Jak analyzovat stav koncového bodu sady Dell Endpoint Security Suite Enterprise a softwaru Threat Defense

Summary: Zjistěte, jak pomocí těchto pokynů analyzovat stavy koncových bodů v sadě Dell Endpoint Security Suite Enterprise a softwaru Dell Threat Defense.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Poznámka:

Stavy koncových bodů sady Dell Endpoint Security Suite Enterprise a Dell Threat Defense lze získat z konkrétního koncového bodu a získat tak hloubkovou kontrolu hrozeb, zneužití a skriptů.

Dotčené produkty:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Dotčené platformy:

  • Windows
  • Mac
  • Linux

Správci softwaru Dell Endpoint Security Suite Enterprise nebo Dell Threat Defense mají přístup k jednotlivým koncovým bodům za účelem kontroly:

  • Obsah typu malware
  • Stav malwaru
  • Typ malwaru

Správce by měl tyto kroky provádět pouze při odstraňování problémů, proč modul Advanced Threat Prevention (ATP) nesprávně klasifikuje soubor. Další informace získáte kliknutím na tlačítko Přístup nebo Zkontrolovat .

Přístupový

Přístup k informacím o malwaru se liší mezi systémy Windows, macOSLinux. Další informace jsou uvedeny pod odkazy k příslušným operačním systémům.

Windows

Ve výchozím nastavení systém Windows nezaznamenává podrobné informace o malwaru.

  1. Pravým tlačítkem klikněte na nabídku Start systému Windows a poté na možnost Spustit.
    Spustit
  2. V uživatelském rozhraní Spustit zadejte výraz regedit a potom stiskněte kombinaci kláves CTRL+SHIFT+ENTER. Tak spustíte Editor registru jako správce.
    Uživatelské rozhraní Spustit
  3. V Editoru registru přejděte na HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  4. V levém podokně klikněte pravým tlačítkem na Desktop a vyberte položku Oprávnění.
    Oprávnění
  5. Klikněte na tlačítko Upřesnit.
    Rozšířené funkce
  6. Klikněte na kartu Vlastník.
    Karta Vlastník
  7. Klikněte na tlačítko Další uživatelé a skupiny.
    Další uživatelé a skupiny
  8. Vyhledejte svůj účet ve skupině a klikněte na tlačítko OK.
    Vybraný účet
  9. Klikněte na tlačítko OK.
    OK
  10. Ujistěte se, že vaše skupina nebo uživatelské jméno má zaškrtnutou možnost Úplné řízení a pak klikněte na tlačítko OK.
    Kontrola výběru úplného řízení
    Poznámka: V příkladu je uživatel DDP_Admin (krok 8) členem skupiny Users.
  11. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klikněte pravým tlačítkem myši na složku Plocha, vyberte Nový a potom klikněte na Hodnota DWORD (32bitová).
    Nová hodnota DWORD
  12. Pojmenujte hodnotu DWORD. StatusFileEnabled.
    StatusFileEnabled
  13. Dvakrát klikněte StatusFileEnabled.
    Úprava hodnoty DWORD
  14. Vyplňte Údaj hodnoty 1 a stiskněte tlačítko OK.
    Aktualizovaná hodnota DWORD
  15. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klikněte pravým tlačítkem myši na složku Plocha, vyberte Nový a potom klikněte na Hodnota DWORD (32bitová).
    Nová hodnota DWORD
  16. Pojmenujte hodnotu DWORD. StatusFileType.
    StatusFileType
  17. Dvakrát klikněte StatusFileType.
    Úprava hodnoty DWORD
  18. Vyplňte Údaj hodnoty jedním z následujících 0 nebo 1. Po vyplnění pole Údaj hodnoty stiskněte tlačítko OK.
    Aktualizovaná hodnota DWORD
    Poznámka: Možné údaje hodnoty:
    • 0 = formát souboru JSON
    • 1 = formát XML
  19. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klikněte pravým tlačítkem myši na složku Plocha, vyberte Nový a potom klikněte na Hodnota DWORD (32bitová).
    Nová hodnota DWORD
  20. Pojmenujte hodnotu DWORD. StatusPeriod.
    StatusPeriod
  21. Dvakrát klikněte StatusPeriod.
    Úprava hodnoty DWORD
  22. Do pole Údaj hodnoty vyplňte číslo v rozsahu od 15 na 60 a klikněte na tlačítko OK.
    Aktualizovaná hodnota DWORD
    Poznámka: StatusPeriod je četnost zápisu souboru.
    15 = 15 sekundový interval
    60 = 60 sekundový interval
  23. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klikněte pravým tlačítkem myši na složku Plocha , vyberte Nová a potom klikněte na String Value.
    Nový řetězec
  24. Pojmenujte řetězec StatusFilePath.
    StatusFilePath
  25. Dvakrát klikněte na hodnotu StatusFilePath.
    Upravit řetězec
  26. Do pole Údaj hodnoty zadejte umístění, kam chcete zapsat stavový soubor, a klikněte na OK.
    Změněný řetězec
    Poznámka:
    • Výchozí cesta: <CommonAppData>\Cylance\Status\Status.json
    • Příklad cesty: C:\ProgramData\Cylance
    • Soubor .json (JavaScript Object Notation) lze otevřít v editoru textových dokumentů formátu ASCII.

