Come analizzare lo stato degli endpoint in Dell Endpoint Security Suite Enterprise e Dell Threat Defense

Summary: Informazioni su come analizzare gli stati degli endpoint in Dell Endpoint Security Suite Enterprise e Dell Threat Defense utilizzando queste istruzioni.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Nota:

È possibile estrarre gli stati degli endpoint di Dell Endpoint Security Suite Enterprise e Dell Threat Defense da un endpoint specifico per un analisi approfondita di minacce, exploit e script.

Prodotti interessati:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Piattaforme interessate:

  • Windows
  • Mac
  • Linux

Gli amministratori di Dell Endpoint Security Suite Enterprise o Dell Threat Defense possono accedere a un singolo endpoint per esaminare:

  • Contenuto del malware
  • Stato del malware
  • Tipo di malware

Un amministratore deve eseguire questi passaggi solo quando risolve il motivo per cui il motore di Advanced Threat Prevention (ATP) ha classificato in modo errato un file. Per ulteriori informazioni, cliccare su Access o Review .

Accesso

L'accesso alle informazioni sul malware varia a seconda che si utilizzi Windows, macOS o Linux. Per maggiori informazioni, cliccare sul sistema operativo appropriato.

Windows

Per impostazione predefinita, Windows non registra informazioni approfondite sul malware.

  1. Cliccare con il pulsante destro del mouse sul menu Start di Windows e scegliere Esegui.
    Eseguire
  2. Nell'interfaccia utente di Esegui, digitare regedit e quindi premere CTRL+MAIUSC+INVIO. In questo modo viene eseguito l'editor del Registro di sistema con diritti di amministratore.
    Interfaccia utente Esegui
  3. Nell'Editor del Registro di sistema, passare a HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  4. Nel riquadro a sinistra, cliccare con il pulsante destro del mouse su Desktop, quindi scegliere Autorizzazioni.
    Autorizzazioni
  5. Cliccare su Avanzate.
    Avanzate
  6. Cliccare su Proprietario.
    Scheda Proprietario
  7. Cliccare su Altri utenti o gruppi.
    Altri utenti o gruppi
  8. Cercare il proprio account nel gruppo, quindi cliccare su OK.
    Account selezionato
  9. Cliccare su OK.
    OK
  10. Verificare che per il proprio gruppo o nome utente sia selezionato Controllo completo, quindi cliccare su OK.
    Verifica della selezione di Full Control
    Nota: nell'esempio, DDP_Admin (passaggio 8) è membro del gruppo di utenti.
  11. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, fare clic con il pulsante destro del mouse sulla cartella Desktop, selezionare Nuovo, quindi fare clic su Valore DWORD (32 bit).
    Nuovo valore DWORD
  12. Assegna un nome alla DWORD StatusFileEnabled.
    StatusFileEnabled
  13. Doppio clic StatusFileEnabled.
    Modifica DWORD
  14. Compilare i campi Dati valore con 1 e premere OK.
    DWORD aggiornato
  15. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, fare clic con il pulsante destro del mouse sulla cartella Desktop, selezionare Nuovo, quindi fare clic su Valore DWORD (32 bit).
    Nuovo valore DWORD
  16. Assegna un nome alla DWORD StatusFileType.
    StatusFileType
  17. Doppio clic StatusFileType.
    Modifica DWORD
  18. Compilare i campi Value data con 0 oppure 1. Una volta compilato il campo Dati valore, premere OK.
    DWORD aggiornato
    Nota: opzioni per Dati valori:
    • 0 = formato file JSON
    • 1 = formato XML
  19. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, fare clic con il pulsante destro del mouse sulla cartella Desktop, selezionare Nuovo, quindi fare clic su Valore DWORD (32 bit).
    Nuovo valore DWORD
  20. Assegna un nome alla DWORD StatusPeriod.
    StatusPeriod
  21. Doppio clic StatusPeriod.
    Modifica DWORD
  22. Compilare i campi Dati valore con un numero compreso tra 15 su 60 e quindi cliccare su OK.
    DWORD aggiornato
    Nota: StatusPeriod indica la frequenza con cui viene scritto il file.
    15 = Intervallo
    di 15 secondi 60 = Intervallo di 60 secondi
  23. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, fare clic con il pulsante destro del mouse sulla cartella Desktop , selezionare Nuovo, quindi fare clic su String Value.
    Nuova stringa
  24. Assegnare un nome alla stringa StatusFilePath.
    StatusFilePath
  25. Cliccare due volte su StatusFilePath.
    Modifica stringa
  26. Compilare il campo Dati valore con la posizione in cui scrivere il file di stato, quindi cliccare su OK.
    Stringa modificata
    Nota:
    • Percorso predefinito: <CommonAppData>\Cylance\Status\Status.json
    • Percorso di esempio: C:\ProgramData\Cylance
    • è possibile aprire un file .json (JavaScript Object Notation in un editor di documenti di testo ASCII.

