Як аналізувати стан кінцевих точок Dell Endpoint Security Suite Enterprise і Threat Defense

Summary: Дізнайтеся, як аналізувати статуси кінцевих точок у Dell Endpoint Security Suite Enterprise і Dell Threat Defense за допомогою цих інструкцій.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Примітка:
  • Станом на травень 2022 року Dell Endpoint Security Suite Enterprise завершив технічне обслуговування. Цей продукт і його статті більше не оновлюються компанією Dell.
  • Станом на травень 2022 року Dell Threat Defense досягла кінця технічного обслуговування. Цей продукт і його статті більше не оновлюються компанією Dell.
  • Щоб отримати додаткову інформацію, зверніться до політики життєвого циклу продукту (кінець підтримки та кінець терміну служби) для безпеки даних Dell. Якщо у вас виникнуть запитання щодо альтернативних статей, зверніться до свого відділу продажів або зв'яжіться з endpointsecurity@dell.com.
  • Довідник Endpoint Security для отримання додаткової інформації про поточні продукти.

Статуси кінцевих точок Dell Endpoint Security Suite Enterprise і Dell Threat Defense можна отримувати з певної кінцевої точки для детального аналізу загроз, експлойтів і сценаріїв.

Продукти, на які вплинули:

  • Dell Endpoint Security Suite Enterprise
  • Захист від загроз Dell

Платформи, на які це вплинуло:

  • Вікна
  • Комп'ютер Mac
  • Лінукс

Адміністратори Dell Endpoint Security Suite Enterprise або Dell Threat Defense можуть отримати доступ до окремої кінцевої точки для перевірки:

  • Вміст шкідливого програмного забезпечення
  • Стан шкідливого програмного забезпечення
  • Тип шкідливого програмного забезпечення

Адміністратор має виконувати ці дії лише під час усунення неполадок, через які механізм розширеного запобігання загрозам (ATP) неправильно класифікував файл. Натисніть «Доступ» або «Рецензування » для отримання додаткових відомостей.

Доступ

Доступ до інформації про зловмисне програмне забезпечення залежить від Windows, macOS і Linux. Щоб отримати додаткові відомості, виберіть відповідну операційну систему.

Вікна

За замовчуванням Windows не записує детальну інформацію про зловмисне програмне забезпечення.

  1. Клацніть правою кнопкою миші меню «Пуск» Windows і виберіть команду «Виконати».
    Бігти
  2. В інтерфейсі «Виконати» введіть regedit і натисніть сполучення клавіш CTRL+SHIFT+ENTER. Це запускає редактор реєстру від імені адміністратора.
    Інтерфейс запуску
  3. У редакторі реєстру перейдіть до розділу HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  4. В області ліворуч клацніть правою кнопкою миші пункт Робочий стіл і виберіть пункт Дозволи.
    Дозволи
  5. Натисніть Додатково.
    Передовий
  6. Натисніть Власник.
    Вкладка
  7. Натисніть Інші користувачі або групи.
    Інші користувачі або групи
  8. Знайдіть свій обліковий запис у групі та натисніть кнопку ОК.
    Обліковий запис вибрано
  9. Натисніть кнопку «OK».
    ГАРАЗД
  10. Переконайтеся, що у вашій групі або імені користувача встановлено прапорець «Повний контроль», а потім натисніть «OK».
    Перевірка вибору повного контролю
    Примітка: У прикладі DDP_Admin (крок 8) є учасником групи Користувачі.
  11. При HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, клацніть правою кнопкою миші папку Робочий стіл, виберіть Створити, а потім виберіть пункт Значення DWORD (32-розрядний).
    Новий DWORD
  12. Назвіть DWORD StatusFileEnabled.
    СтатусФайлУвімкнено
  13. Подвійне клацання StatusFileEnabled.
    Редагувати DWORD
  14. Заповнюйте дані про значення за допомогою 1 і натисніть кнопку OK.
    Оновлений DWORD
  15. При HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, клацніть правою кнопкою миші папку Робочий стіл, виберіть Створити, а потім виберіть пункт Значення DWORD (32-розрядний).
    Новий DWORD
  16. Назвіть DWORD StatusFileType.
    СтатусТип Файлу
  17. Подвійне клацання StatusFileType.
    Редагувати DWORD
  18. Заповнюйте дані про значення будь-якою з них 0 або 1. Коли дані про значення будуть заповнені, натисніть OK.
    Оновлений DWORD
    Примітка: Варіанти даних про значення:
    • 0 = Формат файлу JSON
    • 1 = Формат XML
  19. При HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, клацніть правою кнопкою миші папку Робочий стіл, виберіть Створити, а потім виберіть пункт Значення DWORD (32-розрядний).
    Новий DWORD
  20. Назвіть DWORD StatusPeriod.
    СтатусПеріод
  21. Подвійне клацання StatusPeriod.
    Редагувати DWORD
  22. Заповнюйте дані про значення числом у діапазоні від 15 до 60 і натисніть кнопку OK.
    Оновлений DWORD
    Примітка: Період статусу – це частота записування файлу.
    15 = 15 секундний інтервал
    60 = 60 секундний інтервал
  23. При HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, клацніть правою кнопкою миші папку Робочий стіл , виберіть пункт Створити, а потім виберіть пункт String Value.
    Новий рядок
  24. Назвіть рядок StatusFilePath.
    СтатусФайлШлях
  25. Двічі клацніть StatusFilePath.
    Редагувати рядок
  26. Заповніть дані значення розташуванням, до якого потрібно записати файл стану, а потім натисніть кнопку ОК.
    Відредагований рядок
    Примітка:
    • Шлях за замовчуванням: <CommonAppData>\Cylance\Status\Status.json
    • Приклад шляху: C:\ProgramData\Cylance
    • Файл .json (JavaScript Object Notation) можна відкрити в редакторі текстових документів ASCII.

