Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos
Es posible que algunos números de artículo hayan cambiado. Si esto no es lo que está buscando, intente buscar todos los artículos. Buscar artículos

Cómo analizar el estado del terminal Dell Endpoint Security Suite Enterprise y Threat Defense

Resumen: Los estados del terminal se pueden analizar en Dell Endpoint Security Suite Enterprise y Dell Threat Defense mediante estas instrucciones.

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Síntomas

Nota:

Los estados de los terminales de Dell Endpoint Security Suite Enterprise y Dell Threat Defense se pueden extraer de un terminal específico para una revisión detallada de las amenazas, las vulnerabilidades y los scripts.


Productos afectados:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

Plataformas afectadas:

  • Windows
  • Mac
  • Linux

Causa

No corresponde

Resolución

Los administradores de Dell Endpoint Security Suite Enterprise o Dell Threat Defense pueden acceder a un terminal individual para revisar lo siguiente:

  • Contenido del malware
  • Estado del malware
  • Tipo de Malware

Un administrador solo debe realizar estos pasos cuando solucione problemas por los que el motor de Advanced Threat Prevention (ATP) desclasificó erróneamente un archivo. Haga clic en Acceso o Revisar para obtener más información.

Acceso

El acceso a la información del malware varía entre Windows, macOS y Linux. Para obtener más información, haga clic en el sistema operativo correspondiente.

De manera predeterminada, Windows no registra información detallada sobre el malware.

  1. Haga clic con el botón secundario en el menú Inicio de Windows y haga clic en Ejecutar.

Ejecutar

  1. En la interfaz del usuario ejecutar, escriba regedit y, a continuación, presione CTRL + MAYÚS + INTRO. Esto ejecuta el editor del registro como administrador.

Interfaz de usuario de Ejecutar

  1. En el Editor del registro, vaya a HKEY_LOCAL_MACHINE\Software\Cylance\Desktop.
  2. En el panel izquierdo, haga clic con el botón secundario en Escritorio y, a continuación, seleccione Permisos.

Permisos

  1. Haga clic en Opciones avanzadas.

Avanzado

  1. Haga clic en Propietario.

Pestaña Propietario

  1. Haga clic en Otros usuarios o grupos.

Otros usuarios o grupos

  1. Busque su cuenta en el grupo y, a continuación, haga clic en Aceptar.

Cuenta seleccionada

  1. Haga clic en Aceptar.

OK

  1. Asegúrese de que su grupo o nombre de usuario tenga el Control total seleccionado y, a continuación, haga clic en OK.

SLN310044_en_US__9ddpkm1371i

Nota: En el ejemplo, DDP_Admin (paso 8) es miembro del grupo Usuarios.
  1. En HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, haga clic con el botón secundario en la carpeta Escritorio, seleccione Nuevo y, a continuación, haga clic en Valor DWORD (32 bits).

Nuevo DWORD

  1. Asigne el nombre DWORD StatusFileEnabled.

StatusFileEnabled

  1. Haga doble clic en StatusFileEnabled.

Editar DWORD

  1. Completar los datos de valor con 1 y, a continuación, presione ACEPTAR.

DWORD actualizado

  1. En HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, haga clic con el botón secundario en la carpeta Escritorio, seleccione Nuevo y, a continuación, haga clic en Valor DWORD (32 bits).

Nuevo DWORD

  1. Asigne el nombre DWORD StatusFileType.

StatusFileType

  1. Haga doble clic en StatusFileType.

Editar DWORD

  1. Completar los datos de valor con cualquiera de los 0 o 1. Una vez que se hayan completado los datos de valor, presione OK.

DWORD actualizado

Nota: Opciones de datos de valor:
  • 0 = formato de archivo JSON
  • 1 = Formato XML
  1. En HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, haga clic con el botón secundario en la carpeta Escritorio, seleccione Nuevo y, a continuación, haga clic en Valor DWORD (32 bits).

Nuevo DWORD

  1. Asigne el nombre DWORD StatusPeriod.

StatusPeriod

  1. Haga doble clic en StatusPeriod.

Editar DWORD

  1. Completar datos de valor con un número que va desde 15 to 60 y, a continuación, haga clic en ACEPTAR.

DWORD actualizado

Nota: StatusPeriod es la frecuencia con la que se escribe el archivo.
15 = intervalo
de 15 segundos 60 = intervalo de 60 segundos
  1. En HKEY_LOCAL_MACHINE\Software\Cylance\Desktop, haga clic con el botón secundario en la carpeta Escritorio , seleccione Nuevo y, a continuación, haga clic en String Value.