macOS

Le informazioni approfondite sui malware sono disponibili nella Status.json Archivia su:

/Library/Application Support/Cylance/Desktop/Status.json
Nota: è possibile aprire un file .json (JavaScript Object Notation in un editor di documenti di testo ASCII.

Linux

Le informazioni approfondite sui malware sono disponibili nella Status.json Archivia su:

/opt/cylance/desktop/Status.json
Nota: è possibile aprire un file .json (JavaScript Object Notation in un editor di documenti di testo ASCII.

Analisi

Il contenuto del file di stato include informazioni dettagliate su più categorie, tra cui minacce, exploit e script. Cliccare sulle informazioni appropriate per saperne di più.

Contenuto

Contenuto del file di stato:

snapshot_time La data e l'ora in cui sono state raccolte le informazioni sullo stato. La data e l'ora sono quelle locali del dispositivo.
ProductInfo
  • version: Versione dell'agent di Advanced Threat Prevention sul dispositivo
  • last_communicated_timestamp: Data e ora dell'ultimo controllo di un aggiornamento dell'agent
  • serial_number: Token di installazione utilizzato per registrare l'agent
  • device_name: Nome del dispositivo su cui è installato l'agent
Policy
  • type: Stato indicante se l'agent è online o offline
  • id: ID univoco per la policy
  • name: Nome policy
ScanState
  • last_background_scan_timestamp: Data e ora dell'ultima scansione di rilevamento delle minacce in background
  • drives_scanned: Elenco delle lettere di unità scansionate
Threats
  • count: Il numero di minacce rilevate
  • max: Il numero massimo di minacce nel file di stato.
  • Threat
    • file_hash_id: Visualizza le informazioni hash SHA256 per la minaccia
    • file_md5: L'hash MD5
    • file_path: percorso in cui è stata rilevata la minaccia. Include il nome del file
    • is_running: la minaccia è attualmente in esecuzione sul dispositivo? Vero o falso
    • auto_run: il file di minaccia è impostato per l'esecuzione automatica? Vero o falso
    • file_status: mostra lo stato corrente della minaccia, ad esempio Allowed, Running o Quarantined. Vedere la tabella Minacce: Tabella FileState
    • file_type: Visualizza il tipo di file, ad esempio File eseguibile portatile (PE), Archivio o PDF. Vedere la tabella Minacce: Tabella FileType
    • score: mostra il punteggio Cylance. Il punteggio visualizzato nel file di stato è compreso tra 1000 e -1000. Nella console, l'intervallo va da 100 a -100
    • file_size: Visualizza le dimensioni del file, in byte
Exploits
  • count: Il numero di exploit rilevati
  • max: Il numero massimo di exploit nel file di stato
  • Exploit
    • ProcessId: Visualizza l'ID processo dell'applicazione identificata da Protezione della memoria.
    • ImagePath: percorso da cui ha origine l'exploit. Include il nome del file
    • ImageHash: Visualizza le informazioni hash SHA256 per l'exploit
    • FileVersion: Visualizza il numero di versione del file di exploit
    • Username: Visualizza il nome dell'utente che ha effettuato l'accesso al dispositivo quando si è verificato l'exploit
    • Groups: Visualizza il gruppo a cui è associato l'utente che ha effettuato l'accesso
    • Sid: L'ID di sicurezza (SID) per l'utente che ha effettuato l'accesso
    • ItemType: Visualizza il tipo di exploit, correlato ai tipi di violazione
    Nota:
    • State: Mostra lo stato corrente dell'exploit, ad esempio Consentito, Bloccato o Terminato
    Nota: Fare riferimento agli exploit: State.
    • MemDefVersion: La versione di Protezione della memoria utilizzata per identificare l'exploit, in genere il numero di versione dell'Agent
    • Count: Il numero di tentativi di esecuzione dell'exploit
Scripts
  • count: Il numero di script eseguiti sul dispositivo
  • max: Il numero massimo di script nel file di stato
  • Script
    • script_path: percorso da cui ha origine lo script. Include il nome del file
    • file_hash_id: Visualizza le informazioni hash SHA256 per lo script
    • file_md5: Visualizza le informazioni hash MD5 per lo script, se disponibili
    • file_sha1: Visualizza le informazioni hash SHA1 per lo script, se disponibili
    • drive_type: Identifica il tipo di unità da cui ha avuto origine lo script, ad esempio Fixed
    • last_modified: Data e ora dell'ultima modifica dello script
    • interpreter:
      • name: Nome della funzione di controllo script che ha identificato lo script dannoso
      • version: Il numero di versione della funzione di controllo script
    • username: Visualizza il nome dell'utente che ha effettuato l'accesso al dispositivo al momento dell'avvio dello script
    • groups: Visualizza il gruppo a cui è associato l'utente che ha effettuato l'accesso
    • sid: L'ID di sicurezza (SID) per l'utente che ha effettuato l'accesso
    • action: Visualizza l'azione eseguita sullo script, ad esempio Consentita, Bloccata o Terminata. Vedere la tabella Script: Tabella delle azioni

