Анализ состояния конечных точек Dell Endpoint Security Suite Enterprise и Threat Defense

Summary: Узнайте, как анализировать состояния конечных точек в Dell Endpoint Security Suite Enterprise и Dell Threat Defense с помощью этих инструкций.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Примечание.

Состояния конечной точки Dell Endpoint Security Suite Enterprise и Dell Threat Defense можно получить из конкретной конечной точки для углубленного просмотра угроз, эксплойтов и сценариев.

Затронутые продукты:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Затронутые платформы:

  • Windows
  • Mac
  • Linux

Администраторы Dell Endpoint Security Suite Enterprise или Dell Threat Defense могут получить доступ к отдельной конечной точке для просмотра:

  • содержания вредоносного ПО;
  • состояния вредоносного ПО;
  • типа вредоносного ПО.

Эти действия следует выполнять администратору только при устранении неполадок, из-за которых модуль Advanced Threat Prevention (ATP) неправильно классифицировал файл. Для получения дополнительной информации нажмите Доступ или Обзор .

Access

Доступ к информации о вредоносном ПО различается в зависимости от ОС: Windows, macOS и Linux. Нажмите на соответствующую операционную систему, чтобы ознакомиться с дополнительными сведениями.

Windows

По умолчанию Windows не записывает подробную информацию о вредоносном ПО.

  1. Нажмите правой кнопкой мыши меню Windows «Пуск», затем нажмите Выполнить.
    Выполните
  2. В пользовательском интерфейсе «Выполнить» введите regedit затем нажмите клавиши CTRL+SHIFT+ENTER. Редактор реестра запускается с правами администратора.
    Пользовательский интерфейс «Выполнить»
  3. В редакторе реестра перейдите в раздел HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  4. На левой панели правой кнопкой мыши нажмите Рабочий стол и выберите Разрешения.
    Разрешения
  5. Нажмите Advanced.
    «Advanced»
  6. Нажмите Владелец.
    Вкладка «Владелец»
  7. Нажмите Другие пользователи или группы.
    Другие пользователи или группы
  8. Найдите свою учетную запись в группе и нажмите OK.
    Учетная запись выбрана
  9. Нажмите OK.
    ОК
  10. Убедитесь, что для вашей группы или имени пользователя установлен флажок Полный доступ, а затем нажмите OK.
    Проверка выбора полного доступа
    Примечание. В данном примере DDP_Admin (шаг 8) входит в группу «Пользователи».
  11. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, щелкните правой кнопкой мыши папку Рабочий стол , выберите Создать, а затем нажмите DWORD (32-разрядная) Значение.
    Новое DWORD
  12. Присвойте DWORD имя StatusFileEnabled.
    StatusFileEnabled
  13. Двойной щелчок StatusFileEnabled.
    Редактировать DWORD
  14. Заполните значение данных 1 и нажмите OK.
    Обновленное DWORD
  15. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, щелкните правой кнопкой мыши папку Рабочий стол , выберите Создать, а затем нажмите DWORD (32-разрядная) Значение.
    Новое DWORD
  16. Присвойте DWORD имя StatusFileType.
    StatusFileType
  17. Двойной щелчок StatusFileType.
    Редактировать DWORD
  18. Заполните поле «Value data » либо 0 или 1. После заполнения поля Значение нажмите OK.
    Обновленное DWORD
    Примечание. Варианты значения:
    • 0 = формат файла JSON
    • 1 = формат XML
  19. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, щелкните правой кнопкой мыши папку Рабочий стол , выберите Создать, а затем нажмите DWORD (32-разрядная) Значение.
    Новое DWORD
  20. Присвойте DWORD имя StatusPeriod.
    StatusPeriod
  21. Двойной щелчок StatusPeriod.
    Редактировать DWORD
  22. Заполните поле Value data числом в диапазоне от 15 на 60 и затем нажмите OK.
    Обновленное DWORD
    Примечание. StatusPeriod — это частота записи файла.
    15 = интервал 15 секунд
    60 = интервал 60 секунд
  23. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, щелкните правой кнопкой мыши папку Рабочий стол , выберите Создать, а затем нажмите String Value.
    Новое строковое значение
  24. Назовите строку StatusFilePath.
    StatusFilePath
  25. Дважды нажмите StatusFilePath.
    Редактировать строковое значение
  26. Введите в поле Значение местонахождение для записи файла состояния и нажмите OK.
    Отредактированное строковое значение
    Примечание.
    • Путь по умолчанию: <CommonAppData>\Cylance\Status\Status.json
    • Пример пути: C:\ProgramData\Cylance
    • Файл .json (JavaScript Object Notation) можно открыть в редакторе текстовых документов ASCII.

