Analysieren des Endpunktstatus mit Dell Endpoint Security Suite Enterprise und Threat Defense

Summary: Erfahren Sie, wie Sie mithilfe dieser Anweisungen den Endpunktstatus in Dell Endpoint Security Suite Enterprise und Dell Threat Defense analysieren.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Hinweis:
  • Mit Stand Mai 2022 hat Dell Endpoint Security Suite Enterprise das Ende der Wartung erreicht. Dieses Produkt und die dazugehörigen Artikel werden von Dell nicht mehr aktualisiert.
  • Mit Stand Mai 2022 hat Dell Threat Defense das Ende der Wartung erreicht. Dieses Produkt und die dazugehörigen Artikel werden von Dell nicht mehr aktualisiert.
  • Weitere Informationen finden Sie unter Produktlebenszyklus-Richtlinie (Ende des Supports/der Nutzungsdauer) für Dell Data Security. Wenn Sie Fragen zu alternativen Artikeln haben, wenden Sie sich an Ihren Vertriebsmitarbeiter oder wenden Sie sich an endpointsecurity@dell.com.
  • Weitere Informationen zu aktuellen Produkten finden Sie unter Endpoint Security.

Die Endpunktstatus von Dell Endpoint Security Suite Enterprise und Dell Threat Defense können für eine eingehende Überprüfung von Bedrohungen, Exploits und Skripten von einem bestimmten Endpunkt abgerufen werden.

Betroffene Produkte:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Betroffene Plattformen:

  • Windows
  • Mac
  • Linux

Administratoren von Dell Endpoint Security Suite Enterprise oder Dell Threat Defense können auf einen einzelnen Endpunkt zugreifen, um Folgendes zu überprüfen:

  • Malware-Inhalte
  • Malware-Status
  • Malware-Typ

Ein Administrator sollte diese Schritte nur bei der Fehlerbehebung durchführen, warum die Advanced Threat Prevention (ATP)-Engine eine Datei falsch klassifiziert hat. Klicken Sie auf Zugriff oder Überprüfen , um weitere Informationen zu erhalten.

Access

Der Zugriff auf Malware-Informationen unterscheidet sich zwischen Windows, macOS und Linux. Klicken Sie für weitere Informationen auf das entsprechende Betriebssystem.

Windows

Standardmäßig erfasst Windows keine detaillierten Malware-Informationen.

