Slik analyserer du endepunktstatusen for Dell Endpoint Security Suite Enterprise og Threat Defense

Summary: Finn ut hvordan du analyserer endepunktstatuser i Dell Endpoint Security Suite Enterprise og Dell Threat Defense ved å følge disse instruksjonene.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Merk:

Endepunktstatusene Dell Endpoint Security Suite Enterprise og Dell Threat Defense kan hentes fra et bestemt endepunkt for en grundig gjennomgang av trusler, utnyttelser og skript.

Berørte produkter:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Berørte plattformer:

  • Windows
  • Mac
  • Linux

Administratorer for Dell Endpoint Security Suite Enterprise eller Dell Threat Defense kan få tilgang til et enkelt endepunkt for gjennomgang:

  • Malware innhold
  • Tilstand av skadelig programvare
  • Type skadelig programvare

En administrator bør bare utføre disse trinnene når du feilsøker hvorfor ATP-motoren (Advanced Threat Prevention) feilklassifiserte en fil. Klikk på Tilgang eller Se gjennom hvis du vil ha mer informasjon.

Access

Tilgang til informasjon om skadelig programvare varierer mellom Windows, macOS og Linux. Hvis du vil ha mer informasjon, kan du klikke på det aktuelle operativsystemet.

Windows

Som standard registrerer ikke Windows dyptgående informasjon om skadelig programvare.

  1. Høyreklikk på Windows-startmenyen, og klikk deretter på Kjør.
    Kjør
  2. I Run UI skriver du inn regedit og trykk deretter CTRL+SKIFT+ENTER. Dette kjører Registerredigering som administrator.
    Kjør-brukergrensesnittet
  3. I Registerredigering, gå til HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  4. Høyreklikk Skrivebord i venstre rute, og velg deretter Tillatelser.
    Tillatelser
  5. Klikk på Advanced (Avansert).
    Avansert
  6. Klikk Eier.
    Eier-fanen
  7. Klikk Andre brukere eller grupper.
    Andre brukere eller grupper
  8. Søk etter kontoen din i gruppen, og klikk deretter OK.
    Valgt konto
  9. Klikk på OK.
    OK
  10. Kontroller at det er merket av for Full kontroll i gruppen eller brukernavnet ditt, og klikk deretter på OK.
    Kontrollerer for valg av Full kontroll
    Merk: I eksemplet er DDP_Admin (trinn 8) medlem av Brukere-gruppen.
  11. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, høyreklikk Skrivebord-mappen, velg Ny, og klikk deretter DWORD-verdi (32-biters).
    Ny DWORD
  12. Gi DWORD et navn StatusFileEnabled.
    StatusFileEnabled
  13. Dobbeltklikk StatusFileEnabled.
    Rediger DWORD
  14. Fyll ut verdidata med 1 , og trykk deretter OK.
    Oppdatert DWORD
  15. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, høyreklikk Skrivebord-mappen, velg Ny, og klikk deretter DWORD-verdi (32-biters).
    Ny DWORD
  16. Gi DWORD et navn StatusFileType.
    StatusFileType
  17. Dobbeltklikk StatusFileType.
    Rediger DWORD
  18. Fyll ut verdidata med enten 0 eller 1. Når Verdidata er fylt ut, trykker du OK.
    Oppdatert DWORD
    Merk: Valg av verdidata:
    • 0 = JSON-filformat
    • 1 = XML-format
  19. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, høyreklikk Skrivebord-mappen, velg Ny, og klikk deretter DWORD-verdi (32-biters).
    Ny DWORD
  20. Gi DWORD et navn StatusPeriod.
    StatusPeriode
  21. Dobbeltklikk StatusPeriod.
    Rediger DWORD
  22. Fyll ut verdidata med et tall som spenner fra 15 til 60 , og klikk deretter OK.
    Oppdatert DWORD
    Merk: Statusperioden er hvor ofte filen skrives.
    15 = 15 sekunders intervall
    60 = 60 sekunders intervall
  23. HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, høyreklikk Skrivebord-mappen , velg Ny, og klikk deretter på String Value.
    Ny streng
  24. Gi strengen et navn StatusFilePath.
    StatusFilePath
  25. Dobbeltklikk StatusFilePath.
    Rediger streng
  26. Fyll ut verdidata med plasseringen der statusfilen skal skrives til, og klikk deretter OK.
    Redigert streng
    Merk:
    • Standardbane: <CommonAppData>\Cylance\Status\Status.json
    • Eksempel bane: C:\ProgramData\Cylance
    • En .json-fil (JavaScript Object Notation) kan åpnes i et ASCII-tekstdokumentredigeringsprogram.

