如何分析 Dell Endpoint Security Suite Enterprise 和 Threat Defense 端点状态

摘要: 使用这些说明了解如何在 Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 中分析端点状态。

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

說明

提醒:

可以从特定端点提取 Dell Endpoint Security Suite Enterprise 和 Dell Threat Defense 端点状态,以便深入检查威胁、漏洞利用和脚本。

受影响的产品:

  • Dell Endpoint Security Suite Enterprise
  • Dell Threat Defense

受影响的平台:

  • Windows
  • Mac
  • Linux

Dell Endpoint Security Suite Enterprise 或 Dell Threat Defense 管理员可以访问单个端点以查看:

  • 恶意软件内容
  • 恶意软件状态
  • 恶意软件类型

管理员应仅在对 Advanced Threat Prevention (ATP) 引擎错误分类文件的原因进行故障处理时执行这些步骤。单击 AccessReview 以了解更多信息。

访问

恶意软件信息的访问方法在 WindowsmacOSLinux 中各不相同。有关详情,请单击相应的操作系统。

Windows

默认情况下,Windows 不会记录深入的恶意软件信息。

  1. 右键单击 Windows 的“开始”菜单,然后单击运行
    在该节点上运行
  2. 在“运行”UI中,键入 regedit ,然后按 CTRL+SHIFT+ENTER。这将以管理员身份运行 Registry Editor。
    “运行”UI
  3. 在 Registry Editor 中,转至 HKEY_LOCAL_MACHINE\Software\Cylance\Desktop
  4. 在左侧窗格中,右键单击 Desktop,然后选择权限
    权限
  5. 单击高级
    高级
  6. 单击所有者
    “所有者”选项卡
  7. 单击其他用户或组
    其他用户或组
  8. 在组中搜索您的帐户,然后单击确定
    所选帐户
  9. 单击 OK
    OK
  10. 确保您的组或用户名已选中完全控制,然后单击确定
    检查“完全控制”选择
    提醒:在示例中,DDP_Admin(步骤 8)是用户组的成员。
  11. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,右键单击 “桌面 ”文件夹,选择 “新建”,然后单击“ DWORD(32 位)值”。
    新建 DWORD
  12. 命名 DWORD StatusFileEnabled
    StatusFileEnabled
  13. 双击 StatusFileEnabled
    编辑 DWORD
  14. 使用以下命令填充 值数据1 然后按 OK
    更新后的 DWORD
  15. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,右键单击 “桌面 ”文件夹,选择 “新建”,然后单击“ DWORD(32 位)值”。
    新建 DWORD
  16. 命名 DWORD StatusFileType
    StatusFileType
  17. 双击 StatusFileType
    编辑 DWORD
  18. 使用以下任一项填充值数据 01。填充值数据后,单击确定
    更新后的 DWORD
    提醒:值数据选择:
    • 0 = JSON 文件格式
    • 1 = XML 格式
  19. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,右键单击 “桌面 ”文件夹,选择 “新建”,然后单击“ DWORD(32 位)值”。
    新建 DWORD
  20. 命名 DWORD StatusPeriod
    StatusPeriod
  21. 双击 StatusPeriod
    编辑 DWORD
  22. 使用数字填充 值数据 ,范围为 15 重定向到 60 ,然后单击 OK
    更新后的 DWORD
    提醒:StatusPeriod 是写入文件的频率。
    15 = 15 秒间隔
    60 = 60 秒间隔
  23. At HKEY_LOCAL_MACHINE\Software\Cylance\Desktop,右键单击 “桌面 ”文件夹,选择 “新建”,然后单击 String Value
    新字符串
  24. 命名字符串 StatusFilePath
    StatusFilePath
  25. 双击 StatusFilePath
    编辑字符串
  26. 使用将状态文件写入的位置填充值数据,然后单击确定
    编辑后的字符串
    提醒:
    • 默认路径: <CommonAppData>\Cylance\Status\Status.json
    • 示例路径: C:\ProgramData\Cylance
    • 可以在 ASCII 文本文档编辑器中打开 .json (JavaScript Object Notation) 文件。

macOS

深入的恶意软件信息位于 Status.json 文件位置:

/Library/Application Support/Cylance/Desktop/Status.json
提醒:可以在 ASCII 文本文档编辑器中打开 .json (JavaScript Object Notation) 文件。

Linux

深入的恶意软件信息位于 Status.json 文件位置:

/opt/cylance/desktop/Status.json
提醒:可以在 ASCII 文本文档编辑器中打开 .json (JavaScript Object Notation) 文件。