Cadena nueva

  1. Asigne un nombre a la cadena StatusFilePath.

StatusFilePath

  1. Haga doble clic en StatusFilePath.

Editar cadena

  1. Complete los Datos de valor con la ubicación en la que desea escribir el archivo de estado y, a continuación, haga clic en OK.

Cadena editada

Nota:
  • Ruta de acceso predeterminada: <CommonAppData>\Cylance\Status\Status.json
  • Ruta de acceso de ejemplo: C:\ProgramData\Cylance
  • Un archivo .json (JavaScript Object Notation) se puede abrir en un editor de documentos de texto ASCII.

La información detallada sobre el malware se encuentra en el archivo Status.json en:

/Library/Application Support/Cylance/Desktop/Status.json
 
Nota: Un archivo .json (JavaScript Object Notation) se puede abrir en un editor de documentos de texto ASCII.

La información detallada sobre el malware se encuentra en el archivo Status.json en:

/opt/cylance/desktop/Status.json
 
Nota: Un archivo .json (JavaScript Object Notation) se puede abrir en un editor de documentos de texto ASCII.

Revisión

El contenido del archivo de estado incluye información detallada sobre varias categorías, incluidas Amenazas, Vulnerabilidades de seguridad y Scripts. Haga clic en la información adecuada para obtener más información al respecto.

Contenidos del archivo de estado:

snapshot_time La fecha y la hora en que se recopiló la información de Estado. La fecha y la hora son locales para el dispositivo.
ProductInfo
  • version: Versión del agente de Advanced Threat Prevention en el dispositivo
  • last_communicated_timestamp: Fecha y hora de la última comprobación de una actualización del agente
  • serial_number: Token de instalación utilizado para registrar el agente
  • device_name: Nombre del dispositivo en el que está instalado el agente
Policy
  • type: Estado de si el agente está en línea u offline
  • id: Identificador único de la política
  • name: Nombre de la política
ScanState
  • last_background_scan_timestamp: Fecha y hora del último análisis de Detección de amenazas en segundo plano
  • drives_scanned: Lista de letras de unidad escaneadas
Threats
  • count: La cantidad de amenazas encontradas
  • max: La cantidad máxima de amenazas en el archivo de estado
  • Amenaza
    • file_hash_id: Muestra la información de hash SHA256 para la amenaza
    • file_md5: El hash MD5
    • file_path: La ruta donde se encontró la amenaza. Incluye el nombre del archivo
    • is_running: ¿La amenaza se está ejecutando actualmente en el dispositivo? Verdadero o falso
    • auto_run: ¿El archivo de amenaza está configurado para ejecutarse automáticamente? Verdadero o falso
    • file_status: Muestra el estado actual de la amenaza como Permitido, En ejecución o En cuarentena. Consulte las amenazas: Tabla FileState
    • file_type: Muestra el tipo de archivo, como Portable Executable (PE), Archive o PDF. Consulte las amenazas: Tabla FileType
    • score: Muestra el puntaje Cylance. El puntaje que se muestra en el archivo de estado varía de 1000 a -1000. En la consola, el rango es de 100 a -100
    • file_size: Muestra el tamaño del archivo, en bytes
Exploits
  • count: La cantidad de vulnerabilidades encontradas
  • max: La cantidad máxima de vulnerabilidades de seguridad en el archivo de estado
  • Explotar
    • ProcessId: Muestra el ID de proceso de la aplicación que identifica Protección de memoria
    • ImagePath: La ruta de origen de la explotación de vulnerabilidad. Incluye el nombre del archivo
    • ImageHash: Muestra la información de hash SHA256 para la vulnerabilidad
    • FileVersion: Muestra el número de versión del archivo de explotación
    • Username: Muestra el nombre del usuario que inició sesión en el dispositivo cuando se produjo la vulnerabilidad
    • Groups: Muestra el grupo al que está asociado el usuario que inició sesión
    • Sid: El identificador de seguridad (SID) para el usuario que inició sesión
    • ItemType: Muestra el tipo de vulnerabilidad de seguridad, que se relaciona con los tipos de infracción
    Nota:
    • State: Muestra el estado actual de la vulnerabilidad, como Permitido, Bloqueado o Finalizado
    Nota:
    • Consulte las explotaciones de vulnerabilidad: Tabla de estado
    • MemDefVersion: La versión de Protección de memoria utilizada para identificar la vulnerabilidad, por lo general, el número de versión del agente
    • Count: La cantidad de veces que la vulnerabilidad intentó ejecutarse
Scripts
  • count: La cantidad de scripts ejecutados en el dispositivo
  • max: La cantidad máxima de scripts en el archivo de estado
  • Script
    • script_path: La ruta de donde se origina el script. Incluye el nombre del archivo
    • file_hash_id: Muestra la información de hash SHA256 para el script
    • file_md5: Muestra la información de hash md5 para el script, si está disponible
    • file_sha1: Muestra la información de hash SHA1 para el script, si está disponible
    • drive_type: Identifica el tipo de unidad desde la que se originó el script, como Fixed
    • last_modified: La fecha y la hora en que se modificó por última vez el script
    • interpreter:
      • name: El nombre de la función de control de scripts que identificó el script malicioso
      • version: El número de versión de la función de control de script
    • username: Muestra el nombre del usuario que inició sesión en el dispositivo cuando se inició el script
    • groups: Muestra el grupo al que está asociado el usuario que inició sesión
    • sid: El identificador de seguridad (SID) para el usuario que inició sesión
    • action: Muestra la acción que se realiza en el script, como Permitido, Bloqueado o Finalizado. Consulte los Scripts: Tabla de acciones

