Dell Endpoint Security Suite Enterprise 및 Threat Defense 엔드포인트 상태를 분석하는 방법

Summary: 다음 지침을 사용하여 Dell Endpoint Security Suite Enterprise 및 Dell Threat Defense에서 엔드포인트 상태를 분석하는 방법에 대해 알아보십시오.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

참고:
  • 2022년 5월부터 Dell Endpoint Security Suite Enterprise 유지 보수가 종료됩니다. 이 제품 및 관련 문서는 더 이상 Dell에서 업데이트하지 않습니다.
  • 2022년 5월부터 Dell Threat Defense에 대한 유지 보수가 종료됩니다. 이 제품 및 관련 문서는 더 이상 Dell에서 업데이트하지 않습니다.
  • 자세한 내용은 Dell Data Security의 제품 수명주기(지원 종료 및 EOL(End Of Life)) 정책을 참조하십시오. 다른 문서에 대한 질문이 있는 경우 영업 팀에 문의하거나 endpointsecurity@dell.com으로 문의하십시오.
  • 최신 제품에 대한 자세한 내용은 엔드포인트 보안을 참조하십시오.

위협, 악용 및 스크립트를 심층적으로 검토하기 위해 특정 엔드포인트에서 Dell Endpoint Security Suite Enterprise 및 Dell Threat Defense 엔드포인트 상태를 가져올 수 있습니다.

영향을 받는 제품:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

해당되는 플랫폼:

  • Windows
  • Mac
  • Linux

Dell Endpoint Security Suite Enterprise 또는 Dell Threat Defense 관리자는 개별 엔드포인트에 액세스하여 다음을 검토할 수 있습니다.

  • 멀웨어 콘텐츠
  • 멀웨어 상태
  • 멀웨어 유형

관리자는 ATP(Advanced Threat Prevention) 엔진이 파일을 잘못 분류한 이유 문제를 해결할 때만 이러한 단계를 수행해야 합니다. 자세한 내용을 보려면 Access 또는 Review 를 클릭합니다.

액세스

멀웨어 정보에 대한 액세스는 Windows, macOSLinux에 따라 다릅니다. 자세한 내용은 해당 운영 체제를 클릭합니다.

Windows

기본적으로 Windows는 심층적인 멀웨어 정보를 기록하지 않습니다.

  1. Windows 시작 메뉴를 마우스 오른쪽 버튼으로 클릭한 다음 Run을 클릭합니다.
    Windows 업그레이드를 실행하라는 프롬프트에 아래 내용이 표시될 때까지
  2. Run UI에서 regedit 그런 다음 Ctrl+Shift+Enter를 누릅니다. 그러면 레지스트리 편집기가 관리자로 실행됩니다.
    UI 실행
  3. 레지스트리 편집기에서 다음으로 이동합니다. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  4. 왼쪽 창에서 Desktop을 마우스 오른쪽 버튼으로 클릭한 다음 Permissions를 선택합니다.
    사용 권한
  5. 고급을 클릭합니다.
    고급
  6. Owner를 클릭합니다.
    소유자 탭
  7. Other users or groups를 클릭합니다.
    Other users or groups
  8. 그룹에서 계정을 검색한 다음 OK를 클릭합니다.
    계정 선택됨
  9. OK를 클릭합니다.
    OK
  10. 그룹 또는 사용자 이름에 Full Control이 선택되어 있는지 확인한 다음 OK를 클릭합니다.
    전체 제어 선택 확인 중
    참고: 이 예에서 DDP_Admin(8단계)은 사용자 그룹의 구성원입니다.
  11. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop에서 바탕 화면 폴더를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 다음 DWORD(32비트) 값을 클릭합니다.
    새 DWORD
  12. DWORD 이름 지정 StatusFileEnabled.
    StatusFileEnabled
  13. 두 번 클릭 StatusFileEnabled.
    DWORD를 편집합니다.
  14. 값 데이터를 1 입력한 다음 OK를 누릅니다.
    DWORD 업데이트됨
  15. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop에서 바탕 화면 폴더를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 다음 DWORD(32비트) 값을 클릭합니다.
    새 DWORD
  16. DWORD 이름 지정 StatusFileType.
    StatusFileType
  17. 두 번 클릭 StatusFileType.
    DWORD를 편집합니다.
  18. 값 데이터를 다음 중 하나로 채웁니다. 0 또는 1. Value data가 채워지면 OK를 누릅니다.
    DWORD 업데이트됨
    참고: Value data 선택:
    • 0 = JSON 파일 형식
    • 1 = XML 형식
  19. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop에서 바탕 화면 폴더를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 다음 DWORD(32비트) 값을 클릭합니다.
    새 DWORD
  20. DWORD 이름 지정 StatusPeriod.
    StatusPeriod
  21. 두 번 클릭 StatusPeriod.
    DWORD를 편집합니다.
  22. 값 데이터를 다음과 같은 숫자로 채웁니다. 15 의 출력을 60 를 입력한 다음 OK를 클릭합니다.
    DWORD 업데이트됨
    참고: StatusPeriod는 파일이 기록되는 빈도입니다.
    15 = 15초 간격
    60 = 60초 간격
  23. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, 바탕 화면 폴더를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택한 다음 String Value.
    새 문자열
  24. 문자열 이름 지정 StatusFilePath.
    StatusFilePath
  25. StatusFilePath를 두 번 클릭합니다.
    문자열 편집
  26. 상태 파일을 쓸 위치로 Value data를 채운 다음 OK를 클릭합니다.
    문자열 편집됨
    참고:
    • 기본 경로: <CommonAppData>\Cylance\Status\Status.json
    • 경로 예: C:\ProgramData\Cylance
    • .json(JavaScript Object Notation) 파일은 ASCII 텍스트 문서 편집기에서 열 수 있습니다.