  1. Klicken Sie mit der rechten Maustaste auf das Startmenü von Windows und klicken Sie auf Run (Ausführen).
    Führen Sie
  2. Geben Sie in der Benutzeroberfläche regedit und drücken Sie dann STRG+UMSCHALT+EINGABETASTE. Dadurch wird der Registrierungseditor als Administrator ausgeführt.
    UI „Ausführen“
  3. Navigieren Sie im Registrierungs-Editor zu HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  4. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf Desktop und wählen Sie dann Berechtigungen aus.
    Berechtigungen
  5. Klicken Sie auf Erweitert.
    Erweitert
  6. Klicken Sie auf Besitzer.
    Registerkarte „Besitzer“
  7. Klicken Sie auf Weitere Benutzer oder Gruppen.
    Weitere Benutzer oder Gruppen
  8. Suchen Sie in der Gruppe nach Ihrem Konto und klicken Sie dann auf OK.
    Konto ausgewählt
  9. Klicken Sie auf OK.
    OK
  10. Stellen Sie sicher, dass für Ihre Gruppe oder Ihren Nutzernamen Vollständige Kontrolle aktiviert ist und klicken Sie dann auf OK.
    Auswahl für Vollzugriff wird überprüft
    Hinweis: In diesem Beispiel ist DDP_Admin (Schritt 8) ein Mitglied der Nutzergruppe.
  11. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klicken Sie mit der rechten Maustaste auf den Ordner Desktop, wählen Sie Neu aus, und klicken Sie dann auf DWORD-Wert (32-Bit).
    Neues DWORD
  12. Benennen Sie DWORD StatusFileEnabled.
    StatusFileEnabled
  13. Doppelklicken Sie StatusFileEnabled.
    DWORD bearbeiten
  14. Füllen Sie Wertdaten mit 1 ein und drücken Sie anschließend OK.
    DWORD aktualisiert
  15. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klicken Sie mit der rechten Maustaste auf den Ordner Desktop, wählen Sie Neu aus, und klicken Sie dann auf DWORD-Wert (32-Bit).
    Neues DWORD
  16. Benennen Sie DWORD StatusFileType.
    StatusFileType
  17. Doppelklicken Sie StatusFileType.
    DWORD bearbeiten
  18. Füllen Sie die Value-Daten mit einer der folgenden Optionen aus: 0 oder 1. Sobald Wertdaten eingegeben wurden, klicken Sie auf OK.
    DWORD aktualisiert
    Hinweis: Wertauswahl:
    • 0 = JSON-Dateiformat
    • 1 = XML-Format
  19. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klicken Sie mit der rechten Maustaste auf den Ordner Desktop, wählen Sie Neu aus, und klicken Sie dann auf DWORD-Wert (32-Bit).
    Neues DWORD
  20. Benennen Sie DWORD StatusPeriod.
    StatusPeriod
  21. Doppelklicken Sie StatusPeriod.
    DWORD bearbeiten
  22. Geben Sie Wertdaten mit einer Zahl ein, die von 15 an 60 ein, und klicken Sie dann auf OK.
    DWORD aktualisiert
    Hinweis: Der StatusPeriod gibt an, wie oft die Datei geschrieben wird.
    15 = 15-Sekunden-Intervall
    60 = 60-Sekunden-Intervall
  23. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, klicken Sie mit der rechten Maustaste auf den Ordner Desktop , wählen Sie Neu aus, und klicken Sie dann auf String Value.
    Neuer String
  24. Benennen Sie die Zeichenfolge StatusFilePath.
    StatusFilePath
  25. Doppelklicken Sie auf StatusFilePath.
    String bearbeiten
  26. Geben Sie unter Wertdaten den Speicherort ein, an den die Statusdatei geschrieben werden soll, und klicken Sie dann auf OK.
    String bearbeitet
    Hinweis:
    • Standardpfad: <CommonAppData>\Cylance\Status\Status.json
    • Beispielpfad: C:\ProgramData\Cylance
    • Eine .json-Datei (JavaScript Object Notation) kann in einem ASCII-Textdokumenteditor geöffnet werden.

macOS

Ausführliche Informationen zur Malware finden Sie im Status.json Datei unter:

/Library/Application Support/Cylance/Desktop/Status.json
Hinweis: Eine .json-Datei (JavaScript Object Notation) kann in einem ASCII-Textdokumenteditor geöffnet werden.

Linux

Ausführliche Informationen zur Malware finden Sie im Status.json Datei unter:

/opt/cylance/desktop/Status.json
Hinweis: Eine .json-Datei (JavaScript Object Notation) kann in einem ASCII-Textdokumenteditor geöffnet werden.

Überprüfung

Der Inhalt der Statusdatei umfasst detaillierte Informationen zu mehreren Kategorien, einschließlich Bedrohungen, Exploits und Skripte. Klicken Sie auf die entsprechenden Informationen, um diese aufzurufen.

Verzeichnis.

Inhalt der Statusdatei:

