Comment analyser l’état de Dell Endpoint Security Suite Enterprise et de Threat Defense Endpoint

Summary: Découvrez comment analyser l’état des points de terminaison dans Dell Endpoint Security Suite Enterprise et Dell Threat Defense en suivant ces instructions.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Remarque :

Les états des points de terminaison Dell Endpoint Security Suite Enterprise et Dell Threat Defense peuvent être extraits d’un point de terminaison spécifique pour un examen approfondi des menaces, des exploits et des scripts.

Produits concernés :

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Plates-formes concernées :

  • Windows
  • Mac
  • Linux

Les administrateurs Dell Endpoint Security Suite Enterprise ou Dell Threat Defense peuvent accéder à un point de terminaison individuel pour vérifier :

  • Le contenu des logiciels malveillants
  • L’état des logiciels malveillants
  • Le type de logiciels malveillants

Un administrateur ne doit effectuer ces étapes que lors du dépannage des raisons pour lesquelles le moteur ATP (Advanced Threat Prevention) a mal classé un fichier. Cliquez sur Access ou Review pour plus d’informations.

Accès

L’accès aux informations relatives aux logiciels malveillants varie entre Windows,macOSet Linux. Pour plus d’informations, cliquez sur le système d’exploitation approprié.

Windows

Par défaut, Windows n’enregistre pas les informations détaillées relatives aux logiciels malveillants.

  1. Cliquez avec le bouton droit de la souris sur le menu Démarrer de Windows, puis cliquez sur Exécuter.
    Exécutez
  2. Dans l’interface d’exécution, saisissez regedit puis appuyez sur CTRL+MAJ+ENTRÉE. Cette commande permet d’exécuter l’éditeur du registre en tant qu’administrateur.
    Interface d’exécution
  3. Dans l’éditeur du Registre, accédez à HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  4. Dans le volet de gauche, cliquez avec le bouton droit de la souris sur Bureau, puis sélectionnez Autorisations.
    Autorisations
  5. Cliquez sur Advanced (Avancé).
    Advanced (Avancé)
  6. Cliquez sur Propriétaire.
    Onglet Owner
  7. Cliquez sur Autres utilisateurs ou groupes.
    Autres utilisateurs ou groupes.
  8. Recherchez votre compte dans le groupe, puis cliquez sur OK.
    Compte sélectionné
  9. Cliquez sur OK.
    OK
  10. Assurez-vous que la case Contrôle total est cochée pour votre groupe ou nom d’utilisateur, puis cliquez sur OK.
    Vérification de la sélection Contrôle total
    Remarque : dans cet exemple, DDP_Admin (étape 8) est membre du groupe Utilisateurs.
  11. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, cliquez avec le bouton droit de la souris sur le dossier Bureau, sélectionnez Nouveau, puis cliquez sur Valeur DWORD (32 bits).
    Nouveau DWORD
  12. Nommage du DWORD StatusFileEnabled.
    StatusFileEnabled
  13. Double clic StatusFileEnabled.
    Modifier le DWORD
  14. Renseignez les données de valeur avec 1 puis appuyez sur OK.
    DWORD mis à jour
  15. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, cliquez avec le bouton droit de la souris sur le dossier Bureau, sélectionnez Nouveau, puis cliquez sur Valeur DWORD (32 bits).
    Nouveau DWORD
  16. Nommage du DWORD StatusFileType.
    StatusFileType
  17. Double clic StatusFileType.
    Modifier le DWORD
  18. Renseignez les données de valeur avec l’une des options suivantes : 0 ou 1. Une fois que les données de valeur ont été renseignées, appuyez sur OK.
    DWORD mis à jour
    Remarque : Choix de données de valeur :
    • 0 = format de fichier JSON
    • 1 = format XML
  19. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, cliquez avec le bouton droit de la souris sur le dossier Bureau, sélectionnez Nouveau, puis cliquez sur Valeur DWORD (32 bits).
    Nouveau DWORD
  20. Nommage du DWORD StatusPeriod.
    StatusPeriod
  21. Double clic StatusPeriod.
    Modifier le DWORD
  22. Renseignez les données de valeur avec un nombre allant de 15 to 60 puis cliquez sur OK.
    DWORD mis à jour
    Remarque : StatusPeriod correspond à la fréquence à laquelle le fichier est écrit.
    15 = intervalle
    de 15 secondes 60 = intervalle de 60 secondes
  23. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, cliquez avec le bouton droit de la souris sur le dossier Bureau , sélectionnez Nouveau, puis cliquez sur String Value.
    Nouvelle chaîne
  24. Nommez la chaîne StatusFilePath.
    StatusFilePath
  25. Double-cliquez sur StatusFilePath.
    Modifier la chaîne
  26. Renseignez les données de valeur avec l’emplacement d’écriture du fichier d’état, puis cliquez sur OK.
    Chaîne modifiée
    Remarque :
    • Chemin par défaut : <CommonAppData>\Cylance\Status\Status.json
    • Exemple de chemin : C:\ProgramData\Cylance
    • Les fichiers .json (JavaScript Object Notation) s’ouvrent avec un éditeur de document texte ASCII.

