Analiza stanu punktu końcowego obrony przed zagrożeniem rozwiązania Dell Endpoint Security Suite Enterprise

Summary: Dowiedz się więcej na temat analizowania stanu punktów końcowych w rozwiązaniu Dell Endpoint Security Suite Enterprise i Dell Threat Defense, korzystając z tych instrukcji.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Uwaga:

Stany punktów końcowych Dell Endpoint Security Suite Enterprise i Dell Threat Defense można pobrać z określonego punktu końcowego w celu dogłębnego przeglądu zagrożeń, programów wykorzystujących luki i skryptów.

Dotyczy produktów:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Dotyczy platform:

  • Windows
  • Mac
  • Linux

Administratorzy rozwiązania Dell Endpoint Security Suite Enterprise lub Dell Threat Defense mogą uzyskać dostęp do poszczególnych punktów końcowych w celu sprawdzenia:

  • zawartości złośliwego oprogramowania
  • stanu złośliwego oprogramowania
  • typu złośliwego oprogramowania

Administrator powinien wykonać te kroki tylko podczas rozwiązywania problemów z przyczyną błędnej klasyfikacji pliku przez aparat Advanced Threat Prevention (ATP). Kliknij opcję Access lub Review , aby uzyskać więcej informacji.

Access

Dostęp do informacji o złośliwym oprogramowaniu różni się w zależności od systemu Windows, macOS i Linux. Aby uzyskać więcej informacji, kliknij odpowiedni system operacyjny.

Windows

Domyślnie system Windows nie rejestruje szczegółowych informacji o złośliwym oprogramowaniu.

  1. Prawym przyciskiem myszy kliknij menu Start systemu Windows, a następnie kliknij opcję Uruchom.
    Uruchom
  2. W oknie Uruchom wpisz regedit , a następnie naciśnij CTRL+SHIFT+ENTER. Edytor rejestru zostanie uruchomiony jako administrator.
    Uruchom UI
  3. W Edytorze rejestru przejdź do HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  4. W lewym okienku kliknij prawym przyciskiem myszy punkt Pulpit, a następnie wybierz opcję Pozwolenia.
    Uprawnienia
  5. Kliknij opcję Advanced (Zaawansowane).
    Zaawansowane
  6. Kliknij opcję Właściciel.
    Karta Właściciel
  7. Kliknij opcję Inni użytkownicy i grupy.
    Inni użytkownicy i grupy
  8. Wyszukaj swoje konto w grupie, a następnie kliknij OK.
    Wybrane konto
  9. Kliknij przycisk OK.
    OK
  10. Upewnij się, że grupa lub nazwa użytkownika ma zaznaczoną opcję Pełna kontrola, a następnie kliknij OK.
    Sprawdzanie wyboru opcji Pełna kontrola
    Uwaga: W tym przykładzie DDP_Admin (krok 8) należy do grupy Użytkownicy.
  11. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, kliknij prawym przyciskiem myszy folder Pulpit, wybierz polecenie Nowy, a następnie kliknij polecenie Wartość DWORD (32-bitowa).
    Nowa wartość DWORD
  12. Nazwij DWORD StatusFileEnabled.
    StatusFileEnabled
  13. Kliknij dwukrotnie StatusFileEnabled.
    Edytuj wartość DWORD
  14. Wypełnij dane wartości za pomocą 1 i naciśnij OK.
    Zaktualizowano wartość DWORD
  15. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, kliknij prawym przyciskiem myszy folder Pulpit, wybierz polecenie Nowy, a następnie kliknij polecenie Wartość DWORD (32-bitowa).
    Nowa wartość DWORD
  16. Nazwij DWORD StatusFileType.
    StatusFileType
  17. Kliknij dwukrotnie StatusFileType.
    Edytuj wartość DWORD
  18. Wypełnij dane wartości jedną z dwóch opcji 0 lub 1. Po wypełnieniu danych wartości naciśnij OK.
    Zaktualizowano wartość DWORD
    Uwaga: Wyboru danych wartości:
    • 0 = Format pliku JSON
    • 1 = Format XML
  19. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, kliknij prawym przyciskiem myszy folder Pulpit, wybierz polecenie Nowy, a następnie kliknij polecenie Wartość DWORD (32-bitowa).
    Nowa wartość DWORD
  20. Nazwij DWORD StatusPeriod.
    StatusPeriod
  21. Kliknij dwukrotnie StatusPeriod.
    Edytuj wartość DWORD
  22. Wypełnij dane wartości liczbą z zakresu od 15 na 60 , a następnie kliknij przycisk OK.
    Zaktualizowano wartość DWORD
    Uwaga: StatusPeriod to częstotliwość zapisywania pliku.
    15 = 15-sekundowy interwał 60 = 60-sekundowy interwał
  23. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, kliknij prawym przyciskiem myszy folder Pulpit , wybierz polecenie Nowy, a następnie kliknij polecenie String Value.
    Nowy ciąg
  24. Nazwij ciąg StatusFilePath.
    StatusFilePath
  25. Kliknij dwukrotnie StatusFilePath.
    Edytuj ciąg
  26. Wpisz w polu Dane wartości lokalizację do zapisania pliku stanu, a następnie kliknij OK.
    Edytowany ciąg
    Uwaga:
    • Domyślna ścieżka: <CommonAppData>\Cylance\Status\Status.json
    • Przykładowa ścieżka: C:\ProgramData\Cylance
    • Plik .json (JavaScript Object Notation) można otworzyć w edytorze dokumentów tekstowych ASCII.