macOS

Детальна інформація про шкідливе програмне забезпечення міститься в Status.json Файл за адресою:

/Library/Application Support/Cylance/Desktop/Status.json
Примітка: Файл .json (JavaScript Object Notation) можна відкрити в редакторі текстових документів ASCII.

Лінукс

Детальна інформація про шкідливе програмне забезпечення міститься в Status.json Файл за адресою:

/opt/cylance/desktop/Status.json
Примітка: Файл .json (JavaScript Object Notation) можна відкрити в редакторі текстових документів ASCII.

Огляд

Вміст файлу стану містить детальну інформацію про кілька категорій, включаючи загрози, експлойти та сценарії. Натисніть відповідну інформацію, щоб дізнатися більше про це.

Вміст

Вміст файлу статусу:

snapshot_time Дата й час збирання інформації про статус. Дата та час вказуються локально для пристрою.
ProductInfo
  • version: Версія агента розширеного запобігання загрозам на пристрої
  • last_communicated_timestamp: Дата й час останньої перевірки для оновлення агента
  • serial_number: Інсталяційний токен, який використовується для реєстрації Агента
  • device_name: Назва пристрою, на якому встановлено Агент
Policy
  • type: Статус того, чи знаходиться Агент онлайн або офлайн
  • id: Унікальний ідентифікатор полісу
  • name: Назва політики
ScanState
  • last_background_scan_timestamp: Дата й час останнього сканування з виявлення загроз у фоновому режимі
  • drives_scanned: Список відсканованих букв дисків
Threats
  • count: Кількість знайдених загроз
  • max: Максимальна кількість загроз у файлі статусу
  • Загроза
    • file_hash_id: Відображає інформацію про хеш SHA256 для загрози
    • file_md5: Хеш MD5
    • file_path: Стежка, на якій була знайдена загроза. Містить ім'я файлу
    • is_running: Чи працює загроза зараз на пристрої? Правда чи брехня
    • auto_run: Чи налаштовано файл із загрозою на автоматичний запуск? Правда чи брехня
    • file_status: Відображає поточний стан загрози, як-от «Дозволено», «Запущено» або «На карантині». Дивіться загрози: Таблиця FileState
    • file_type: Відображає тип файлу, наприклад «Портативний виконуваний файл» (PE), «Архів» або «PDF». Дивіться загрози: Таблиця FileType
    • score: Відображає оцінку Cylance. Оцінка, яка відображається у файлі статусу, знаходиться в діапазоні від 1000 до -1000. У консолі діапазон становить від 100 до -100
    • file_size: Відображає розмір файлу, у байтах
Exploits
  • count: Кількість знайдених експлойтів
  • max: Максимальна кількість експлойтів у файлі статусу
  • Експлуатувати
    • ProcessId: Відображає ідентифікатор процесу програми, який визначено за допомогою функції «Захист пам'яті»
    • ImagePath: Шлях, звідки бере свій початок експлойт. Містить ім'я файлу
    • ImageHash: Відображає інформацію про хеш SHA256 для експлойта
    • FileVersion: Відображає номер версії файлу експлойта
    • Username: Відображає ім'я користувача, який був авторизований на пристрої, коли стався експлойт
    • Groups: Відображає групу, з якою пов'язаний користувач
    • Sid: Ідентифікатор безпеки (SID) для користувача, який увійшов у систему
    • ItemType: Відображає тип експлойта, який відноситься до Типів порушень
    Примітка:
    • Стан: Відображає поточний стан експлойта, як-от «Дозволено», «Заблоковано» або «Припинено»
    Примітка: Зверніться до експлойтів: Державна таблиця.
    • MemDefVersion: Версія захисту пам'яті, яка використовується для ідентифікації експлойта, зазвичай це номер версії агента
    • Count: Кількість спроб запуску експлойта
Scripts
  • count: Кількість сценаріїв, запущених на пристрої
  • max: Максимальна кількість скриптів у файлі статусу
  • Сценарій
    • script_path: Шлях, звідки походить сценарій. Містить ім'я файлу
    • file_hash_id: Відображає інформацію про хеш SHA256 для скрипту
    • file_md5: Відображає інформацію про хеш MD5 для скрипту, якщо такий доступний
    • file_sha1: Відображає інформацію про хеш SHA1 для скрипту, якщо такий доступний
    • drive_type: Визначає тип диска, з якого походить сценарій, наприклад Fixed
    • last_modified: Дата й час останньої зміни сценарію
    • interpreter:
      • name: Назва функції керування сценарієм, яка ідентифікувала шкідливий сценарій.
      • version: Номер версії функції керування сценарієм
    • username: Відображає ім'я користувача, який був авторизований на пристрої під час запуску скрипта
    • groups: Відображає групу, з якою пов'язаний користувач
    • sid: Ідентифікатор безпеки (SID) для користувача, який увійшов у систему
    • action: Відображає дію, виконану в сценарії, як-от «Дозволено», «Заблоковано» або «Припинено». Дивіться сценарії: Таблиця дій

