如何分析 Dell Endpoint Security Suite Enterprise 和 Threat Defense 端点状态

Summary: 使用这些说明了解如何在 Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 中分析端点状态。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

提醒:

可以从特定端点提取 Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 端点状态,以便深入检查威胁、漏洞利用和脚本。

受影响的产品:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

受影响的平台:

  • Windows
  • Mac
  • Linux

Dell Endpoint Security Suite Enterprise 或 Dell Threat Defense 管理员可以访问单个端点以查看:

  • 恶意软件内容
  • 恶意软件状态
  • 恶意软件类型

管理员应仅在对 Advanced Threat Prevention (ATP) 引擎错误分类文件的原因进行故障处理时执行这些步骤。单击 AccessReview 以了解更多信息。

访问

恶意软件信息的访问方法在 WindowsmacOSLinux 中各不相同。有关详情,请单击相应的操作系统。

Windows

默认情况下,Windows 不会记录深入的恶意软件信息。

  1. 右键单击 Windows 的“开始”菜单,然后单击运行
    在该节点上运行
  2. 在“运行”UI中,键入 regedit ,然后按 CTRL+SHIFT+ENTER。这将以管理员身份运行 Registry Editor。
    “运行”UI
  3. 在 Registry Editor 中,转至 HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
  4. 在左侧窗格中,右键单击 Desktop,然后选择权限
    权限
  5. 单击高级
    高级
  6. 单击所有者
    “所有者”选项卡
  7. 单击其他用户或组
    其他用户或组
  8. 在组中搜索您的帐户,然后单击确定
    所选帐户
  9. 单击 OK
    OK
  10. 确保您的组或用户名已选中完全控制,然后单击确定
    检查“完全控制”选择
    提醒:在示例中,DDP_Admin(步骤 8)是用户组的成员。
  11. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,右键单击 “桌面 ”文件夹,选择 “新建”,然后单击“ DWORD(32 位)值”。
    新建 DWORD
  12. 命名 DWORD StatusFileEnabled
    StatusFileEnabled
  13. 双击 StatusFileEnabled
    编辑 DWORD
  14. 使用以下命令填充 值数据1 然后按 OK
    更新后的 DWORD
  15. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,右键单击 “桌面 ”文件夹,选择 “新建”,然后单击“ DWORD(32 位)值”。
    新建 DWORD
  16. 命名 DWORD StatusFileType
    StatusFileType
  17. 双击 StatusFileType
    编辑 DWORD
  18. 使用以下任一项填充值数据 01。填充值数据后,单击确定
    更新后的 DWORD
    提醒:值数据选择:
    • 0 = JSON 文件格式
    • 1 = XML 格式
  19. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,右键单击 “桌面 ”文件夹,选择 “新建”,然后单击“ DWORD(32 位)值”。
    新建 DWORD
  20. 命名 DWORD StatusPeriod
    StatusPeriod
  21. 双击 StatusPeriod
    编辑 DWORD
  22. 使用数字填充 值数据 ,范围为 15 重定向到 60 ,然后单击 OK
    更新后的 DWORD
    提醒:StatusPeriod 是写入文件的频率。
    15 = 15 秒间隔
    60 = 60 秒间隔
  23. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,右键单击 “桌面 ”文件夹,选择 “新建”,然后单击 String Value
    新字符串
  24. 命名字符串 StatusFilePath
    StatusFilePath
  25. 双击 StatusFilePath
    编辑字符串
  26. 使用将状态文件写入的位置填充值数据,然后单击确定
    编辑后的字符串
    提醒:
    • 默认路径: <CommonAppData>\Cylance\Status\Status.json
    • 示例路径: C:\ProgramData\Cylance
    • 可以在 ASCII 文本文档编辑器中打开 .json (JavaScript Object Notation) 文件。

macOS

深入的恶意软件信息位于 Status.json 文件位置:

/Library/Application Support/Cylance/Desktop/Status.json
提醒:可以在 ASCII 文本文档编辑器中打开 .json (JavaScript Object Notation) 文件。

Linux

深入的恶意软件信息位于 Status.json 文件位置:

/opt/cylance/desktop/Status.json
提醒:可以在 ASCII 文本文档编辑器中打开 .json (JavaScript Object Notation) 文件。

