Sådan analyserer du Dell Endpoint Security Suite Enterprise- og Threat Defense-slutpunktsstatus

Summary: Få mere at vide om, hvordan du analyserer slutpunktsstatusser i Dell Endpoint Security Suite Enterprise og Dell Threat Defense ved hjælp af denne vejledning.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Bemærk:

Status for Dell Endpoint Security Suite Enterprise- og Dell Threat Defense-slutpunkter kan hentes fra et bestemt slutpunkt for at få en dybdegående gennemgang af trusler, udnyttelser og scripts.

Berørte produkter:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Berørte platforme:

  • Windows
  • Mac
  • Linux

Dell Endpoint Security Suite Enterprise- eller Dell Threat Defense-administratorer kan få adgang til et individuelt slutpunkt for at gennemgå:

  • Malware indhold
  • Tilstanden Malware
  • Malwaretype

En administrator bør kun udføre disse trin, når han foretager fejlfinding af, hvorfor ATP-programmet (Advanced Threat Prevention) fejlklassificerede en fil. Klik på Adgang eller Gennemse for at få flere oplysninger.

Access

Adgang til malwareoplysninger varierer mellem Windows, macOS og Linux. Du finder flere oplysninger ved at klikke på det pågældende operativsystem.

Windows

Som standard registrerer Windows ikke dybdegående malwareoplysninger.

  1. Højreklik på startmenuen i Windows, og klik herefter på Kør.
    Kør
  2. I brugergrænsefladen Kør skal du skrive regedit og derefter trykke på CTRL+SKIFT+ENTER. Dette kører registreringseditoren som administrator.
    Brugergrænsefladen Kør
  3. I registreringseditoren skal du gå til HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  4. Højreklik på Skrivebord i venstre rude, og vælg derefter Tilladelser.
    Tilladelser
  5. Klik på Advanced.
    Avanceret
  6. Klik på Ejer.
    Fanen Ejer
  7. Klik på Andre brugere eller grupper.
    Andre brugere eller grupper
  8. Søg efter din konto i gruppen, og klik derefter på OK.
    Den valgte konto
  9. Klik på OK.
    OK
  10. Sørg for, at din gruppe eller dit brugernavn har Fuld kontrol markeret, og klik derefter på OK.
    Kontrollerer for valg af fuld kontrol
    Bemærk: I eksemplet er DDP_Admin (trin 8) medlem af gruppen Brugere.
  11. Ved HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, højreklik på mappen Skrivebord, vælg Ny, og klik derefter på DWORD-værdi (32-bit).
    Nyt DWORD
  12. Navngiv DWORD StatusFileEnabled.
    StatusFileEnabled
  13. Dobbeltklik StatusFileEnabled.
    Rediger DWORD
  14. Udfyld værdidata med 1 og tryk derefter på OK.
    Opdateret DWORD
  15. Ved HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, højreklik på mappen Skrivebord, vælg Ny, og klik derefter på DWORD-værdi (32-bit).
    Nyt DWORD
  16. Navngiv DWORD StatusFileType.
    Statusfiltype
  17. Dobbeltklik StatusFileType.
    Rediger DWORD
  18. Udfyld værdidata med enten 0 eller 1. Når værdidata er udfyldt, skal du trykke på OK.
    Opdateret DWORD
    Bemærk: Værdisæt datavalg:
    • 0 = JSON-filformat
    • 1 = XML-format
  19. Ved HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, højreklik på mappen Skrivebord, vælg Ny, og klik derefter på DWORD-værdi (32-bit).
    Nyt DWORD
  20. Navngiv DWORD StatusPeriod.
    StatusPeriode
  21. Dobbeltklik StatusPeriod.
    Rediger DWORD
  22. Udfyld værdidata med et tal, der spænder fra 15 til 60 og klik derefter på OK.
    Opdateret DWORD
    Bemærk: StatusPerioden er, hvor ofte filen skrives.
    15 = 15 sekunders interval
    60 = 60 sekunders interval
  23. Ved HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, højreklik på mappen Skrivebord , vælg Ny, og klik derefter på String Value.
    Ny streng
  24. Navngiv strengen StatusFilePath.
    StatusFilePath
  25. Dobbeltklik på StatusFilePath.
    Rediger streng
  26. Udfyld værdidata med den placering, statusfilen skal skrives til, og klik derefter på OK.
    Redigeret streng
    Bemærk:
    • Standardsti: <CommonAppData>\Cylance\Status\Status.json
    • Eksempel på sti: C:\ProgramData\Cylance
    • En .json fil (JavaScript Object Notation) kan åbnes i en ASCII-tekstdokumenteditor.

