavaScript 物件標記法) 檔案。

檢閱

狀態檔案的內容包含多個類別的詳細資訊,包括威脅惡意探索指令檔。按一下適當資訊以深入瞭解。

目錄

狀態檔案內容:

snapshot_time 收集狀態資訊的日期和時間。日期和時間是裝置的本機資訊。
ProductInfo
  • version:裝置上的 Advanced Threat Prevention Agent 版本
  • last_communicated_timestamp:上次檢查代理程式更新的日期和時間
  • serial_number:用於註冊代理程式的安裝權杖
  • device_name:安裝代理程式的裝置名稱
Policy
  • type:代理是連線還是離線狀態
  • id:原則的唯一識別碼
  • name:原則名稱
ScanState
  • last_background_scan_timestamp:上次背景威脅偵測掃描的日期和時間
  • drives_scanned:掃描的磁碟機代號清單
Threats
  • count:找到的威脅數量
  • max:狀態檔案中威脅的數量上限
  • 威脅
    • file_hash_id:顯示威脅的 SHA256 雜湊資訊
    • file_md5:MD5 雜湊
    • file_path:找到威脅的路徑。包含檔案名稱
    • is_running:威脅目前是否正在裝置上執行?是或否
    • auto_run:威脅檔案是否設定為自動執行?是或否
    • file_status:顯示威脅的目前狀態,例如已允許、執行中或已隔離。請參閱威脅:FileState表格
    • file_type:顯示檔案類型,例如可攜式可執行檔 (PE)、歸檔或 PDF。請參閱威脅:檔案類型表格
    • score:顯示 Cylance 分數。狀態檔案中顯示的分數範圍為 1000 到 -1000 之間。在主控台中,範圍是 100 到 -100
    • file_size:以位元組為單位顯示檔案大小
Exploits
  • count:找到的惡意探索數量
  • max:狀態檔案中的惡意探索數量上限
  • 惡意探索
    • ProcessId:顯示記憶體保護所識別之應用程式的程序 ID
    • ImagePath:惡意探索源自的路徑。包含檔案名稱
    • ImageHash:顯示惡意探索的 SHA256 雜湊資訊
    • FileVersion:顯示惡意探索檔案的版本號碼
    • Username:顯示發生惡意探索時登入裝置的使用者名稱
    • Groups:顯示登入使用者所關聯的群組
    • Sid:登入使用者的安全性識別碼 (SID)
    • ItemType:顯示與違規類型相關的惡意探索類型
    注意:
    • 州:顯示惡意探索的目前狀態,例如已允許、已封鎖或已終止
    注意:請參閱 惡意探索:狀態表格。
    • MemDefVersion:用於識別惡意探索的記憶體保護版本,通常是代理程式版本號碼
    • Count:惡意探索嘗試執行的次數
Scripts
  • count:在裝置上執行的指令檔數量
  • max:狀態檔案中的指令檔數量上限
  • 指令檔
    • script_path:指令檔源自的路徑。包含檔案名稱
    • file_hash_id:顯示指令檔的 SHA256 雜湊資訊
    • file_md5:顯示指令檔的 MD5 雜湊資訊 (若有)
    • file_sha1:顯示指令檔的 SHA1 雜湊資訊 (若有)
    • drive_type:識別指令檔源自的磁碟機類型,例如固定式
    • last_modified:上次修改指令檔的日期和時間
    • interpreter
      • name:識別惡意指令檔的指令檔控制功能名稱
      • version:文稿控制功能的版本號
    • username:顯示指令檔啟動時登入裝置的使用者名稱
    • groups:顯示登入使用者所關聯的群組
    • sid:登入使用者的安全性識別碼 (SID)
    • action:顯示指令檔上採取的動作,例如已允許、已封鎖或已終止。請參閱指令檔:動作表格

威脅

威脅具有多個以數字為基礎的類別在 File_StatusFileStateFileType 中解碼。為要分配的值引用相應的類別。

File_Status

File_Status欄位是根據 FileState 啟用的值計算的十進位值 (請參閱 FileState 一節中的表格)。例如,從識別為威脅 (0x01) 的檔案中為 file_status 計算 9 的十進位值,且該檔案已隔離 (0x08)。

file_status 和 file_type

FileState

Threats: FileState

0x00
威脅 0x01
可疑 0x02
已允許 0x04
已隔離 0x08
執行中 0x10
損毀 0x20
FileType

Threats: FileType

不支援 0
PE 1
歸檔 2
PDF 3
OLE 4

惡意探索

惡意探索具有兩個以數字為基礎的類別在 ItemType狀態中解碼。

ItemType 和狀態

為要分配的值引用相應的類別。

ItemType

Exploits: ItemType

StackPivot 1 堆疊轉動
StackProtect 2 堆疊保護
OverwriteCode 3 覆寫程式碼
OopAllocate 4 遠端配置記憶體
OopMap 5 遠端對應記憶體
OopWrite 6 遠端寫入至記憶體
OopWritePe 7 遠端寫入 PE 至記憶體
OopOverwriteCode 8 遠端覆寫程式碼
OopUnmap 9 遠端取消對應記憶體
OopThreadCreate 10 遠端建立執行緒
OopThreadApc 11 遠端排程 APC
LsassRead 12 LSASS 讀取
TrackDataRead 13 RAM 消除
CpAllocate 14 遠端配置記憶體
CpMap 15 遠端對應記憶體
CpWrite 16 遠端寫入至記憶體
CpWritePe 17 遠端寫入 PE 至記憶體
CpOverwriteCode 18 遠端覆寫程式碼
CpUnmap 19 遠端取消對應記憶體
CpThreadCreate 20 遠端建立執行緒
CpThreadApc 21 遠端排程 APC
ZeroAllocate 22 零分配
DyldInjection 23 DYLD 注入
MaliciousPayload 24 惡意裝載
注意:
狀態

Exploits: 狀態

0
已允許 1
已封鎖 2
已終止 3

指令檔

惡意探索具有單一以數字為基礎的類別在動作中解碼。

動作

指令檔:動作

0
已允許 1
已封鎖 2
已終止 3

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.