Skip Navigation

Datenstrukturen, die von
CylanceOPTICS
zur Identifizierung von Bedrohungen verwendet werden

Ereignisse, Artefakte und Facetten sind die drei primären Datenstrukturen, die von
CylanceOPTICS
zur Analyse, Aufzeichnung und Untersuchung von Aktivitäten auf Geräten verwendet werden. Die Funktionen von
CylanceOPTICS
basieren auf diesen Datenstrukturen. Dies schließt InstaQuery, Fokusdaten und die Kontextanalyse-Engine (Context Analysis Engine, CAE) ein.
Dieser Abschnitt enthält weitere Informationen darüber, wie
CylanceOPTICS
Aktivitäten auf Geräten interpretiert und mit diesen interagiert, damit Sie Erkennungen, Abfragen und Fokusdaten besser verstehen und nutzen können.

Datenquellen nach Betriebssystem

Der
CylanceOPTICS
-Agent verwendet die folgenden Datenquellen:
OS
Datenquellen
Windows
  • Kernel-Treiber CyOpticsDrv
  • Ereignisverfolgung
  • Sicherheitsüberwachungsprotokoll
macOS
Kernel-Treiber CyOpticsDrvOSX
Linux
ZeroMQ
Informationen zu den Arten des Netzwerkverkehrs, die in
CylanceOPTICS
standardmäßig ausgeschlossen sind, finden Sie unter KB 65604.

