高级威胁事件分类类型是什么？它们代表什么？

受影响的产品：

• Dell Security Management Server
• Dell Security Management Server Virtual
• Dell Endpoint Security Suite Enterprise

Dell Endpoint Security Suite Enterprise 从端点收集事件数据，并在端点签入期间将此事件数据发送到 Dell Security Management Server。此事件数据会得到分析，并且 Dell Security Management Server 中将对 Cylance 引擎检测为潜在威胁的端点上运行或找到的任何可移植的可执行文件、活动应用程序执行和脚本进行排序和分类。下面的列表概述了在管理启用 Advanced Threat Prevention 的客户端的 Dell Security Management Server 中的 Advanced Threat Events 选项卡内显示的威胁分类类型。

ThreatFound

Severity：严重
详细信息：此事件表示已在设备上识别便携式可执行文件 （PE），但端点上未被阻止或以其他方式隔离，表示计算机上存在活动威胁。

ThreatBlocked

Severity：警告
详细信息：表示已在设备上确定可移植的可执行文件 (PE)，并且已阻止其执行。此威胁尚未被隔离，可能是由于未启用自动隔离策略，或者文件位于我们无法使用本地 SYSTEM 帐户写入的位置（网络共享、已删除的 USB 设备等）。

ThreatTerminated

Severity：警告
详细信息：此事件表示设备上已识别便携式可执行文件 （PE），并且其进程在发现正在运行时已终止。这并不表示该文件也遭到隔离，因为此 PE 可能已从另一个位置运行。我们建议寻找与此端点和可执行文件相关的另一个事件，以验证威胁是否得到了适当控制。

MemoryViolationBlocked

Severity：警告
详细信息：此事件指示尝试运行但违反内存保护或脚本控制策略的可执行文件或脚本。然后该可执行文件或脚本的执行被阻止。通常，这表示所概述的关联内存保护或脚本控制策略设置为“Block”。

MemoryViolationTerminated

Severity：警告
详细信息：此事件表示发现可执行文件或脚本正在运行，并且违反了内存保护或脚本控制策略。该可执行文件或脚本稍后遭到终止。通常，这表示所概述的关联内存保护或脚本控制策略设置为“终止”。

MemoryViolation

Severity：警告
详细信息：此事件表示发现有一个可执行文件或脚本违反内存保护或脚本控制策略。可执行文件或脚本没有对其采取任何操作，这可能是因为策略设置为“Allow”。

ThreatRemoved

Severity：信息
详细信息：此事件表示先前确定的便携式可执行文件 （PE） 在从端点中删除之前已确定为潜在威胁。这可能表示此 PE 已从隔离区或初始位置中删除。对于最初在可移动介质（USB、CD-ROM 等）上检测到的 PE 来说，这是常见的事情。

ThreatQuarantined

Severity：信息
详细信息：此事件表示便携式可执行文件 （PE） 已确定为潜在威胁，随后已成功置于隔离区中。这表示根据异常（Cylance 分数为 0 - 60）或不安全（Cylance 分数 60 - 100）的分类自动隔离威胁的策略已启用。

ThreatWaived

Severity：信息
详细信息：此事件表示已确定为潜在威胁的便携式可执行文件 （PE） 已根据全球安全列表或本地放弃而放弃。这也可能表示 SHA256 哈希已添加到 Dell Security Management Server 中的“放弃”或“全局安全列表”策略。

ThreatChanged

Severity：信息
详细信息：此事件表示便携式可执行文件 （PE） 的 Cylance 分数发生更改时。这通常是 Cylance 所做的两步走评分操作引发的。本地评分引擎对威胁的分析可能与 Cylance 云引擎的分析不匹配。在这些情况下，由于 Cylance 云引擎具有的其他数据，因此使用 Cylance 云引擎生成的分数。这也可能表示 Cylance 的更新已初始化对以前被视为威胁的文件的重新分析，并且计算了新的分数来解析这个 PE，使其不再被视为威胁。

ProtectionStatusChanged

Severity：信息
详细信息：此事件表示端点是否已更改任何保护状态。这在 Dell Encryption Management Agent 通过 Cylance 插件程序重新连接到 Cylance 服务时触发。这通常在端点重新启动时触发，因为在启动期间，CSF 可能有一小段时间没有连接到 Cylance 插件程序。

要联系支持部门，请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect，在线生成技术支持请求。
要获得更多见解和资源，请加入戴尔安全社区论坛。