macOS

Podrobné informace o malwaru naleznete v Status.json Soubor na adrese:

/Library/Application Support/Cylance/Desktop/Status.json
Poznámka: Soubor .json (JavaScript Object Notation) lze otevřít v editoru textových dokumentů formátu ASCII.

Linux

Podrobné informace o malwaru naleznete v Status.json Soubor na adrese:

/opt/cylance/desktop/Status.json
Poznámka: Soubor .json (JavaScript Object Notation) lze otevřít v editoru textových dokumentů formátu ASCII.

Kontrola

Obsah stavového souboru zahrnuje podrobné informace o více kategoriích včetně hrozeb, zneužití chybskriptů. Kliknutím na příslušné údaje získáte další informace.

adresář

Obsah stavového souboru:

snapshot_time Datum a čas, kdy byly informace o stavu shromážděny. Datum a čas jsou brány z místního zařízení.
ProductInfo
  • version: Verze agenta Advanced Threat Prevention v zařízení
  • last_communicated_timestamp: Datum a čas poslední kontroly aktualizace agenta
  • serial_number: Instalační token použitý k registraci agenta
  • device_name: Název zařízení, na kterém je agent nainstalován
Policy
  • type: Stav, zda je agent online nebo offline
  • id: Jedinečný identifikátor zásady
  • name: Název zásady
ScanState
  • last_background_scan_timestamp: Datum a čas poslední kontroly pomocí funkce Detekce hrozeb na pozadí
  • drives_scanned: Seznam naskenovaných písmen jednotek
Threats
  • count: Počet nalezených hrozeb
  • max: Maximální počet hrozeb ve stavovém souboru
  • Threat
    • file_hash_id: Zobrazí informace o hashi SHA256 pro hrozbu.
    • file_md5: Hodnota hash MD5
    • file_path: Cesta, kde byla hrozba nalezena. Obsahuje název souboru.
    • is_running: Je hrozba v zařízení aktuálně spuštěna? Pravda nebo lež
    • auto_run: Má soubor hrozby nastaveno automatické spuštění? Pravda nebo lež
    • file_status: Zobrazuje aktuální stav hrozby, jako je Allowed, Running nebo Quarantined. Viz tabulka Threats: Tabulka FileState
    • file_type: Zobrazí typ souboru, například přenosný spustitelný soubor (PE), archiv nebo PDF. Viz tabulka Threats: Tabulka FileType
    • score: Zobrazuje skóre Cylance. Skóre zobrazené ve stavovém souboru se pohybuje v rozsahu od 1000 do −1000. V konzoli je rozsah 100 až -100
    • file_size: Zobrazí velikost souboru v bajtech
Exploits
  • count: Počet zjištěných zneužití
  • max: Maximální počet zneužití ve stavovém souboru
  • Exploit
    • ProcessId: Zobrazí ID procesu aplikace, která je identifikována ochranou paměti
    • ImagePath: Cesta, ze které zneužití chyby pochází. Obsahuje název souboru.
    • ImageHash: Zobrazí informace o hashi SHA256 pro zneužití
    • FileVersion: Zobrazí číslo verze zneužitelného souboru.
    • Username: Zobrazuje jméno uživatele, který byl přihlášen k zařízení, když došlo ke zneužití
    • Groups: Zobrazí skupinu, ke které je přihlášený uživatel přiřazen
    • Sid: Identifikátor zabezpečení (SID) přihlášeného uživatele
    • ItemType: Zobrazí typ zneužití, který souvisí s typy porušení
    Poznámka:
    • State: Zobrazuje aktuální stav zneužití, například Povoleno, Blokováno nebo Ukončeno
    Poznámka: Viz Exploits: State.
    • MemDefVersion: Verze ochrany paměti použitá k identifikaci zneužití, obvykle číslo verze agenta
    • Count: Počet pokusů o spuštění zneužití
Scripts
  • count: Počet skriptů spuštěných na zařízení
  • max: Maximální počet skriptů ve stavovém souboru
  • Skript
    • script_path: Cesta, ze které skript pochází. Obsahuje název souboru.
    • file_hash_id: Zobrazí informace o hodnotě hash SHA256 pro skript.
    • file_md5: Zobrazí informace o hodnotě hash MD5 pro skript, pokud jsou k dispozici
    • file_sha1: Zobrazí informace o hodnotě hash SHA1 pro skript, pokud jsou k dispozici
    • drive_type: Identifikuje typ jednotky, ze které skript pochází, například Opraveno.
    • last_modified: Datum a čas, kdy byl skript naposledy změněn
    • interpreter:
      • name: Název funkce správy skriptů, která identifikovala škodlivý skript
      • version: Číslo verze funkce správy skriptů
    • username: Zobrazuje jméno uživatele, který byl přihlášen k zařízení při spuštění skriptu
    • groups: Zobrazí skupinu, ke které je přihlášený uživatel přiřazen
    • sid: Identifikátor zabezpečení (SID) přihlášeného uživatele
    • action: Zobrazí akci, která se se skriptem provede, například Povoleno, Blokováno nebo Ukončeno. Viz tabulka Scripts: Tabulka akcí