macOS

심층적인 멀웨어 정보는 Status.json 파일 위치:

/Library/Application Support/Cylance/Desktop/Status.json
참고: .json(JavaScript Object Notation) 파일은 ASCII 텍스트 문서 편집기에서 열 수 있습니다.

Linux

심층적인 멀웨어 정보는 Status.json 파일 위치:

/opt/cylance/desktop/Status.json
참고: .json(JavaScript Object Notation) 파일은 ASCII 텍스트 문서 편집기에서 열 수 있습니다.

검토

상태 파일의 콘텐츠에는 위협, 악용스크립트를 비롯한 여러 범주에 대한 자세한 정보가 포함되어 있습니다. 더 자세히 알아보려면 해당하는 정보를 클릭하십시오.

디렉토리를 제거합니다.

상태 파일 콘텐츠:

snapshot_time 상태 정보가 수집된 날짜 및 시간입니다. 날짜와 시간은 디바이스의 로컬 설정을 따릅니다.
ProductInfo
  • version을 설정합니다. 디바이스의 Advanced Threat Prevention Agent 버전
  • last_communicated_timestamp을 설정합니다. 에이전트 업데이트를 마지막으로 확인한 날짜 및 시간
  • serial_number을 설정합니다. 에이전트 등록에 사용되는 설치 토큰
  • device_name을 설정합니다. 에이전트가 설치된 디바이스의 이름
Policy
  • type을 설정합니다. 에이전트가 온라인 또는 오프라인 상태인지 여부의 상태
  • id을 설정합니다. 정책의 고유 식별자
  • name을 설정합니다. 정책 이름
ScanState
  • last_background_scan_timestamp을 설정합니다. 마지막 백그라운드 위협 감지 검사 날짜 및 시간
  • drives_scanned을 설정합니다. 스캔한 드라이브 문자 목록
Threats
  • count을 설정합니다. 발견된 위협 수
  • max을 설정합니다. 상태 파일의 최대 위협 수
  • 위협
    • file_hash_id을 설정합니다. 위협에 대한 SHA256 해시 정보를 표시합니다.
    • file_md5을 설정합니다. MD5 해시
    • file_path을 설정합니다. 위협이 발견된 경로입니다. 파일 이름을 포함합니다.
    • is_running을 설정합니다. 디바이스에서 현재 위협이 실행되고 있습니까? 참 또는 거짓
    • auto_run을 설정합니다. 위협 파일이 자동으로 실행되도록 설정되어 있습니까? 참 또는 거짓
    • file_status을 설정합니다. 허용, 실행 중 또는 격리된 상태와 같은 위협의 현재 상태를 표시합니다. 위협: FileState테이블
    • file_type을 설정합니다. PE(Portable Executable), 아카이브 또는 PDF와 같은 파일 형식을 표시합니다. 위협: FileType테이블
    • score을 설정합니다. Cylance 점수를 표시합니다. 상태 파일에 표시되는 점수는 1000에서 -1000 사이입니다. 콘솔에서 범위는 100에서 -100 사이입니다
    • file_size을 설정합니다. 파일 크기를 바이트 단위로 표시합니다.
Exploits
  • count을 설정합니다. 발견된 악용 수
  • max을 설정합니다. 상태 파일의 최대 악용 수
  • 악용
    • ProcessId을 설정합니다. 메모리 보호로 식별되는 애플리케이션의 프로세스 ID를 표시합니다
    • ImagePath을 설정합니다. 악용이 시작된 경로입니다. 파일 이름을 포함합니다.
    • ImageHash을 설정합니다. 악용에 대한 SHA256 해시 정보를 표시합니다.
    • FileVersion을 설정합니다. 악용 파일의 버전 번호를 표시합니다.
    • Username을 설정합니다. 악용이 발생했을 때 장치에 로그인되어 있던 사용자의 이름을 표시합니다.
    • Groups을 설정합니다. 로그인한 사용자와 연결된 그룹을 표시합니다.
    • Sid을 설정합니다. 로그인한 사용자의 SID(Security Identifier)
    • ItemType을 설정합니다. 위반 유형과 관련된 악용 유형을 표시합니다.
    참고:
    • State: 허용됨, 차단됨 또는 종료됨과 같은 악용의 현재 상태를 표시합니다.
    참고: 익스플로잇을 참조하십시오. 상태 테이블을 참조하십시오.
    • MemDefVersion을 설정합니다. 악용을 식별하는 데 사용되는 메모리 보호 버전으로, 일반적으로 에이전트 버전 번호입니다.
    • Count을 설정합니다. 익스플로잇이 실행을 시도한 횟수
Scripts
  • count을 설정합니다. 디바이스에서 실행되는 스크립트 수
  • max을 설정합니다. 상태 파일의 최대 스크립트 수
  • 스크립트
    • script_path을 설정합니다. 스크립트가 시작된 경로입니다. 파일 이름을 포함합니다.
    • file_hash_id을 설정합니다. 스크립트에 대한 SHA256 해시 정보를 표시합니다
    • file_md5을 설정합니다. 사용 가능한 경우 스크립트에 대한 MD5 해시 정보를 표시합니다
    • file_sha1을 설정합니다. 사용 가능한 경우 스크립트에 대한 SHA1 해시 정보를 표시합니다
    • drive_type을 설정합니다. Fixed와 같이 스크립트가 시작된 드라이브 유형을 식별합니다.
    • last_modified을 설정합니다. 스크립트를 마지막으로 수정한 날짜 및 시간
    • interpreter을 설정합니다.
      • name을 설정합니다. 악성 스크립트를 식별한 스크립트 제어 기능의 이름
      • version을 설정합니다. 스크립트 제어 기능의 버전 번호입니다
    • username을 설정합니다. 스크립트가 실행될 때 장치에 로그인한 사용자의 이름을 표시합니다.
    • groups을 설정합니다. 로그인한 사용자와 연결된 그룹을 표시합니다.
    • sid을 설정합니다. 로그인한 사용자의 SID(Security Identifier)
    • action을 설정합니다. Allowed, Blocked 또는 Terminated와 같이 스크립트에서 수행되는 작업을 표시합니다. 스크립트: 작업테이블

