Dell Endpoint Security Suite Enterprise en Threat Defense eindpuntstatus analyseren

Summary: Met behulp van deze instructies vindt u meer informatie over het analyseren van eindpuntstatussen in Dell Endpoint Security Suite Enterprise en Dell Threat Defense.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Opmerking:

Dell Endpoint Security Suite Enterprise en Dell Threat Defense eindpuntstatussen kunnen van een specifiek eindpunt worden opgehaald voor een diepgaande beoordeling van bedreigingen, exploits en scripts.

Betreffende producten:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Betreffende platforms:

  • Windows
  • Mac
  • Linux

Beheerders van Dell Endpoint Security Suite Enterprise of Dell Threat Defense kunnen toegang krijgen tot een afzonderlijk eindpunt om het volgende te controleren:

  • Inhoud van malware
  • Malwarestatus
  • Malware Type

Een beheerder moet deze stappen alleen uitvoeren bij het oplossen van redenen waarom de ATP-engine (Advanced Threat Prevention) een bestand verkeerd heeft geclassificeerd. Klik op Toegang of Controleren voor meer informatie.

Access

Toegang tot malware-informatie varieert tussen Windows, macOS en Linux. Klik voor meer informatie op het betreffende besturingssysteem.

Windows

Windows registreert standaard geen diepgaande malware-informatie.

  1. Klik met de rechtermuisknop op het Windows-startmenu en vervolgens op Uitvoeren.
    Voer
  2. Typ in de UI-RUN regedit en druk vervolgens op CTRL+SHIFT+ENTER. Hiermee wordt de Register-editor uitgevoerd als admin.
    Gebruikersinterface uitvoeren
  3. Ga in de Register-editor naar HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  4. Klik in het linkerdeelvenster met de rechtermuisknop op Bureaublad en selecteer vervolgens Machtigingen.
    Machtigingen
  5. Klik op Advanced.
    Geavanceerd
  6. Klik op Eigenaar.
    Tabblad Eigenaar
  7. Klik op Andere gebruikers of groepen.
    Andere gebruikers of groepen
  8. Zoek uw account in de groep en klik op OK.
    Account geselecteerd
  9. Klik op OK.
    OK
  10. Zorg ervoor dat uw groep of gebruikersnaam Volledig beheer heeft aangevinkt en klik vervolgens op OK.
    Controleren op selectie Volledige controle
    Opmerking: In het voorbeeld is DDP_Admin (stap 8) lid van de groep Gebruikers.
  11. Op HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klik met de rechtermuisknop op de map Bureaublad, selecteer Nieuw en klik vervolgens op DWORD-waarde (32-bits).
    Nieuwe DWORD
  12. Geef het DWORD een naam StatusFileEnabled.
    StatusFileEnabled
  13. Dubbelklik StatusFileEnabled.
    DWORD bewerken
  14. Vul Value-data in met 1 en druk vervolgens op OK.
    DWORD bijgewerkt
  15. Op HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klik met de rechtermuisknop op de map Bureaublad, selecteer Nieuw en klik vervolgens op DWORD-waarde (32-bits).
    Nieuwe DWORD
  16. Geef het DWORD een naam StatusFileType.
    StatusFileType
  17. Dubbelklik StatusFileType.
    DWORD bewerken
  18. Vul Value-data in met een van de volgende opties: 0 of 1. Zodra de waardegegevens zijn ingevuld, drukt u op OK.
    DWORD bijgewerkt
    Opmerking: Waardeer datakeuzes:
    • 0 = JSON-bestandsindeling
    • 1 = XML-indeling
  19. Op HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klik met de rechtermuisknop op de map Bureaublad, selecteer Nieuw en klik vervolgens op DWORD-waarde (32-bits).
    Nieuwe DWORD
  20. Geef het DWORD een naam StatusPeriod.
    StatusPeriode
  21. Dubbelklik StatusPeriod.
    DWORD bewerken
  22. Vul Value-data in met een getal variërend van 15 Aan 60 en klik vervolgens op OK.
    DWORD bijgewerkt
    Opmerking: De StatusPeriod is hoe vaak het bestand wordt geschreven.
    Interval
    van 15 = 15 seconden 60 = interval van 60 seconden
  23. Op HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klik met de rechtermuisknop op de map Bureaublad , selecteer Nieuw en klik vervolgens op String Value.
    Nieuwe tekenreeks
  24. Geef de tekenreeks een naam StatusFilePath.
    StatusFilePath
  25. Dubbelklik op StatusFilePath.
    Tekenreeks bewerken
  26. Vul Value-data in met de locatie waarnaar u het statusbestand wilt schrijven en klik vervolgens op OK.
    Bewerkte tekenreeks
    Opmerking:
    • Standaardpad: <CommonAppData>\Cylance\Status\Status.json
    • Voorbeeld pad: C:\ProgramData\Cylance
    • U kunt een .json-bestand (JavaScript Object Notation) openen in een ASCII-tekstdocumenteditor.