macOS

Vous trouverez des informations détaillées sur les logiciels malveillants dans la page Status.json Déposer à l’adresse suivante :

/Library/Application Support/Cylance/Desktop/Status.json
Remarque : Les fichiers .json (JavaScript Object Notation) s’ouvrent avec un éditeur de document texte ASCII.

Linux

Vous trouverez des informations détaillées sur les logiciels malveillants dans la page Status.json Déposer à l’adresse suivante :

/opt/cylance/desktop/Status.json
Remarque : Les fichiers .json (JavaScript Object Notation) s’ouvrent avec un éditeur de document texte ASCII.

Révision

Le contenu du fichier d’état inclut des informations détaillées sur plusieurs catégories, notamment les menaces, les exploits et les scripts. Cliquez sur les informations appropriées pour en savoir plus.

répertoire

Contenu du fichier d’état :

snapshot_time date et l’heure auxquelles les informations d’état ont été collectées. La date et l’heure correspondent à celles configurées sur l’appareil.
ProductInfo
  • version: Version de l’agent Advanced Threat Prevention sur l’appareil
  • last_communicated_timestamp: Date et heure de la dernière vérification d’une mise à jour d’agent
  • serial_number: Jeton d’installation utilisé pour enregistrer l’agent
  • device_name: Nom du périphérique sur lequel l’agent est installé
Policy
  • type: État indiquant si l’agent est en ligne ou hors ligne
  • id: ID unique de la règle
  • name: Nom de la politique
ScanState
  • last_background_scan_timestamp: Date et heure de la dernière analyse de détection des menaces en arrière-plan
  • drives_scanned: Liste des lettres de lecteur analysées
Threats
  • count: Le nombre de menaces détectées
  • max: Nombre maximal de menaces dans le fichier d’état
  • Menace
    • file_hash_id: Affiche les informations de hachage SHA256 correspondant à la menace
    • file_md5: Le hachage MD5
    • file_path: chemin d’accès à la menace. Inclut le nom du fichier
    • is_running: la menace est-elle en cours d’exécution sur l’appareil ? Vrai ou faux
    • auto_run: le jeu de fichiers de menaces est-il configuré pour s’exécuter automatiquement ? Vrai ou faux
    • file_status: affiche l’état actuel de la menace, par exemple Autorisé, En cours d’exécution ou Mis en quarantaine. Consultez le tableau Menaces : Table FileState
    • file_type: Affiche le type de fichier, tel que PE (Portable Executable), Archive ou PDF. Consultez le tableau Menaces : Table FileType
    • score: affiche l’indice Cylance. L’indice affiché dans le fichier d’état est compris entre 1 000 et -1 000. Dans la console, la plage est comprise entre 100 et -100
    • file_size: Affiche la taille du fichier, en octets
Exploits
  • count: Le nombre d’exploits détectés
  • max: Le nombre maximal d’exploits dans le fichier d’état
  • Exploit
    • ProcessId: Affiche l’ID de processus de l’application identifiée par la protection de la mémoire
    • ImagePath: chemin d’accès de l’emplacement d’origine de l’exploit. Inclut le nom du fichier
    • ImageHash: Affiche les informations de hachage SHA256 pour l’exploit
    • FileVersion: Affiche le numéro de version du fichier de faille de sécurité
    • Username: Affiche le nom de l’utilisateur qui était connecté à l’appareil lorsque l’exploit s’est produit
    • Groups: Affiche le groupe auquel l’utilisateur connecté est associé.
    • Sid: Identifiant de sécurité (SID) de l’utilisateur connecté
    • ItemType: Affiche le type d’exploit, qui se rapporte aux types de violation.
    Remarque :
    • State: Affiche l’état actuel de l’exploit, comme Autorisé, Bloqué ou Terminé.
    Remarque : Reportez-vous à la section Exploits : State.
    • MemDefVersion: Version de la protection de la mémoire utilisée pour identifier l’exploit, généralement le numéro de version de l’agent
    • Count: Le nombre de fois où l’exploit a tenté de s’exécuter
Scripts
  • count: Nombre de scripts exécutés sur le périphérique
  • max: Nombre maximal de scripts dans le fichier d’état
  • Script
    • script_path: chemin d’accès de l’emplacement d’origine du script. Inclut le nom du fichier
    • file_hash_id: Affiche les informations de hachage SHA256 pour le script
    • file_md5: Affiche les informations de hachage MD5 pour le script, si elles sont disponibles
    • file_sha1: Affiche les informations de hachage SHA1 pour le script, si elles sont disponibles
    • drive_type: Identifie le type de disque d’où provient le script, comme Fixed
    • last_modified: Date et heure de la dernière modification du script
    • interpreter:
      • name: Nom de la fonctionnalité de contrôle de script qui a permis d’identifier le script malveillant
      • version: Numéro de version de la fonctionnalité de contrôle de script
    • username: Affiche le nom de l’utilisateur qui était connecté au périphérique lors du lancement du script
    • groups: Affiche le groupe auquel l’utilisateur connecté est associé.
    • sid: Identifiant de sécurité (SID) de l’utilisateur connecté
    • action: Affiche l’action effectuée sur le script, comme Autorisé, Bloqué ou Terminé. Consultez le tableau Scripts : Tableau des actions