macOS

Dyptgående informasjon om skadelig programvare finnes i Status.json fil på:

/Library/Application Support/Cylance/Desktop/Status.json
Merk: En .json-fil (JavaScript Object Notation) kan åpnes i et ASCII-tekstdokumentredigeringsprogram.

Linux

Dyptgående informasjon om skadelig programvare finnes i Status.json fil på:

/opt/cylance/desktop/Status.json
Merk: En .json-fil (JavaScript Object Notation) kan åpnes i et ASCII-tekstdokumentredigeringsprogram.

Anmeldelse

Statusfilens innhold inneholder detaljert informasjon om flere kategorier, inkludert trusler, utnyttelser og skript. Klikk på den aktuelle informasjonen for å lære mer om den.

Innhold

Statusfilinnhold:

snapshot_time Datoen og klokkeslettet da statusinformasjonen ble samlet inn. Datoen og klokkeslettet er lokalt for enheten.
ProductInfo
  • version: Advanced Threat Prevention Agent-versjon på enheten
  • last_communicated_timestamp: Dato og klokkeslett for siste kontroll av en Agent Update
  • serial_number: Installasjonstoken som brukes til å registrere agenten
  • device_name: Navnet på enheten agenten er installert på
Policy
  • type: Status for om agenten er tilkoblet eller frakoblet
  • id: Unik identifikator for policyen
  • name: Policynavn
ScanState
  • last_background_scan_timestamp: Dato og klokkeslett for siste skanning av bakgrunnstrussel
  • drives_scanned: Liste over skannede stasjonsbokstaver
Threats
  • count: Antall trusler funnet
  • max: Maksimalt antall trusler i statusfilen
  • Trussel
    • file_hash_id: Viser SHA256-hashinformasjon for trusselen
    • file_md5: MD5-hashen
    • file_path: Stien der trusselen ble funnet. Inkluderer filnavnet
    • is_running: Kjører trusselen for øyeblikket på enheten? Sant eller usant
    • auto_run: Er trusselfilen satt til å kjøre automatisk? Sant eller usant
    • file_status: Viser gjeldende tilstand for trusselen, for eksempel Tillatt, Kjører eller Karantene. Se truslene: FileState-tabell
    • file_type: Viser filtypen, for eksempel Portable Executable (PE), Arkiv eller PDF. Se truslene: Filtype-tabell
    • score: Viser Cylance-poengsummen. Poengsummen som vises i statusfilen, varierer fra 1000 til -1000. I konsollen er området 100 til -100
    • file_size: Viser filstørrelsen i byte
Exploits
  • count: Antall utnyttelser funnet
  • max: Maksimalt antall utnyttelser i statusfilen
  • Utnytte
    • ProcessId: Viser prosess-ID-en til programmet som identifiseres av minnebeskyttelsen
    • ImagePath: Banen der utnyttelsen stammer fra. Inkluderer filnavnet
    • ImageHash: Viser SHA256 hash-informasjon for utnyttelsen
    • FileVersion: Viser versjonsnummeret for den skadelige filen
    • Username: Viser navnet på brukeren som var logget på enheten da utnyttelsen skjedde
    • Groups: Viser gruppen den påloggede brukeren er knyttet til
    • Sid: Sikkerhetsidentifikatoren (SID) for den påloggede brukeren
    • ItemType: Viser utnyttelsestypen, som er relatert til bruddtypene
    Merk:
    • Tilstand: Viser gjeldende tilstand for utnyttelsen, for eksempel tillatt, blokkert eller avsluttet
    Merk: Se utnyttelsene: Statlig tabell.
    • MemDefVersion: Versjonen av minnebeskyttelsen som brukes til å identifisere utnyttelsen, vanligvis agentens versjonsnummer
    • Count: Antall ganger utnyttelsen har forsøkt å kjøre
Scripts
  • count: Antall skript som kjøres på enheten
  • max: Maksimalt antall skript i statusfilen
  • Skript
    • script_path: Banen der skriptet stammer fra. Inkluderer filnavnet
    • file_hash_id: Viser SHA256 hash-informasjon for skriptet
    • file_md5: Viser MD5 hash-informasjon for skriptet, hvis tilgjengelig
    • file_sha1: Viser SHA1-hash-informasjon for skriptet, hvis tilgjengelig
    • drive_type: Identifiserer hvilken type stasjon skriptet stammer fra, for eksempel Reparert
    • last_modified: Datoen og klokkeslettet da skriptet sist ble endret
    • interpreter:
      • name: Navnet på skriptkontrollfunksjonen som identifiserte det skadelige skriptet
      • version: Versjonsnummeret til skriptkontrollfunksjonen
    • username: Viser navnet på brukeren som var logget på enheten da skriptet ble startet
    • groups: Viser gruppen den påloggede brukeren er knyttet til
    • sid: Sikkerhetsidentifikatoren (SID) for den påloggede brukeren
    • action: Viser handlingen som utføres på skriptet, for eksempel Tillatt, Blokkert eller Avsluttet. Se skriptene: Handlingstabell