检视

状态文件的内容包括多个类别的详细信息,包括威胁漏洞脚本。单击相应的信息以了解更多相关信息。

目录

状态文件内容:

snapshot_time 状态信息的收集日期和时间。日期和时间是设备的本地日期和时间。
ProductInfo
  • version:设备上的 Advanced Threat Prevention Agent 版本
  • last_communicated_timestamp:上次检查代理程序更新的日期和时间
  • serial_number:用于注册代理程序的安装令牌
  • device_name:安装代理程序的设备的名称
Policy
  • type:代理是联机还是脱机的状态
  • id:策略的唯一标识符
  • name:策略名称
ScanState
  • last_background_scan_timestamp:上次后台威胁检测扫描的日期和时间
  • drives_scanned:已扫描的驱动器盘符列表
Threats
  • count:发现的威胁数量
  • max:状态文件中的最大威胁数
  • Threat
    • file_hash_id:显示威胁的 SHA256 哈希信息
    • file_md5:MD5 哈希
    • file_path:发现威胁的路径。包括文件名
    • is_running:威胁是否正在设备上运行?判断对错
    • auto_run:威胁文件是否设置为自动运行?判断对错
    • file_status:显示威胁的当前状态,如 Allowed、Running 或 Quarantined。请参阅威胁:FileState
    • file_type:显示文件类型,如 Portable Executable (PE)、Archive 或 PDF。请参阅威胁:FileType
    • score:显示 Cylance 分数。状态文件中显示的分数范围为 1000 到 -1000。在控制台中,范围为 100 到 -100
    • file_size:显示文件大小(以字节为单位)
Exploits
  • count:发现的漏洞数量
  • max:状态文件中的最大漏洞数
  • 漏洞
    • ProcessId:显示由 Memory Protection 标识的应用程序的进程 ID
    • ImagePath:漏洞源自的路径。包括文件名
    • ImageHash:显示漏洞的 SHA256 哈希信息
    • FileVersion:显示漏洞文件的版本号
    • Username:显示在发生漏洞时登录设备的用户的名称
    • Groups:显示登录用户关联的组
    • Sid:登录用户的安全标识符 (SID)
    • ItemType:显示与违规类型相关的漏洞类型
    提醒:
    • State:显示漏洞的当前状态,如 Allowed、Blocked 或 Terminated
    提醒:请参阅 漏洞:State 表。
    • MemDefVersion:用于识别漏洞的 Memory Protection 版本,通常是代理程序版本号
    • Count:漏洞尝试运行的次数
Scripts
  • count:设备上运行的脚本数
  • max:状态文件中的最大脚本数
  • 脚本
    • script_path:脚本源自的路径。包括文件名
    • file_hash_id:显示脚本的 SHA256 哈希信息
    • file_md5:显示脚本的 MD5 哈希信息(如果可用)
    • file_sha1:显示脚本的 SHA1 哈希信息(如果可用)
    • drive_type:标识脚本源自的驱动器类型,如“固定”
    • last_modified:上次修改脚本的日期和时间
    • interpreter
      • name:识别恶意脚本的脚本控制功能的名称
      • version:脚本控制功能的版本号
    • username:显示脚本启动时登录设备的用户的名称
    • groups:显示登录用户关联的组
    • sid:登录用户的安全标识符 (SID)
    • action:显示在脚本上执行的作,如 Allowed、Blocked 或 Terminated。请参阅脚本:作

威胁

威胁有多个基于数值的类别,需要在 File_StatusFileStateFileType 中进行解密。请参考要分配的值的相应类别。

File_Status

File_Status字段是基于 FileState 启用的值计算的十进制值(请参阅 FileState 部分中的表)。例如,一个文件被标识为威胁 (0x01) 并且已被隔离 (0x08),从而计算出 file_status 的十进制值为 9。

file_status 和 file_type

FileState

威胁:FileState

0x00
Threat 0x01
Suspicious 0x02
允许 0x04
Quarantined 0x08
Running 0x10
Corrupt 0x20
FileType

威胁:FileType

Unsupported 0
PE 1
Archive 2
PDF 3
OLE 4

漏洞

漏洞具有两个基于数值的类别,需要在 ItemTypeState 中进行解密。

ItemType 和 State

请参考要分配的值的相应类别。

ItemType

漏洞:ItemType

StackPivot 1 栈转移
StackProtect 2 栈保护
OverwriteCode 3 覆盖代码
OopAllocate 4 远程分配内存
OopMap 5 远程映射内存
OopWrite 6 远程写入内存
OopWritePe 7 将 PE 远程写入内存
OopOverwriteCode 8 远程覆盖代码
OopUnmap 9 远程取消内存映射
OopThreadCreate 10 远程创建线程
OopThreadApc 11 远程计划 APC
LsassRead 12 LSASS 读取
TrackDataRead 13 RAM 清除
CpAllocate 14 远程分配内存
CpMap 15 远程映射内存
CpWrite 16 远程写入内存
CpWritePe 17 将 PE 远程写入内存
CpOverwriteCode 18 远程覆盖代码
CpUnmap 19 远程取消内存映射
CpThreadCreate 20 远程创建线程
CpThreadApc 21 远程计划 APC
ZeroAllocate 22 零分配
DyldInjection 23 DYLD 注入
MaliciousPayload 24 恶意有效负载
提醒:
省/自治区/直辖市

漏洞:省/自治区/直辖市

0
允许 1
Blocked 2
Terminated 3

脚本

漏洞具有一个基于数值的类别,需要在 Action 中进行解密。

操作

脚本:操作

0
允许 1
Blocked 2
Terminated 3

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.