macOS

Szczegółowe informacje o złośliwym oprogramowaniu znajdują się w Status.json Plik pod adresem:

/Library/Application Support/Cylance/Desktop/Status.json
Uwaga: Plik .json (JavaScript Object Notation) można otworzyć w edytorze dokumentów tekstowych ASCII.

Linux

Szczegółowe informacje o złośliwym oprogramowaniu znajdują się w Status.json Plik pod adresem:

/opt/cylance/desktop/Status.json
Uwaga: Plik .json (JavaScript Object Notation) można otworzyć w edytorze dokumentów tekstowych ASCII.

Analiza

Zawartość pliku stanu zawiera szczegółowe informacje na temat wielu kategorii, w tym zagrożeń, wykorzystania luk i skryptów. Kliknij odpowiednie informacje, aby dowiedzieć się więcej na ten temat.

katalog

Zawartość pliku stanu:

snapshot_time Data i godzina zebrania informacji o stanie. Data i godzina są lokalne dla urządzenia.
ProductInfo
  • version: Wersja agenta Advanced Threat Prevention na urządzeniu
  • last_communicated_timestamp: Data i godzina ostatniego sprawdzenia aktualizacji agenta
  • serial_number: Token instalacyjny używany do rejestracji agenta
  • device_name: Nazwa urządzenia, na którym zainstalowano agenta
Policy
  • type: Stan tego, czy agent jest w trybie online, czy offline
  • id: Unikatowy identyfikator zasady
  • name: Nazwa zasady
ScanState
  • last_background_scan_timestamp: Data i godzina ostatniego skanowania w poszukiwaniu zagrożeń w tle
  • drives_scanned: Lista zeskanowanych liter dysków
Threats
  • count: Liczba wykrytych zagrożeń
  • max: Maksymalna liczba zagrożeń w pliku stanu
  • Zagrożenie
    • file_hash_id: Wyświetla informacje o skrótzie SHA256 dla zagrożenia
    • file_md5: Skrót MD5
    • file_path: Ścieżka, w której znaleziono zagrożenie. Zawiera nazwę pliku.
    • is_running: Czy zagrożenie obecnie występuje na urządzeniu? Prawda czy fałsz
    • auto_run: Czy plik zagrożenia jest uruchamiany automatycznie? Prawda czy fałsz
    • file_status: Wyświetla bieżący stan zagrożenia, np. dozwolony, uruchomiony lub poddany kwarantannie. Patrz Zagrożenia: Tabela FileState
    • file_type: Wyświetla typ pliku, np. Portable Executable (PE), Archive lub PDF. Patrz Zagrożenia: Tabela typówplików
    • score: Wyświetla wynik Cylance. Wynik wyświetlany w pliku statusu wynosi od 1000 do -1000. W konsoli zakres wynosi od 100 do -100
    • file_size: Wyświetla rozmiar pliku w bajtach
Exploits
  • count: Liczba znalezionych exploitów
  • max: Maksymalna liczba exploitów w pliku stanu
  • Exploit
    • ProcessId: Wyświetla identyfikator procesu aplikacji identyfikowany przez ochronę pamięci
    • ImagePath: Ścieżka, z której pochodzi wykorzystanie luki. Zawiera nazwę pliku.
    • ImageHash: Wyświetla informacje o skrótzie SHA256 dla exploita
    • FileVersion: Wyświetla numer wersji pliku exploita
    • Username: Wyświetla nazwę użytkownika, który był zalogowany na urządzeniu w momencie wystąpienia exploita
    • Groups: Wyświetla grupę, z którą powiązany jest zalogowany użytkownik
    • Sid: Identyfikator zabezpieczeń (SID) zalogowanego użytkownika
    • ItemType: Wyświetla typ exploita, który odnosi się do typów naruszeń
    Uwaga:
    • State: Wyświetla aktualny stan exploita, taki jak Dozwolony, Zablokowany lub Zakończony
    Uwaga: Zapoznaj się z exploitami: Tabela Stan.
    • MemDefVersion: Wersja oprogramowania Memory Protection używana do identyfikacji exploita, zazwyczaj numer wersji agenta
    • Count: Liczba prób uruchomienia exploita
Scripts
  • count: Liczba skryptów uruchamianych na urządzeniu
  • max: Maksymalna liczba skryptów w pliku stanu
  • Script
    • script_path: Ścieżka, z której pochodzi skrypt. Zawiera nazwę pliku.
    • file_hash_id: Wyświetla skrót SHA256 dla skryptu
    • file_md5: Wyświetla informacje o skrótach MD5 dla skryptu, jeśli są dostępne
    • file_sha1: Wyświetla informacje o skrótzie SHA1 dla skryptu, jeśli są dostępne
    • drive_type: Określa typ dysku, z którego pochodzi skrypt, np. Stały
    • last_modified: Data i godzina ostatniej modyfikacji skryptu
    • interpreter:
      • name: Nazwa funkcji kontroli skryptów, która zidentyfikowała złośliwy skrypt
      • version: Numer wersji funkcji kontroli skryptów
    • username: Wyświetla nazwę użytkownika, który był zalogowany na urządzeniu w momencie uruchomienia skryptu
    • groups: Wyświetla grupę, z którą powiązany jest zalogowany użytkownik
    • sid: Identyfikator zabezpieczeń (SID) zalogowanego użytkownika
    • action: Wyświetla akcję wykonywaną w skrypcie, taką jak Allowed, Blocked lub Terminated. Patrz Skrypty: Tabela akcji