检视

状态文件的内容包括多个类别的详细信息,包括威胁漏洞脚本。单击相应的信息以了解更多相关信息。

目录

状态文件内容:

snapshot_time 状态信息的收集日期和时间。日期和时间是设备的本地日期和时间。
ProductInfo
  • version:设备上的 Advanced Threat Prevention Agent 版本
  • last_communicated_timestamp:上次检查代理程序更新的日期和时间
  • serial_number:用于注册代理程序的安装令牌
  • device_name:安装代理程序的设备的名称
Policy
  • type:代理是联机还是脱机的状态
  • id:策略的唯一标识符
  • name:策略名称
ScanState
  • last_background_scan_timestamp:上次后台威胁检测扫描的日期和时间
  • drives_scanned:已扫描的驱动器盘符列表
Threats
  • count:发现的威胁数量
  • max:状态文件中的最大威胁数
  • Threat
    • file_hash_id:显示威胁的 SHA256 哈希信息
    • file_md5:MD5 哈希
    • file_path:发现威胁的路径。包括文件名
    • is_running:威胁是否正在设备上运行?判断对错
    • auto_run:威胁文件是否设置为自动运行?判断对错
    • file_status:显示威胁的当前状态,如 Allowed、Running 或 Quarantined。请参阅威胁:FileState
    • file_type:显示文件类型,如 Portable Executable (PE)、Archive 或 PDF。请参阅威胁:FileType
    • score:显示 Cylance 分数。状态文件中显示的分数范围为 1000 到 -1000。在控制台中,范围为 100 到 -100
    • file_size:显示文件大小(以字节为单位)
Exploits
  • count:发现的漏洞数量
  • max:状态文件中的最大漏洞数
  • 漏洞
    • ProcessId:显示由 Memory Protection 标识的应用程序的进程 ID
    • ImagePath:漏洞源自的路径。包括文件名
    • ImageHash:显示漏洞的 SHA256 哈希信息
    • FileVersion:显示漏洞文件的版本号
    • Username:显示在发生漏洞时登录设备的用户的名称
    • Groups:显示登录用户关联的组
    • Sid:登录用户的安全标识符 (SID)
    • ItemType:显示与违规类型相关的漏洞类型
    提醒:
    • State:显示漏洞的当前状态,如 Allowed、Blocked 或 Terminated
    提醒:请参阅 漏洞:State 表。
    • MemDefVersion:用于识别漏洞的 Memory Protection 版本,通常是代理程序版本号
    • Count:漏洞尝试运行的次数
Scripts
  • count:设备上运行的脚本数
  • max:状态文件中的最大脚本数
  • 脚本
    • script_path:脚本源自的路径。包括文件名
    • file_hash_id:显示脚本的 SHA256 哈希信息
    • file_md5:显示脚本的 MD5 哈希信息(如果可用)
    • file_sha1:显示脚本的 SHA1 哈希信息(如果可用)
    • drive_type:标识脚本源自的驱动器类型,如“固定”
    • last_modified:上次修改脚本的日期和时间
    • interpreter
      • name:识别恶意脚本的脚本控制功能的名称
      • version:脚本控制功能的版本号
    • username:显示脚本启动时登录设备的用户的名称
    • groups:显示登录用户关联的组
    • sid:登录用户的安全标识符 (SID)
    • action:显示在脚本上执行的作,如 Allowed、Blocked 或 Terminated。请参阅脚本:作

威胁

威胁有多个基于数值的类别,需要在 File_StatusFileStateFileType 中进行解密。请参考要分配的值的相应类别。

File_Status

File_Status字段是基于 FileState 启用的值计算的十进制值(请参阅 FileState 部分中的表)。例如,一个文件被标识为威胁 (0x01) 并且已被隔离 (0x08),从而计算出 file_status 的十进制值为 9。

file_status 和 file_type

FileState

威胁:FileState

0x00
Threat 0x01
Suspicious 0x02
允许 0x04
Quarantined 0x08
Running 0x10
Corrupt 0x20
FileType

威胁:FileType

Unsupported 0
PE 1
Archive 2
PDF 3
OLE 4

漏洞

漏洞具有两个基于数值的类别,需要在 ItemTypeState 中进行解密。

ItemType 和 State

请参考要分配的值的相应类别。

ItemType

漏洞:ItemType

StackPivot 1 栈转移
StackProtect 2 栈保护
OverwriteCode 3 覆盖代码
OopAllocate 4 远程分配内存
OopMap 5 远程映射内存
OopWrite 6 远程写入内存
OopWritePe 7 将 PE 远程写入内存
OopOverwriteCode 8 远程覆盖代码
OopUnmap 9 远程取消内存映射
OopThreadCreate 10 远程创建线程
OopThreadApc 11 远程计划 APC
LsassRead 12 LSASS 读取
TrackDataRead 13 RAM 清除
CpAllocate 14 远程分配内存
CpMap 15 远程映射内存
CpWrite 16 远程写入内存
CpWritePe 17 将 PE 远程写入内存
CpOverwriteCode 18 远程覆盖代码
CpUnmap 19 远程取消内存映射
CpThreadCreate 20 远程创建线程
CpThreadApc 21 远程计划 APC
ZeroAllocate 22 零分配
DyldInjection 23 DYLD 注入
MaliciousPayload 24 恶意有效负载
提醒:
省/自治区/直辖市

漏洞:省/自治区/直辖市

0
允许 1
Blocked 2
Terminated 3

脚本

漏洞具有一个基于数值的类别,需要在 Action 中进行解密。

操作

脚本:操作

0
允许 1
Blocked 2
Terminated 3

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

其他資訊

   

影片

   

受影響的產品

Dell Threat Defense, Dell Endpoint Security Suite Enterprise
文章屬性
文章編號: 000124896
文章類型: How To
上次修改時間: 30 5月 2025
版本:  13
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。