macOS

Diepgaande malware-informatie staat in de Status.json Bestand op:

/Library/Application Support/Cylance/Desktop/Status.json
Opmerking: U kunt een .json-bestand (JavaScript Object Notation) openen in een ASCII-tekstdocumenteditor.

Linux

Diepgaande malware-informatie staat in de Status.json Bestand op:

/opt/cylance/desktop/Status.json
Opmerking: U kunt een .json-bestand (JavaScript Object Notation) openen in een ASCII-tekstdocumenteditor.

Recensie

De inhoud van het statusbestand bevat gedetailleerde informatie over meerdere categorieën, waaronder bedreigingen, exploits en scripts. Klik op de gewenste informatie voor meer informatie.

Inhoud

Inhoud van statusbestand:

snapshot_time De datum en tijd waarop de statusinformatie is verzameld. De datum en tijd zijn lokaal voor het apparaat.
ProductInfo
  • version: Advanced Threat Prevention Agent-versie op het apparaat
  • last_communicated_timestamp: Datum en tijd van de laatste controle voor een agentupdate
  • serial_number: Installatietoken gebruikt om de agent te registreren
  • device_name: Naam van het apparaat waarop de agent is geïnstalleerd
Policy
  • type: Status of de agent online of offline is
  • id: Unieke identifier voor het beleid
  • name: Beleidsnaam
ScanState
  • last_background_scan_timestamp: Datum en tijd van de laatste scan op achtergronddetectie
  • drives_scanned: Lijst met gescande stationsletters
Threats
  • count: Het aantal gevonden bedreigingen
  • max: Het maximale aantal bedreigingen in het statusbestand
  • Dreiging
    • file_hash_id: Toont de SHA256-hashinformatie voor de dreiging
    • file_md5: De MD5-hash
    • file_path: Het pad waar de dreiging is gevonden. Bevat de bestandsnaam
    • is_running: Wordt de dreiging momenteel op het apparaat uitgevoerd? Waar of niet waar
    • auto_run: Is het bedreigingsbestand zo ingesteld dat het automatisch wordt uitgevoerd? Waar of niet waar
    • file_status: Toont de huidige status van de bedreiging, zoals Toegestaan, Actief of In quarantaine. Bekijk de bedreigingen: FileState-tabel
    • file_type: Toont het type bestand, zoals Portable Executable (PE), Archief of PDF. Bekijk de bedreigingen: FileType-tabel
    • score: Toont de Cylance-score. De score die wordt weergegeven in het statusbestand varieert van 1000 tot -1000. In de console is het bereik 100 tot -100
    • file_size: Toont de bestandsgrootte in bytes
Exploits
  • count: Het aantal gevonden exploits
  • max: Het maximale aantal exploits in het statusbestand
  • Uitbuiten
    • ProcessId: Toont de proces-ID van de applicatie die wordt geïdentificeerd door Geheugenbeveiliging
    • ImagePath: Het pad waar de exploit vandaan komt. Bevat de bestandsnaam
    • ImageHash: Toont de SHA256-hashinformatie voor de exploit
    • FileVersion: Toont het versienummer van het exploitbestand
    • Username: Toont de naam van de gebruiker die was aangemeld bij het apparaat toen de exploit plaatsvond
    • Groups: Toont de groep waaraan de aangemelde gebruiker is gekoppeld
    • Sid: De Security Identifier (SID) van de aangemelde gebruiker
    • ItemType: Toont het exploittype, dat betrekking heeft op de schendingstypen
    Opmerking:
    • Staat: Toont de huidige status van de exploit, zoals Toegestaan, Geblokkeerd of Beëindigd
    Opmerking: Raadpleeg de exploits: Tabel van de staat .
    • MemDefVersion: De versie van geheugenbescherming die wordt gebruikt om de exploit te identificeren, meestal het versienummer van de agent
    • Count: Het aantal keren dat de exploit probeerde uit te voeren
Scripts
  • count: Het aantal scripts dat op het apparaat wordt uitgevoerd
  • max: Het maximum aantal scripts in het statusbestand
  • Script
    • script_path: Het pad waar het script vandaan komt. Bevat de bestandsnaam
    • file_hash_id: Toont de SHA256-hashinformatie voor het script
    • file_md5: Toont de MD5-hashinformatie voor het script, indien beschikbaar
    • file_sha1: Toont de SHA1-hashinformatie voor het script, indien beschikbaar
    • drive_type: Identificeert het type schijf waarvan het script afkomstig is, zoals Vast
    • last_modified: De datum en tijd waarop het script voor het laatst is gewijzigd
    • interpreter:
      • name: De naam van de scriptbeheerfunctie die het schadelijke script heeft geïdentificeerd
      • version: Het versienummer van de scriptbeheerfunctie
    • username: Toont de naam van de gebruiker die was aangemeld bij het apparaat toen het script werd gestart
    • groups: Toont de groep waaraan de aangemelde gebruiker is gekoppeld
    • sid: De Security Identifier (SID) van de aangemelde gebruiker
    • action: Toont de actie die op het script wordt uitgevoerd, zoals Toegestaan, Geblokkeerd of Beëindigd. Bekijk de scripts: Actietabel