macOS

Подробные сведения о вредоносном ПО можно найти в Status.json Файл по адресу:

/Library/Application Support/Cylance/Desktop/Status.json
Примечание. Файл .json (JavaScript Object Notation) можно открыть в редакторе текстовых документов ASCII.

Linux

Подробные сведения о вредоносном ПО можно найти в Status.json Файл по адресу:

/opt/cylance/desktop/Status.json
Примечание. Файл .json (JavaScript Object Notation) можно открыть в редакторе текстовых документов ASCII.

Просмотр

Содержимое файла состояния содержит подробную информацию о нескольких категориях, включая угрозы, эксплойты и сценарии. Нажмите на соответствующую информацию, чтобы узнать больше.

каталог

Содержимое файла состояния

snapshot_time Дата и время сбора информации о состоянии. Дата и время являются локальными для устройства.
ProductInfo
  • version. Версия агента Advanced Threat Prevention на устройстве
  • last_communicated_timestamp. Дата и время последней проверки обновления агента
  • serial_number. Маркер установки, используемый для регистрации агента
  • device_name. Имя устройства, на котором установлен агент
Policy
  • type. Состояние, в котором агент находится в режиме онлайн или в автономном режиме
  • id. Уникальный идентификатор политики
  • name. Policy Name
ScanState
  • last_background_scan_timestamp. Дата и время последнего сканирования на предмет фонового обнаружения угроз
  • drives_scanned. Список отсканированных букв дисков
Threats
  • count. Количество обнаруженных угроз
  • max. Максимальное количество угроз в файле Status
  • Угроза
    • file_hash_id. Отображает информацию о хэше SHA256 для угрозы
    • file_md5. Хеш MD5
    • file_path. путь, по которому была обнаружена угроза. Включает имя файла
    • is_running. в настоящее время на устройстве выполняется угроза? Верно или неверно
    • auto_run. настроен ли автоматический запуск набора файлов угрозы? Верно или неверно
    • file_status. отображение текущего состояния угрозы, например «Разрешена», «Выполняется» или «Помещена в карантин». Просмотрите категорию Угрозы: Таблица FileState
    • file_type. Отображает тип файла, например Portable Executable (PE), Archive или PDF. Просмотрите категорию Угрозы: Таблица FileType
    • score. отображение рейтинга Cylance. Значение, отображаемое в файле состояния, находится в диапазоне от 1000 до -1000. В консоли диапазон значений: от 100 до -100
    • file_size. Отображает размер файла в байтах
Exploits
  • count. Количество найденных эксплойтов
  • max. Максимальное количество эксплойтов в файле Status
  • Эксплойт
    • ProcessId. Отображает идентификатор процесса приложения, который определяется параметром «Memory Protection»
    • ImagePath. путь, по которому начинается эксплойт. Включает имя файла
    • ImageHash. Отображает информацию о хэше SHA256 для эксплойта
    • FileVersion. Отображает номер версии файла эксплойта
    • Username. Отображает имя пользователя, вошедшего в устройство в момент срабатывания эксплойта
    • Groups. Отображает группу, к которой связан вошедший в систему пользователь
    • Sid. Идентификатор безопасности (SID) вошедшего в систему пользователя
    • ItemType. Отображает тип эксплойта, который относится к типам нарушений
    Примечание.
    • State: Отображает текущее состояние эксплойта, например «Разрешено», «Заблокировано» или «Прекращено»
    Примечание. Ознакомьтесь с эксплойтами: таблица State.
    • MemDefVersion. Версия защиты памяти, используемая для идентификации эксплойта, обычно это номер версии агента.
    • Count. Количество попыток запуска эксплойта
Scripts
  • count. Количество сценариев, выполняемых на устройстве
  • max. Максимальное количество скриптов в файле Status
  • Сценарий
    • script_path. путь, по которому начинается сценарий. Включает имя файла
    • file_hash_id. Отображает сведения о хэше SHA256 для сценария.
    • file_md5. Отображает сведения о хеше MD5 для скрипта, если они доступны
    • file_sha1. Отображает сведения о хеше SHA1 для скрипта, если они доступны
    • drive_type. Указывает тип диска, с которого был создан сценарий, например Fixed
    • last_modified. Дата и время последнего изменения сценария
    • interpreter.
      • name. Имя функции управления сценариями, которая определила вредоносный сценарий
      • version. Номер версии функции управления сценариями
    • username. Отображает имя пользователя, который вошел в устройство при запуске сценария
    • groups. Отображает группу, к которой связан вошедший в систему пользователь
    • sid. Идентификатор безопасности (SID) вошедшего в систему пользователя
    • action. Отображает действие, выполняемое со сценарием, например «Разрешено», «Заблокировано» или «Завершено». Просмотрите категорию Сценарии: Таблица действий