snapshot_time Datum und Uhrzeit der Erfassung der Statusinformationen. Datum und Uhrzeit gelten lokal für das Gerät.
ProductInfo
  • versionfestzulegen: Advanced Threat Prevention Agent-Version auf dem Gerät
  • last_communicated_timestampfestzulegen: Datum und Uhrzeit der letzten Überprüfung einer Agent-Aktualisierung
  • serial_numberfestzulegen: Installationstoken, das zum Registrieren des Agenten verwendet wird
  • device_namefestzulegen: Name des Geräts, auf dem der Agent installiert ist
Policy
  • typefestzulegen: Status, ob der Agent online oder offline ist
  • idfestzulegen: Eindeutige Kennung für die Policy
  • namefestzulegen: Policy-Name
ScanState
  • last_background_scan_timestampfestzulegen: Datum und Uhrzeit des letzten Scans zur Erkennung von Hintergrundbedrohungen
  • drives_scannedfestzulegen: Liste der gescannten Laufwerksbuchstaben
Threats
  • countfestzulegen: Anzahl der gefundenen Bedrohungen
  • maxfestzulegen: Die maximale Anzahl von Bedrohungen in der Statusdatei
  • Threat
    • file_hash_idfestzulegen: Zeigt die SHA256-Hash-Informationen für die Bedrohung an
    • file_md5festzulegen: Der MD5-Hash
    • file_pathfestzulegen: Der Pfad, unter dem die Bedrohung gefunden wurde. Enthält den Dateinamen
    • is_runningfestzulegen: Wird die Bedrohung derzeit auf dem Gerät ausgeführt? Wahr oder falsch
    • auto_runfestzulegen: Wird die Bedrohungsdatei automatisch ausgeführt? Wahr oder falsch
    • file_statusfestzulegen: Zeigt den aktuellen Status der Bedrohung an, z. B. „Allowed“, „Running“ oder „Quarantined“. Siehe Tabelle Threats: FileState-Tabelle
    • file_typefestzulegen: Zeigt den Typ der Datei an, z. B. Portable Executable (PE), Archiv oder PDF. Siehe Tabelle Threats: FileType-Tabelle
    • scorefestzulegen: Zeigt die Cylance-Bewertung an. Die in der Statusdatei angezeigten Bewertungen reichen von 1000 bis -1000. In der Konsole liegt der Bereich zwischen 100 und -100
    • file_sizefestzulegen: Zeigt die Dateigröße in Byte an
Exploits
  • countfestzulegen: Anzahl der gefundenen Exploits
  • maxfestzulegen: Die maximale Anzahl von Exploits in der Statusdatei
  • Exploit
    • ProcessIdfestzulegen: Zeigt die Prozess-ID der Anwendung an, die durch Memory Protection identifiziert wird
    • ImagePathfestzulegen: Der Pfad, von dem der Exploit stammt. Enthält den Dateinamen
    • ImageHashfestzulegen: Zeigt die SHA256-Hash-Informationen für das Exploit an
    • FileVersionfestzulegen: Zeigt die Versionsnummer der Exploit-Datei an
    • Usernamefestzulegen: Zeigt den Namen des Nutzers an, der zum Zeitpunkt des Exploits am Gerät angemeldet war.
    • Groupsfestzulegen: Zeigt die Gruppe an, der der angemeldete Nutzer zugeordnet ist
    • Sidfestzulegen: Die Sicherheitskennung (SID) für den angemeldeten Nutzer
    • ItemTypefestzulegen: Zeigt den Exploit-Typ an, der sich auf die Verletzungstypen bezieht
    Hinweis:
    • State: Zeigt den aktuellen Status des Exploits an, z. B. Zulässig, Blockiert oder Beendet
    Hinweis: Beziehen Sie sich auf die Exploits: State.
    • MemDefVersionfestzulegen: Die Version von Memory Protection, die zur Identifizierung des Exploits verwendet wurde, in der Regel die Versionsnummer des Agent
    • Countfestzulegen: Anzahl der Ausführungsversuche des Exploits
Scripts
  • countfestzulegen: Die Anzahl der Skripte, die auf dem Gerät ausgeführt werden
  • maxfestzulegen: Die maximale Anzahl von Skripten in der Statusdatei
  • Skript
    • script_pathfestzulegen: Der Pfad, von dem das Skript stammt. Enthält den Dateinamen
    • file_hash_idfestzulegen: Zeigt die SHA256-Hash-Informationen für das Skript an
    • file_md5festzulegen: Zeigt die MD5-Hash-Informationen für das Skript an, falls verfügbar
    • file_sha1festzulegen: Zeigt die SHA1-Hash-Informationen für das Skript an, falls verfügbar
    • drive_typefestzulegen: Gibt den Typ des Laufwerks an, von dem das Skript stammt, z. B. "Fixed"
    • last_modifiedfestzulegen: Datum und Uhrzeit der letzten Änderung des Skripts
    • interpreterfestzulegen:
      • namefestzulegen: Der Name der Skriptkontrollfunktion, die das schädliche Skript identifiziert hat
      • versionfestzulegen: Die Versionsnummer der Skriptsteuerungsfunktion
    • usernamefestzulegen: Zeigt den Namen des Nutzers an, der beim Starten des Skripts auf dem Gerät angemeldet war.
    • groupsfestzulegen: Zeigt die Gruppe an, der der angemeldete Nutzer zugeordnet ist
    • sidfestzulegen: Die Sicherheitskennung (SID) für den angemeldeten Nutzer
    • actionfestzulegen: Zeigt die Aktion an, die für das Skript ausgeführt wird, z. B. Zulässig, Blockiert oder Beendet. Siehe Tabelle Scripts: Aktionstabelle