Las amenazas tienen varias categorías basadas en números que se descifrarán en File_Status, FileState y FileType. Haga referencia a la categoría adecuada para los valores que se asignarán.

File_Status

El campo File_Status es un valor decimal calculado en función de los valores que habilita FileState (consulte la tabla en la sección FileState). Por ejemplo, un valor decimal de 9 para file_status se calcula a partir del archivo que se identifica como una amenaza (0x01) y el archivo se ha puesto en cuarentena (0x08).

file_status y file_type

FileState

Amenazas: FileState

Ninguno 0x00
Amenaza 0x01
Sospechoso 0x02
Allowed (Permitido) 0x04
En cuarentena 0x08
Ejecución 0x10
Dañado 0x20

FileType

Amenazas: FileType

No admitido 0
PE 1
Archivado 2
PDF 3
OLE 4

Las explotaciones de vulnerabilidad tienen dos categorías basadas en números que se descifrarán tanto en ItemType como en Estado.

ItemType y State

Haga referencia a la categoría adecuada para los valores que se asignarán.

ItemType

Explotaciones de vulnerabilidad: ItemType

StackPivot 1 Pivote de pila
StackProtect 2 Stack Protect
OverwriteCode 3 Overwrite Code
OopAllocate 4 Asignación remota de memoria
OopMap 5 Asignación remota de memoria
OopWrite 6 Escritura remota en la memoria
OopWritePe 7 Escritura remota de PE en la memoria
OopOverwriteCode 8 Sobrescribir código de forma remota
OopUnmap 9 Quitar asignación remota de memoria
OopThreadCreate 10 Creación remota de subprocesos
OopThreadApc 11 APC remoto programado
LsassRead 12 Lectura de LSASS
TrackDataRead 13 Desechar RAM
CpAllocate 14 Asignación remota de memoria
CpMap 15 Asignación remota de memoria
CpWrite 16 Escritura remota en la memoria
CpWritePe 17 Escritura remota de PE en la memoria
CpOverwriteCode 18 Sobrescribir código de forma remota
CpUnmap 19 Quitar asignación remota de memoria
CpThreadCreate 20 Creación remota de subprocesos
CpThreadApc 21 APC remoto programado
ZeroAllocate 22 Asignación de ceros
DyldInjection 23 Inyección de DYLD
MaliciousPayload 24 Carga útil maliciosa
 
Nota:

Estado

Explotaciones de vulnerabilidad: Estado

Ninguno 0
Allowed (Permitido) 1
Blocked 2
Terminado 3

Las explotaciones de vulnerabilidad tienen una única categoría basada en números que se descifrará en Acción.

Acción

Scripts: Acción

Ninguno 0
Allowed (Permitido) 1
Blocked 2
Terminado 3

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

Información adicional

   

Videos

   

Productos afectados

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
Propiedades del artículo
Número del artículo: 000124896
Tipo de artículo: Solution
Última modificación: 20 nov 2023
Versión:  12
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.