Zagrożeniami

Zagrożenia mają wiele kategorii numerycznych do odszyfrowania w File_Status, FileState i FileType. Należy odwołać się do odpowiedniej kategorii, aby uzyskać wartości, które mają zostać przypisane.

File_Status

Pole File_Status jest wartością dziesiętną obliczaną na podstawie wartości włączonych przez FileState (patrz tabela w sekcji FileState ). Na przykład wartość dziesiętna 9 dla statusu_pliku jest obliczana na podstawie pliku zidentyfikowanego jako zagrożenie (0x01), gdzie plik został poddany kwarantannie (0x08).

file_status i file_type

Stan pliku

Zagrożenia: Stan pliku

None 0x00
Zagrożenie 0x01
Podejrzany 0x02
Dozwolone 0x04
Na kwarantannie 0x08
Działa 0x10
Uszkodzony 0x20
Typ pliku

Zagrożenia: Typ pliku

Brak obsługi 0
PE 1
Archiwalny 2
PDF 3
OLE 4

Wykorzystania luk

Wykorzystania luk mają dwie kategorie numeryczne, które należy odszyfrować zarówno w zakresie typu elementu i stanu.

Typ elementu i stan

Należy odwołać się do odpowiedniej kategorii, aby uzyskać wartości, które mają zostać przypisane.

Typ elementu

Wykorzystania luk: Typ elementu

StackPivot 1 Obracanie stosu
StackProtect 2 Ochrona stosu
OverwriteCode 3 Nadpisywanie kodu
OopAllocate 4 Zdalna alokacja pamięci
OopMap 5 Zdalne mapowanie pamięci
OopWrite 6 Zdalny zapis do pamięci
OopWritePe 7 Zdalny zapis PE do pamięci
OopOverwriteCode 8 Kod nadpisania zdalnego
OopUnmap 9 Zdalne usuwanie mapowania pamięci
OopThreadCreate 10 Tworzenie wątku zdalnego
OopThreadApc 11 Zaplanowano zdalne APC
LsassRead 12 Odczyt LSASS
TrackDataRead 13 RAM Scraping
CpAllocate 14 Zdalna alokacja pamięci
CpMap 15 Zdalne mapowanie pamięci
CpWrite 16 Zdalny zapis do pamięci
CpWritePe 17 Zdalny zapis PE do pamięci
CpOverwriteCode 18 Kod nadpisania zdalnego
CpUnmap 19 Zdalne usuwanie mapowania pamięci
CpThreadCreate 20 Tworzenie wątku zdalnego
CpThreadApc 21 Zaplanowano zdalne APC
ZeroAllocate 22 Alokacja zero
DyldInjection 23 Wprowadzanie DYLD
MaliciousPayload 24 Szkodliwe obciążenie
Uwaga:
Stan

Wykorzystania luk: Stan

None 0
Dozwolone 1
Zablokowany 2
Zakończony 3

Skrypty

Wykorzystania luk mają jedną kategorię numeryczną, którą należy odszyfrować w zakresie działania.

Czynność

Skrypty: Czynność

None 0
Dozwolone 1
Zablokowany 2
Zakończony 3

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.