Загрози

Загрози мають кілька числових категорій, які потрібно розшифрувати в File_Status, FileState і FileType. Посилайтеся на відповідну категорію для значень, які потрібно присвоїти.

File_Status

Поле File_Status – це десяткове значення, обчислене на основі значень, які активовано FileState (див. таблицю в розділі FileState ). Наприклад, десяткове значення 9 для file_status обчислюється на основі файлу, який визначено як загрозу (0x01) і поміщено файл у карантин (0x08).

file_status і file_type

Стан файлу

Загрози: Стан файлу

Ніхто 0x00
Загроза 0x01
Підозрілі 0x02
Дозволило 0x04
На карантині 0x08
Біг 0x10
Корумпованих 0x20
Тип файлу

Загрози: Тип файлу

Непідтримуваний 0
ФОП 1
Архів 2
У форматі PDF 3
ОЛЕ 4

Подвиги

Експлойти мають дві числові категорії, які потрібно розшифровувати як у ItemType , так і в State.

ItemType та State

Посилайтеся на відповідну категорію для значень, які потрібно присвоїти.

Тип товару

Подвиги: Тип товару

StackPivot 1 Зведений стек
StackProtect 2 Захист стека
OverwriteCode 3 Перезаписати код
OopAllocate 4 Віддалене виділення пам'яті
OopMap 5 Віддалене відображення пам'яті
OopWrite 6 Віддалений запис в пам'ять
OopWritePe 7 Віддалений запис PE в пам'ять
OopOverwriteCode 8 Віддалений перезапис коду
OopUnmap 9 Віддалене розблокування карти пам'яті
OopThreadCreate 10 Створення віддаленого потоку
OopThreadApc 11 Дистанційний APC за розкладом
LsassRead 12 ЛДАСС Читати
TrackDataRead 13 Скрейпінг оперативної пам'яті
CpAllocate 14 Віддалене виділення пам'яті
CpMap 15 Віддалене відображення пам'яті
CpWrite 16 Віддалений запис в пам'ять
CpWritePe 17 Віддалений запис PE в пам'ять
CpOverwriteCode 18 Віддалений перезапис коду
CpUnmap 19 Віддалене розблокування карти пам'яті
CpThreadCreate 20 Створення віддаленого потоку
CpThreadApc 21 Дистанційний APC за розкладом
ZeroAllocate 22 Нульовий розподіл
DyldInjection 23 Ін'єкція DYLD
MaliciousPayload 24 Шкідливе корисне навантаження
Примітка:
Стан

Подвиги: Стан

Ніхто 0
Дозволило 1
Заблоковано 2
Припинено 3

Скрипти

Експлойти мають єдину числову категорію, яка розшифровується в дії.

Дія

Скрипти: Дія

Ніхто 0
Дозволило 1
Заблоковано 2
Припинено 3

Щоб зв'язатися зі службою підтримки, зверніться до номерів телефонів міжнародної підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову статистику та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.

Affected Products

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000124896
Article Type: How To
Last Modified: 30 May 2025
Version:  13
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.