什麼是進階威脅事件分類類型,它們代表什麼?
摘要: 本文概述了在 Dell Security Management Server 和 Dell Security Management Server Virtual 中概述的威脅分類類型,這些皆詳述於從端點收到的進階威脅事件資料底下。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
說明
注意:
- 截至 2022 年 5 月,Dell Endpoint Security Suite Enterprise 已達到維護結束的期限。Dell 已不再更新本文。如需更多資訊,請參閱 Dell Data Security 的產品生命週期 (支援結束/壽命結束) 原則。如果您對其他文章有任何問題,請聯絡您的銷售團隊或聯絡 endpointsecurity@dell.com。
- 請參考端點安全性,以取得有關目前產品的其他資訊。
受影響的產品:
- Dell Security Management Server
- Dell Security Management Server Virtual
- Dell Endpoint Security Suite Enterprise
Dell Endpoint Security Suite Enterprise 會從端點收集事件資料,並在端點存回期間將此事件資料傳送至 Dell Security Management Server。系統會分析此事件資料,並在 Cylance 引擎經偵測視為潛在威脅的端點上執行或找到的任何可攜式可執行檔、作用中應用程式執行和指令檔,在 Dell Security Management Server 中進行排序和分類。下列清單概述了在管理用戶端的 Advanced Threat Prevention 已啟用的 Dell Security Management Server 中,其進階威脅事件標籤內顯示的威脅分類類型。
ThreatFound
Severity: 嚴重
詳細資料:此事件表示裝置上已識別可攜式可執行檔 (PE),但在端點上並未遭到封鎖或隔離,表示電腦有作用中的威脅。
ThreatBlocked
Severity: 警告
詳細資料:表示裝置上已識別可攜式可執行檔 (PE),儘管其執行遭到封鎖。此威脅尚未隔離,而且可能是因為尚未啟用自動隔離原則,或檔案位於無法使用本機系統帳戶 (網路分享、已移除的 USB 裝置等) 寫入的位置。
ThreatTerminated
Severity: 警告
詳細資料:此事件表示裝置上已識別可攜式可執行檔 (PE),且其程式已終止,因為發現執行中。這並不表示檔案也已隔離,因為 PE 可能是從另一個位置執行。建議您尋找與此端點和可執行檔相關聯的另一個事件,以驗證是否已正確控制威脅。
MemoryViolationBlocked
Severity: 警告
詳細資料:此事件表示嘗試執行但違反記憶體保護或腳本控制原則的可執行檔或指令檔。接著執行可執行檔或指令檔時會遭到封鎖。這通常代表所概述的相互關聯的記憶體保護或腳本控制原則設定為「Block」。
MemoryViolationTerminated
Severity: 警告
詳細資料:此事件表示發現執行中的可執行檔或指令檔違反記憶體保護或腳本控制原則。可執行檔或指令檔稍後已終止。這通常代表所概述的相互關聯的記憶體保護或腳本控制原則設定為「終止」。
MemoryViolation
Severity: 警告
詳細資料:此事件表示發現可執行檔或指令檔違反記憶體保護或腳本控制原則。可執行檔或指令檔沒有對其採取任何動作,可能是因為原則設為「Allow」。
ThreatRemoved
Severity: 資訊
詳細資料:此事件表示從端點移除前,先前識別的可攜式可執行檔 (PE) 已確定為潛在威脅。這可能表示 PE 已從隔離中移除或從初始位置移除。這通常會與最初在可移除媒體 (USB、CD-ROM 等) 上偵測到的 PE 有關。
ThreatQuarantined
Severity: 資訊
詳細資料:此事件表示可攜式可執行檔 (PE) 已確定為潛在威脅,隨後已成功置於隔離中。這表示已啟用根據異常 (Cylance 分數為 0 - 60) 或不安全 (Cylance Score 60 - 100) 分類自動隔離威脅的原則。
ThreatWaived
Severity: 資訊
詳細資料:此事件表示根據全球安全清單或本機免責檔放棄可攜式可執行檔 (PE),經判定為潛在威脅。這也表示 SHA256 雜湊已新增至 Dell Security Management Server 中的「Waive」或「Global Safe List」原則。
ThreatChanged
Severity: 資訊
詳細資料:此事件代表可攜式可執行檔 (PE) 的 Cylance 分數變更時。這種情況通常是因為 Cylance 執行的兩個步驟評分所導致。本機評分引擎對威脅的分析可能與 Cylance 雲端引擎的分析不相符。在這些情況下,由於 Cylance 雲端引擎擁有的其他資料,因此會使用 Cylance 雲端引擎產生的分數。這也可能表示 Cylance 的更新已初始化了先前被視為威脅檔案的重新分析,並計算出新的分數,將此 PE 解析為不再被視為威脅。
ProtectionStatusChanged
Severity: 資訊
詳細資料:此事件代表端點變更任何保護狀態時。當 Dell Encryption Management Agent 透過 Cylance 附掛程式重新連線至 Cylance 服務時,便會觸發此問題。這通常會在端點重新開機時觸發,因為有一小段時間 CSF 可能未在開機期間連接至 Cylance 附掛程式。
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
其他資訊
影片
受影響的產品
Dell Encryption, Dell Endpoint Security Suite Enterprise文章屬性
文章編號: 000188221
文章類型: How To
上次修改時間: 06 6月 2023
版本: 6
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。