macOS

Dybdegående malware oplysninger er i Status.json Fil på:

/Library/Application Support/Cylance/Desktop/Status.json
Bemærk: En .json fil (JavaScript Object Notation) kan åbnes i en ASCII-tekstdokumenteditor.

Linux

Dybdegående malware oplysninger er i Status.json Fil på:

/opt/cylance/desktop/Status.json
Bemærk: En .json fil (JavaScript Object Notation) kan åbnes i en ASCII-tekstdokumenteditor.

Anmeldelse

Statusfilens indhold indeholder detaljerede oplysninger om flere kategorier, herunder trusler, udnyttelser og scripts. Klik på de relevante oplysninger for at få mere at vide om det.

Indhold

Statusfilens indhold:

snapshot_time Dato og klokkeslæt for indsamling af statusoplysningerne. Dato og klokkeslæt er lokale for enheden.
ProductInfo
  • version: Advanced Threat Prevention Agent-version på enheden
  • last_communicated_timestamp: Dato og klokkeslæt for sidste søgning efter en agentopdatering
  • serial_number: Installationstoken, der bruges til at registrere agenten
  • device_name: Navnet på den enhed, agenten er installeret på
Policy
  • type: Status for, om agenten er online eller offline
  • id: Entydigt id for politikken
  • name: Navn på politik
ScanState
  • last_background_scan_timestamp: Dato og klokkeslæt for seneste scanning af trusselsregistrering i baggrunden
  • drives_scanned: Liste over scannede drevbogstaver
Threats
  • count: Antallet af fundne trusler
  • max: Det maksimale antal trusler i statusfilen
  • Trussel
    • file_hash_id: Viser SHA256-hashoplysninger for truslen
    • file_md5: MD5-hashen
    • file_path: Stien, hvor truslen blev fundet. Indeholder filnavnet
    • is_running: Kører truslen i øjeblikket på enheden? Sandt eller falsk
    • auto_run: Er trusselsfilen indstillet til at køre automatisk? Sandt eller falsk
    • file_status: Viser truslens aktuelle tilstand, f.eks. Tilladt, Kører eller Sat i karantæne. Se truslerne: FileState-tabel
    • file_type: Viser filtypen, f.eks. PE (Portable Executable), Arkiv eller PDF. Se truslerne: Filtypetabel
    • score: Viser Cylance Score. Den score, der vises i statusfilen, går fra 1000 til -1000. I konsollen er intervallet 100 til -100
    • file_size: Viser filstørrelsen i byte
Exploits
  • count: Antallet af fundne udnyttelser
  • max: Det maksimale antal udnyttelser i statusfilen
  • Udnytte
    • ProcessId: Viser proces-id et for det program, der er identificeret af Hukommelsesbeskyttelse
    • ImagePath: Stien, hvor udnyttelsen stammer fra. Indeholder filnavnet
    • ImageHash: Viser SHA256-hashoplysningerne for udnyttelsen
    • FileVersion: Viser versionsnummeret på exploit-filen
    • Username: Viser navnet på den bruger, der var logget på enheden, da udnyttelsen fandt sted
    • Groups: Viser den gruppe, som den bruger, der er logget på, er tilknyttet
    • Sid: Sikkerheds-id et (SID) for den bruger, der er logget på
    • ItemType: Viser udnyttelsestypen, som vedrører overtrædelsestyperne
    Bemærk:
    • Stat: Viser udnyttelsens aktuelle tilstand, f.eks. Tilladt, Blokeret eller Afsluttet
    Bemærk: Se udnyttelserne: Stat tabel.
    • MemDefVersion: Den version af hukommelsesbeskyttelsen, der bruges til at identificere udnyttelsen, typisk agentversionsnummeret
    • Count: Antallet af gange, udnyttelsen forsøgte at køre
Scripts
  • count: Antallet af scripts, der køres på enheden
  • max: Det maksimale antal scripts i statusfilen
  • Script
    • script_path: Den sti, som scriptet stammer fra. Indeholder filnavnet
    • file_hash_id: Viser SHA256-hashoplysninger for scriptet
    • file_md5: Viser MD5-hashoplysningerne for scriptet, hvis de er tilgængelige
    • file_sha1: Viser SHA1-hashoplysninger for scriptet, hvis de er tilgængelige
    • drive_type: Identificerer den type drev, som scriptet stammer fra, f.eks. Løs
    • last_modified: Den dato og det klokkeslæt, hvor scriptet sidst blev ændret
    • interpreter:
      • name: Navnet på den scriptkontrolfunktion, der identificerede det skadelige script
      • version: Versionsnummeret på scriptkontrolelementfunktionen
    • username: Viser navnet på den bruger, der var logget på enheden, da scriptet blev startet
    • groups: Viser den gruppe, som den bruger, der er logget på, er tilknyttet
    • sid: Sikkerheds-id et (SID) for den bruger, der er logget på
    • action: Viser den handling, der udføres på scriptet, f.eks. Tilladt, Blokeret eller Afsluttet. Se scripts: Handlingsskema