Minacce

Le minacce hanno più categorie numeriche da decifrare in File_Status, FileState e FileType. Fare riferimento alla categoria appropriata per i valori da assegnare.

File_Status

Il campo File_Status è un valore decimale calcolato in base ai valori abilitati da FileState (vedere la tabella nella sezione FileState ). Ad esempio, viene calcolato un valore decimale pari a 9 per file_status sulla base del file identificato come minaccia (0x01) e messo in quarantena (0x08).

file_status e file_type

FileState

Minacce: FileState

None 0x00
Threat 0x01
Suspicious 0x02
Allowed 0x04
Quarantined 0x08
Running 0x10
Corrupt 0x20
FileType

Minacce: FileType

Unsupported 0
PE 1
Archive 2
PDF 3
OLE 4

Exploit

Gli exploit dispongono di due categorie su base numerica da decifrare in ItemType e State.

ItemType e State

Fare riferimento alla categoria appropriata per i valori da assegnare.

ItemType

Exploit: ItemType

StackPivot 1 Stack Pivot
StackProtect 2 Stack Protect
OverwriteCode 3 Overwrite Code
OopAllocate 4 Remote Allocation of Memory
OopMap 5 Remote Mapping of Memory
OopWrite 6 Remote Write to Memory
OopWritePe 7 Remote Write PE to Memory
OopOverwriteCode 8 Remote Overwrite Code
OopUnmap 9 Remote Unmap of Memory
OopThreadCreate 10 Remote Thread Creation
OopThreadApc 11 Remote APC Scheduled
LsassRead 12 LSASS Read
TrackDataRead 13 RAM Scraping
CpAllocate 14 Remote Allocation of Memory
CpMap 15 Remote Mapping of Memory
CpWrite 16 Remote Write to Memory
CpWritePe 17 Remote Write PE to Memory
CpOverwriteCode 18 Remote Overwrite Code
CpUnmap 19 Remote Unmap of Memory
CpThreadCreate 20 Remote Thread Creation
CpThreadApc 21 Remote APC Scheduled
ZeroAllocate 22 Zero Allocate
DyldInjection 23 DYLD Injection
MaliciousPayload 24 Malicious Payload
Nota:
State

Exploit: State

None 0
Allowed 1
Blocked 2
Terminated 3

Script

Gli exploit dispongono di una singola categoria su base numerica da decifrare in Action.

Action

Script: Action

None 0
Allowed 1
Blocked 2
Terminated 3

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.