Bedreigingen

Bedreigingen hebben meerdere numerieke categorieën die moeten worden ontcijferd in File_Status, FileState en FileType. Raadpleeg de juiste categorie voor de toe te wijzen waarden.

File_Status

Het veld File_Status is een decimale waarde die wordt berekend op basis van de waarden die zijn ingeschakeld door FileState (zie de tabel in het gedeelte FileState ). Een decimale waarde van 9 voor file_status wordt bijvoorbeeld berekend op basis van het bestand dat is geïdentificeerd als een bedreiging (0x01) en het bestand in quarantaine is geplaatst (0x08).

file_status en file_type

FileState

Bedreigingen: FileState

Geen 0x00
Dreiging 0x01
Achterdochtig 0x02
Toegestaan 0x04
In quarantaine geplaatst 0x08
Lopend 0x10
Corrupt 0x20
Bestandstype

Bedreigingen: Bestandstype

Niet ondersteund 0
PE 1
Archief 2
PDF 3
OLE 4

Exploits

Exploits hebben twee numerieke categorieën die moeten worden ontcijferd in zowel ItemType als State.

ItemType en status

Raadpleeg de juiste categorie voor de toe te wijzen waarden.

ItemType

Exploits: ItemType

StackPivot 1 Draaipunt stack
StackProtect 2 Stackbescherming
OverwriteCode 3 Code overschrijven
OopAllocate 4 Externe toewijzing van geheugen
OopMap 5 Externe toewijzing van geheugen
OopWrite 6 Extern schrijven naar geheugen
OopWritePe 7 Op afstand PE naar geheugen schrijven
OopOverwriteCode 8 Externe overschrijfcode
OopUnmap 9 Externe toewijzing van geheugen ongedaan maken
OopThreadCreate 10 Externe threads maken
OopThreadApc 11 Externe APC gepland
LsassRead 12 LSASS Lezen
TrackDataRead 13 RAM Scraping
CpAllocate 14 Externe toewijzing van geheugen
CpMap 15 Externe toewijzing van geheugen
CpWrite 16 Extern schrijven naar geheugen
CpWritePe 17 Op afstand PE naar geheugen schrijven
CpOverwriteCode 18 Externe overschrijfcode
CpUnmap 19 Externe toewijzing van geheugen ongedaan maken
CpThreadCreate 20 Externe threads maken
CpThreadApc 21 Externe APC gepland
ZeroAllocate 22 Geen toewijzing
DyldInjection 23 DYLD-injectie
MaliciousPayload 24 Schadelijke payload
Opmerking:
Status

Exploits: Status

Geen 0
Toegestaan 1
Geblokkeerd 2
Beëindigd 3

Scripts

Exploits hebben een enkele numerieke categorie die moet worden ontcijferd in Action.

Actie

Scripts: Actie

Geen 0
Toegestaan 1
Geblokkeerd 2
Beëindigd 3

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.