Trusler

Trusler har flere numerisk baserede kategorier, der skal dechiffreres i File_Status, FileState og FileType. Henvis til den relevante kategori for de værdier, der skal tildeles.

File_Status

Feltet File_Status er en decimalværdi, der beregnes ud fra de værdier, der aktiveres af FileState (se tabellen i afsnittet FileState ). En decimalværdi på 9 for file_status beregnes f.eks. ud fra den fil, der identificeres som en trussel (0x01), og filen er sat i karantæne (0x08).

file_status og file_type

Filtilstand

Trusler: Filtilstand

Ingen 0x00
Trussel 0x01
Mistænkelig 0x02
Tilladt 0x04
Karantæne 0x08
Løb 0x10
Korrupt 0x20
Filtype

Trusler: Filtype

Ikke understøttet 0
PE 1
Arkiv 2
PDF 3
OLE 4

Udnytter

Exploits har to numerisk baserede kategorier, der skal dechiffreres i både ItemType og State.

ItemType og tilstand

Henvis til den relevante kategori for de værdier, der skal tildeles.

Varetype

Udnytter: Varetype

StackPivot 1 Stakkens rotation
StackProtect 2 Stakbeskyttelse
OverwriteCode 3 Overskriv kode
OopAllocate 4 Fjernallokering af hukommelse
OopMap 5 Fjerntilknytning af hukommelse
OopWrite 6 Fjernskrivning til hukommelse
OopWritePe 7 Fjernskrivning af PE til hukommelse
OopOverwriteCode 8 Fjernoverskrivningskode
OopUnmap 9 Fjernafbildning af hukommelse
OopThreadCreate 10 Oprettelse af fjerntråd
OopThreadApc 11 Planlagt ekstern APC
LsassRead 12 LSASS Læs
TrackDataRead 13 RAM-skrabning
CpAllocate 14 Fjernallokering af hukommelse
CpMap 15 Fjerntilknytning af hukommelse
CpWrite 16 Fjernskrivning til hukommelse
CpWritePe 17 Fjernskrivning af PE til hukommelse
CpOverwriteCode 18 Fjernoverskrivningskode
CpUnmap 19 Fjernafbildning af hukommelse
CpThreadCreate 20 Oprettelse af fjerntråd
CpThreadApc 21 Planlagt ekstern APC
ZeroAllocate 22 Nul allokering
DyldInjection 23 DYLD-injektion
MaliciousPayload 24 Ondsindet nyttelast
Bemærk:
Tilstand

Udnytter: Tilstand

Ingen 0
Tilladt 1
Blokeret 2
Afsluttet 3

Scripts

Exploits har en enkelt numerisk baseret kategori, der skal dechiffreres i Action.

Handling

Scripts: Handling

Ingen 0
Tilladt 1
Blokeret 2
Afsluttet 3

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.