Menaces

Les menaces ont plusieurs catégories numériques à déchiffrer dans File_Status, FileState et FileType. Indiquez la catégorie appropriée pour les valeurs à attribuer.

File_Status

Le champ File_Status est une valeur décimale calculée en fonction des valeurs activées par FileState (voir le tableau de la section FileState ). Par exemple, une valeur décimale de 9 pour file_status est calculée à partir de l’identification du fichier comme menace (0x01) et de sa mise en quarantaine (0x08).

file_status et file_type

FileState

Menaces : FileState

Aucune 0x00
Menace 0x01
Suspect 0x02
Autorisé 0x04
Mis en quarantaine 0x08
En cours d’exécution 0x10
Corrompu 0x20
FileType

Menaces : FileType

Non prise en charge 0
PE 1
Archive 2
PDF 3
OLE 4

Exploits

Il existe deux catégories de menaces basées sur des chiffres qu’il faut aller chercher dans ItemType et State.

ItemType et State

Indiquez la catégorie appropriée pour les valeurs à attribuer.

ItemType

Exploits : ItemType

StackPivot 1 Falsification de la pile
StackProtect 2 Protection de la pile
OverwriteCode 3 Écrasement du code
OopAllocate 4 Allocation de mémoire à distance
OopMap 5 Mappage à distance de la mémoire
OopWrite 6 Écriture à distance dans la mémoire
OopWritePe 7 Écriture de PE à distance dans la mémoire
OopOverwriteCode 8 Écrasement à distance du code
OopUnmap 9 Démappage à distance de la mémoire
OopThreadCreate 10 Création à distance de threads
OopThreadApc 11 APC planifié à distance
LsassRead 12 Lecture LSASS
TrackDataRead 13 Grattage de mémoire
CpAllocate 14 Allocation de mémoire à distance
CpMap 15 Mappage à distance de la mémoire
CpWrite 16 Écriture à distance dans la mémoire
CpWritePe 17 Écriture de PE à distance dans la mémoire
CpOverwriteCode 18 Écrasement à distance du code
CpUnmap 19 Démappage à distance de la mémoire
CpThreadCreate 20 Création à distance de threads
CpThreadApc 21 APC planifié à distance
ZeroAllocate 22 Aucune allocation
DyldInjection 23 Injection DYLD
MaliciousPayload 24 Charge utile malveillante
Remarque :
État

Exploits : État

Aucune 0
Autorisé 1
Bloqué 2
Terminé 3

Scripts

Il existe une seule catégorie d’exploit basée sur des chiffres qu’il faut aller chercher dans Action.

Action

Scripts : Action

Aucune 0
Autorisé 1
Bloqué 2
Terminé 3

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.