Bedrohungen

Bedrohungen verfügen über mehrere numerische Kategorien, die in File_Status, FileState und FileType entschlüsselt werden müssen. Verweisen Sie auf die entsprechende Kategorie für die Werte, die zugewiesen werden sollen.

File_Status

Das Feld File_Status ist ein Dezimalwert, der basierend auf den Werten berechnet wird, die von FileState aktiviert werden (siehe Tabelle im Abschnitt FileState ). Beispielsweise wird ein Dezimalwert von 9 für file_status daraus berechnet, dass die Datei als Bedrohung (0x01) identifiziert und in Quarantäne (0x08) verschoben wurde.

file_status und file_type

FileState

Threats: FileState

Keine 0x00
Threat 0x01
Suspicious 0x02
Erlaubt 0x04
Quarantined 0x08
Running 0x10
Corrupt 0x20
FileType

Threats: FileType

Nicht unterstützt 0
PE 1
Archiv 2
PDF 3
OLE 4

Exploits

Exploits haben zwei numerische Kategorien, die in ItemType und State aufgeschlüsselt werden.

ItemType und State

Verweisen Sie auf die entsprechende Kategorie für die Werte, die zugewiesen werden sollen.

ItemType

Exploits: ItemType

StackPivot 1 Stack Pivot
StackProtect 2 Stack schützen
OverwriteCode 3 Code überschreiben
OopAllocate 4 Remote-Zuordnung des Arbeitsspeichers
OopMap 5 Remote-Zuordnung des Arbeitsspeichers
OopWrite 6 Remote-Schreiben in Arbeitsspeicher
OopWritePe 7 Remote-Schreiben von PE in Arbeitsspeicher
OopOverwriteCode 8 Remote-Überschreiben von Code
OopUnmap 9 Remote-Aufheben der Arbeitsspeicherzuordnung
OopThreadCreate 10 Remote-Thread-Erstellung
OopThreadApc 11 Remote-APC geplant
LsassRead 12 LSASS lesen
TrackDataRead 13 RAM-Scraping
CpAllocate 14 Remote-Zuordnung des Arbeitsspeichers
CpMap 15 Remote-Zuordnung des Arbeitsspeichers
CpWrite 16 Remote-Schreiben in Arbeitsspeicher
CpWritePe 17 Remote-Schreiben von PE in Arbeitsspeicher
CpOverwriteCode 18 Remote-Überschreiben von Code
CpUnmap 19 Remote-Aufheben der Arbeitsspeicherzuordnung
CpThreadCreate 20 Remote-Thread-Erstellung
CpThreadApc 21 Remote-APC geplant
ZeroAllocate 22 Nullzuweisung
DyldInjection 23 DYLD-Injektion
MaliciousPayload 24 Böswillige Payload
Hinweis:
State

Exploits: State

Keine 0
Erlaubt 1
Blocked 2
Terminated 3

Skripte

Exploits haben eine einzige numerische Kategorie, die in Action entschlüsselt wird.

Aktion

Scripts: Aktion

Keine 0
Erlaubt 1
Blocked 2
Terminated 3

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.