Угрозы

Угрозы имеют несколько числовых категорий, которые необходимо расшифровать: File_Status, FileState и FileType. Укажите соответствующую категорию для присваиваемых значений.

File_Status

Поле File_Status представляет собой десятичное значение, вычисляемое на основе значений, включенных функцией FileState (см. таблицу в разделе FileState ). Например, десятичное значение 9 для file_status рассчитывается на основе файла, идентифицированного как угроза (0x01), и файл помещен в карантин (0x08).

file_status и file_type

FileState

Угрозы: FileState

None 0x00
Угроза 0x01
Подозрительный 0x02
Разрешено 0x04
Помещен в карантин 0x08
Выполняется 0x10
Поврежден 0x20
FileType

Угрозы: FileType

Не поддерживается 0
PE 1.
Archive 2.
PDF 3.
OLE 4

Эксплойты

Эксплойты имеют две числовые категории, которые можно расшифровать как в ItemType, так и в State.

ItemType и State

Укажите соответствующую категорию для присваиваемых значений.

ItemType

Эксплойты: ItemType

StackPivot 1. Stack Pivot
StackProtect 2. Stack Protect
OverwriteCode 3. Overwrite Code
OopAllocate 4 Remote Allocation of Memory
OopMap 5. Remote Mapping of Memory
OopWrite 6 Remote Write to Memory
OopWritePe 7. Remote Write PE to Memory
OopOverwriteCode 8 Remote Overwrite Code
OopUnmap 9. Remote Unmap of Memory
OopThreadCreate 10 Remote Thread Creation
OopThreadApc 11 Remote APC Scheduled
LsassRead 12 LSASS Read
TrackDataRead 13 Очистка ОЗУ
CpAllocate 14 Remote Allocation of Memory
CpMap 15 Remote Mapping of Memory
CpWrite 16 Remote Write to Memory
CpWritePe 17 Remote Write PE to Memory
CpOverwriteCode 18 Remote Overwrite Code
CpUnmap 19 Remote Unmap of Memory
CpThreadCreate 20 Remote Thread Creation
CpThreadApc 21 Remote APC Scheduled
ZeroAllocate 22 Zero Allocate
DyldInjection 23 Ввод DYLD
MaliciousPayload 24 Malicious Payload
Примечание.
Состояние

Эксплойты: Состояние

None 0
Разрешено 1.
Заблокировано 2.
Завершено 3.

Сценарии

Эксплойты имеют одну числовую категорию, которую можно расшифровать в Action.

Действие

Сценарии: Действие

None 0
Разрешено 1.
Заблокировано 2.
Завершено 3.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.