Los estados de los terminales de Dell Endpoint Security Suite Enterprise y Dell Threat Defense se pueden extraer de un terminal específico para una revisión detallada de las amenazas, las vulnerabilidades y los scripts.
No corresponde
Los administradores de Dell Endpoint Security Suite Enterprise o Dell Threat Defense pueden acceder a un terminal individual para revisar lo siguiente:
Un administrador solo debe realizar estos pasos cuando solucione problemas por los que el motor de Advanced Threat Prevention (ATP) desclasificó erróneamente un archivo. Haga clic en Acceso o Revisar para obtener más información.
El acceso a la información del malware varía entre Windows, macOS y Linux. Para obtener más información, haga clic en el sistema operativo correspondiente.
De manera predeterminada, Windows no registra información detallada sobre el malware.
regedit
y, a continuación, presione CTRL + MAYÚS + INTRO. Esto ejecuta el editor del registro como administrador.HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
.HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
, haga clic con el botón secundario en la carpeta Escritorio, seleccione Nuevo y, a continuación, haga clic en Valor DWORD (32 bits).StatusFileEnabled
.1
y, a continuación, presione ACEPTAR.HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
, haga clic con el botón secundario en la carpeta Escritorio, seleccione Nuevo y, a continuación, haga clic en Valor DWORD (32 bits).StatusFileType
.0
o 1
. Una vez que se hayan completado los datos de valor, presione OK.0
= formato de archivo JSON1
= Formato XMLHKEY_LOCAL_MACHINE\Software\Cylance\Desktop
, haga clic con el botón secundario en la carpeta Escritorio, seleccione Nuevo y, a continuación, haga clic en Valor DWORD (32 bits).StatusPeriod
.15
to 60
y, a continuación, haga clic en ACEPTAR.HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
, haga clic con el botón secundario en la carpeta Escritorio , seleccione Nuevo y, a continuación, haga clic en String Value
.StatusFilePath
.<CommonAppData>\Cylance\Status\Status.json
C:\ProgramData\Cylance
La información detallada sobre el malware se encuentra en el archivo Status.json en:
/Library/Application Support/Cylance/Desktop/Status.json
La información detallada sobre el malware se encuentra en el archivo Status.json en:
/opt/cylance/desktop/Status.json
El contenido del archivo de estado incluye información detallada sobre varias categorías, incluidas Amenazas, Vulnerabilidades de seguridad y Scripts. Haga clic en la información adecuada para obtener más información al respecto.
snapshot_time |
La fecha y la hora en que se recopiló la información de Estado. La fecha y la hora son locales para el dispositivo. |
ProductInfo |
|
Policy |
|
ScanState |
|
Threats |
|
Exploits |
|
Scripts |
|
Las amenazas tienen varias categorías basadas en números que se descifrarán en File_Status, FileState y FileType. Haga referencia a la categoría adecuada para los valores que se asignarán.
El campo File_Status es un valor decimal calculado en función de los valores que habilita FileState (consulte la tabla en la sección FileState). Por ejemplo, un valor decimal de 9 para file_status se calcula a partir del archivo que se identifica como una amenaza (0x01) y el archivo se ha puesto en cuarentena (0x08).
Ninguno | 0x00 |
Amenaza | 0x01 |
Sospechoso | 0x02 |
Allowed (Permitido) | 0x04 |
En cuarentena | 0x08 |
Ejecución | 0x10 |
Dañado | 0x20 |
No admitido | 0 |
PE | 1 |
Archivado | 2 |
3 | |
OLE | 4 |
Las explotaciones de vulnerabilidad tienen dos categorías basadas en números que se descifrarán tanto en ItemType como en Estado.
Haga referencia a la categoría adecuada para los valores que se asignarán.
StackPivot |
1 | Pivote de pila |
StackProtect |
2 | Stack Protect |
OverwriteCode |
3 | Overwrite Code |
OopAllocate |
4 | Asignación remota de memoria |
OopMap |
5 | Asignación remota de memoria |
OopWrite |
6 | Escritura remota en la memoria |
OopWritePe |
7 | Escritura remota de PE en la memoria |
OopOverwriteCode |
8 | Sobrescribir código de forma remota |
OopUnmap |
9 | Quitar asignación remota de memoria |
OopThreadCreate |
10 | Creación remota de subprocesos |
OopThreadApc |
11 | APC remoto programado |
LsassRead |
12 | Lectura de LSASS |
TrackDataRead |
13 | Desechar RAM |
CpAllocate |
14 | Asignación remota de memoria |
CpMap |
15 | Asignación remota de memoria |
CpWrite |
16 | Escritura remota en la memoria |
CpWritePe |
17 | Escritura remota de PE en la memoria |
CpOverwriteCode |
18 | Sobrescribir código de forma remota |
CpUnmap |
19 | Quitar asignación remota de memoria |
CpThreadCreate |
20 | Creación remota de subprocesos |
CpThreadApc |
21 | APC remoto programado |
ZeroAllocate |
22 | Asignación de ceros |
DyldInjection |
23 | Inyección de DYLD |
MaliciousPayload |
24 | Carga útil maliciosa |
Oop
referencias fuera de procesoCp
hace referencia al proceso secundarioNinguno | 0 |
Allowed (Permitido) | 1 |
Blocked | 2 |
Terminado | 3 |
Las explotaciones de vulnerabilidad tienen una única categoría basada en números que se descifrará en Acción.
Ninguno | 0 |
Allowed (Permitido) | 1 |
Blocked | 2 |
Terminado | 3 |
Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.