Threats

Hrozby mají několik číselných kategorií, které je třeba dešifrovat v File_Status, FileState a FileType. Odkazujte na příslušnou kategorii pro hodnoty, které mají být přiřazeny.

File_Status

Pole File_Status je desetinná hodnota vypočítaná na základě hodnot povolených parametrem FileState (viz tabulka v části FileState ). Například desítková hodnota 9 pro file_status se vypočítá ze souboru identifikovaného jako hrozba (0x01), který byl umístěn do karantény (0x08).

file_status and file_type

FileState

Threats: FileState

Žádné 0x00
Threat 0x01
Suspicious 0x02
Allowed 0x04
Quarantined 0x08
Running 0x10
Corrupt 0x20
FileType

Threats: FileType

Nepodporováno 0
PE 1
Archiv 2
PDF 3
OLE 4

Zneužití chyb

Zneužití chyb mají několik numerických kategorií zapsaných v polích ItemType a State, které je třeba dešifrovat.

ItemType a State

Odkazujte na příslušnou kategorii pro hodnoty, které mají být přiřazeny.

ItemType

Exploits: ItemType

StackPivot 1 Stack Pivot
StackProtect 2 Stack Protect
OverwriteCode 3 Overwrite Code
OopAllocate 4 Remote Allocation of Memory
OopMap 5 Remote Mapping of Memory
OopWrite 6 Remote Write to Memory
OopWritePe 7 Remote Write PE to Memory
OopOverwriteCode 8 Remote Overwrite Code
OopUnmap 9 Remote Unmap of Memory
OopThreadCreate 10 Remote Thread Creation
OopThreadApc 11 Remote APC Scheduled
LsassRead 12 LSASS Read
TrackDataRead 13 Získávání dat z paměti RAM
CpAllocate 14 Remote Allocation of Memory
CpMap 15 Remote Mapping of Memory
CpWrite 16 Remote Write to Memory
CpWritePe 17 Remote Write PE to Memory
CpOverwriteCode 18 Remote Overwrite Code
CpUnmap 19 Remote Unmap of Memory
CpThreadCreate 20 Remote Thread Creation
CpThreadApc 21 Remote APC Scheduled
ZeroAllocate 22 Zero Allocate
DyldInjection 23 Injektáž DYLD
MaliciousPayload 24 Malicious Payload
Poznámka:
Stav

Exploits: Stav

Žádné 0
Allowed 1
Blocked 2
Terminated 3

Skripty

Zneužití chyby mají jednu numerickou kategorii, kterou je třeba dešifrovat v poli Action.

Akce

Scripts: Akce

Žádné 0
Allowed 1
Blocked 2
Terminated 3

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.