Trusler

Trusler har flere numerisk-baserte kategorier som skal dekrypteres i File_Status, FileState og FileType. Referer til den aktuelle kategorien for verdiene som skal tilordnes.

File_Status

Det File_Status feltet er en desimalverdi som beregnes basert på verdiene som aktiveres av FileState (se tabellen i FileState-delen ). En desimalverdi på 9 for file_status beregnes for eksempel fra filen identifiseres som en trussel (0x01), og filen er satt i karantene (0x08).

file_status og file_type

Filtilstand

Trusler: Filtilstand

None 0x00
Trussel 0x01
Mistenksom 0x02
Tillatt 0x04
Karantene 0x08
Løping 0x10
Korrupt 0x20
Filtype

Trusler: Filtype

Støttes ikke 0
PE 1
Arkiv 2
PDF 3
OLE 4

Utnytter

Utnyttelser har to numeriskbaserte kategorier som skal dekrypteres i både ItemType og State.

Elementtype og -tilstand

Referer til den aktuelle kategorien for verdiene som skal tilordnes.

ItemType

Utnytter: ItemType

StackPivot 1 Stack Pivot
StackProtect 2 Stack Protect
OverwriteCode 3 Overskriv kode
OopAllocate 4 Ekstern tildeling av minne
OopMap 5 Ekstern tilordning av minne
OopWrite 6 Ekstern skriving til minne
OopWritePe 7 Ekstern PE til minne
OopOverwriteCode 8 Ekstern overskrivingskode
OopUnmap 9 Ekstern tilknytning til minnet
OopThreadCreate 10 Ekstern trådoppretting
OopThreadApc 11 Ekstern APC planlagt
LsassRead 12 LSASS Les
TrackDataRead 13 RAM-skraping
CpAllocate 14 Ekstern tildeling av minne
CpMap 15 Ekstern tilordning av minne
CpWrite 16 Ekstern skriving til minne
CpWritePe 17 Ekstern PE til minne
CpOverwriteCode 18 Ekstern overskrivingskode
CpUnmap 19 Ekstern tilknytning til minnet
CpThreadCreate 20 Ekstern trådoppretting
CpThreadApc 21 Ekstern APC planlagt
ZeroAllocate 22 Null tildeling
DyldInjection 23 DYLD-injeksjon
MaliciousPayload 24 Skadelig nyttelast
Merk:
Tilstand

Utnytter: Tilstand

None 0
Tillatt 1
Blokkert 2
Avsluttet 3

Skript

Utnyttelser har en enkelt numerisk-basert kategori som skal dechiffreres i Action.

Handling

Skript: Handling

None 0
Tillatt 1
Blokkert 2
Avsluttet 3

Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.

Additional Information

   

Videos

   

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.