위협

위협에는 File_Status, FileStateFileType에서 해독할 수 있는 여러 숫자 기반 범주가 있습니다. 할당할 값에 해당하는 범주를 참조합니다.

File_Status

File_Status 필드는 FileState에서 사용하도록 설정된 값을 기준으로 계산되는 10진수 값입니다( FileState 섹션의 표 참조). 예를 들어 file_status에 대한 10진수 값 9는 위협(0x01)으로 식별되는 파일에서 계산되며 파일이 격리되었습니다(0x08).

file_status 및 file_type

FileState

위협: FileState

없음 0x00
위협 0x01
의심됨 0x02
허용됨 0x04
격리됨 0x08
실행 중 0x10
손상 0x20
FileType

위협: FileType

지원되지 않음 0
PE 1
아카이브 2
PDF 3
OLE 4

악용

악용에는 ItemTypeState에서 모두 해독할 수 있는 두 가지 숫자 기반 범주가 있습니다.

ItemType 및 State

할당할 값에 해당하는 범주를 참조합니다.

ItemType

악용: ItemType

StackPivot 1 스택 피벗
StackProtect 2 스택 보호
OverwriteCode 3 코드 덮어쓰기
OopAllocate 4 메모리 원격 할당
OopMap 5 메모리 원격 매핑
OopWrite 6 메모리에 원격으로 쓰기
OopWritePe 7 메모리에 원격으로 PE 쓰기
OopOverwriteCode 8 코드 원격으로 덮어쓰기
OopUnmap 9 메모리 원격 매핑 해제
OopThreadCreate 10 원격 스레드 생성
OopThreadApc 11 원격 APC 예약됨
LsassRead 12 LSASS 읽기
TrackDataRead 13 RAM 스크래핑
CpAllocate 14 메모리 원격 할당
CpMap 15 메모리 원격 매핑
CpWrite 16 메모리에 원격으로 쓰기
CpWritePe 17 메모리에 원격으로 PE 쓰기
CpOverwriteCode 18 코드 원격으로 덮어쓰기
CpUnmap 19 메모리 원격 매핑 해제
CpThreadCreate 20 원격 스레드 생성
CpThreadApc 21 원격 APC 예약됨
ZeroAllocate 22 제로 할당
DyldInjection 23 DYLD 주입
MaliciousPayload 24 악성 페이로드
참고:
상태

악용: 상태

없음 0
허용됨 1
차단됨 2
종료됨 3

스크립트

악용은 조치에서의 판독이 가능한 단일 숫자 기반 범주입니다.

동작

스크립트: 동작

없음 0
허용됨 1
차단됨 2
종료됨 3

지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.