Ereignisse

Ereignisse sind die Komponenten, die zu einer beobachtbaren Änderung oder Aktion auf einem Gerät führen. Ereignisse bestehen aus zwei primären Artefakten: dem auslösenden Artefakt, das eine Aktion auslöst, und dem Zielartefakt, auf das eingewirkt wird.
Die folgenden Tabellen enthalten Details zu den Ereignistypen, die
CylanceOPTICS
erkennen kann und mit denen es interagieren kann.
Ereignis: Beliebige
  • Geräterichtlinienoption zur Aktivierung: Kontrollkästchen
    CylanceOPTICS
  • Artefakttyp: Prozess, Benutzer
  • Plattform:
    Windows
    ,
    macOS
    ,
    Linux
Ereignistyp
Beschreibung
Beliebige
Alle Ereignisse zeichnen den Prozess auf, über den sie generiert wurden, sowie den Benutzer, der mit der Aktion verknüpft ist.
Ereignis: Anwendung
  • Geräterichtlinienoption zur Aktivierung: Erweiterte WMI-Sichtbarkeit
  • Artefakttyp: WMI-Trace
  • Plattform:
    Windows
Ereignistyp
Beschreibung
Filter-Consumer-Bindung erstellen
Ein Prozess hat WMI-Persistenz verwendet.
Temporären Consumer erstellen
Ein Prozess hat WMI-Ereignisse abonniert.
Vorgang ausführen
Ein Prozess hat einen WMI-Vorgang ausgeführt.
  • Geräterichtlinienoption zur Aktivierung: Erweiterte Prozess- und Hooking-Sichtbarkeit
  • Artefakttyp: Datei
  • Plattform:
    Windows
Ereignistyp
Beschreibung
CBT
Die SetWindowsHookEx-API hat einen Hook installiert, um Benachrichtigungen zu erhalten, die für eine CBT-Anwendung nützlich sind.
DebugProc
Die SetWindowsHookEx-API hat einen Hook installiert, um andere Hook-Prozeduren zu debuggen.
Status asynchroner Schlüssel abrufen
Ein Prozess hat die Win32-GetAsyncKeyState-API aufgerufen.
JournalPlayback
Die SetWindowsHookEx-API hat einen Hook installiert, um Nachrichten zu überwachen, die zuvor über die Hook-Prozedur WH_JOURNALRECORD aufgezeichnet wurden.
JournalRecord
Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Eingabemeldungen installiert, die in die Systemnachrichten-Warteschlange gestellt wurden.
Tastatur
Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Tastaturanschlagmeldungen installiert.
LowLevel-Tastatur
Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Low-Level-Tastatureingabe-Ereignissen installiert.
LowLevel-Maus
Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Low-Level-Mauseingabe-Ereignissen installiert.
Nachricht
Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Meldungen installiert, die in eine Nachrichtenwarteschlange gestellt wurden.
Maus
Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Mausmeldungen installiert.
Raw-Eingabegeräte registrieren
Ein Prozess hat die Win32-RegisterRawInputDevices-API aufgerufen.
Windows
-Ereignis-Hook festlegen
Ein Prozess hat die Win32-SetWinEventHook-API aufgerufen.
Windows
-Hook festlegen
Die SetWindowsHookEx-API hat einen nicht aufgeführten Hooktyp-Wert installiert.
ShellProc
Die SetWindowsHookEx-API hat einen Hook installiert, um Benachrichtigungen zu erhalten, die für Shell-Anwendungen nützlich sind.
SysMsg
Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Meldungen installiert, die als Ergebnis eines Eingabeereignisses in einem Dialogfeld, einem Meldungsfeld oder einer Bildlaufleiste generiert werden.
WindowProc
Die SetWindowsHookEx-API hat einen Hook zur Überwachung von
Windows
-Prozedurmeldungen installiert.
  • Geräterichtlinienoption zur Aktivierung: API-Sensor
  • Artefakttyp: API-Aufruf
  • Plattform:
    Windows
Ereignistyp
Beschreibung
Funktion
Es wurde ein auffälliger Funktionsaufruf erkannt.
  • Geräterichtlinienoption zur Aktivierung: Module-Load-Sichtbarkeit
  • Artefakttyp: Datei
  • Plattform:
    Windows
Ereignistyp
Beschreibung
Laden
Eine Anwendung hat ein Modul geladen.
  • Geräterichtlinienoption zur Aktivierung: COM-Objekt-Sichtbarkeit
  • Plattform:
    Windows
Ereignistyp
Beschreibung
Erstellt
Ein COM-Objekt wurde erstellt.
Ereignis: Gerät
  • Geräterichtlinienoption zur Aktivierung: Kontrollkästchen
    CylanceOPTICS
  • Artefakttyp: Datei
  • Plattform:
    macOS
    ,
    Linux
Ereignistyp
Beschreibung
Mounten
Das Gerät ist mit einer Maschine verbunden oder Ordner werden auf bestimmte Netzwerkspeicherorte gemountet.
Ereignis: Datei
  • Geräterichtlinienoption zur Aktivierung: Kontrollkästchen
    CylanceOPTICS
  • Artefakttyp: Datei
  • Plattform:
    Windows
    ,
    macOS
    ,
    Linux
Ereignistyp
Beschreibung
Erstellen
Es wurde eine Datei erstellt.
Löschen
Eine Datei wurde gelöscht.
Überschreiben
Eine Datei wurde überschrieben.
Umbenennen
Eine Datei wurde umbenannt.
Schreiben
Eine Datei wurde geändert.
  • Geräterichtlinienoption zur Aktivierung: Erweiterte Dateilesesichtbarkeit
  • Artefakttyp: Datei
  • Plattform:
    Windows
Ereignistyp
Beschreibung
Offen
Eine Datei wurde geöffnet.
Ereignis: Arbeitsspeicher
  • Geräterichtlinienoption zur Aktivierung: Kontrollkästchen
    CylanceOPTICS
  • Artefakttyp: Prozess
  • Plattform:
    macOS
    ,
    Linux
Ereignistyp
Beschreibung
Mmap
Ein Arbeitsspeicherbereich wurde einem bestimmten Zweck zugeordnet, der in der Regel einem Prozess zugeordnet ist.
MProtect
Die Metadaten wurden für einen Arbeitsspeicherbereich geändert, in der Regel um den Status zu ändern (z. B. um sie ausführbar zu machen).
Ereignis: Netzwerk
  • Geräterichtlinienoption zur Aktivierung: Kontrollkästchen
    CylanceOPTICS
  • Artefakttyp: Netzwerk
  • Plattform:
    Windows
    ,
    macOS
    ,
    Linux
Ereignistyp
Beschreibung
Verbinden
Es wurde eine Netzwerkverbindung geöffnet. Standardmäßig wird lokaler Datenverkehr nicht erfasst.
  • Geräterichtlinienoption zur Aktivierung: Sichtbarkeit privater Netzwerkadressen
  • Artefakttyp: Netzwerk
  • Plattform:
    Windows
Ereignistyp
Beschreibung
Verbinden
Verbindungsereignisse schließen lokalen Datenverkehr ein.
  • Geräterichtlinienoption zur Aktivierung: DNS-Sichtbarkeit
  • Artefakttyp: DNS-Anforderung
  • Plattform:
    Windows
    ,
    Linux
Ereignistyp
Beschreibung
Anforderung
Ein Prozess hat eine Netzwerk-DNS-Anforderung erstellt, die nicht zwischengespeichert wurde.
Antwort
Ein Prozess hat eine DNS-Antwort empfangen.
  • Geräterichtlinienoption zur Aktivierung: HTTP-Sichtbarkeit
  • Artefakttyp: HTTP
  • Plattform:
    Windows
Ereignistyp
Beschreibung
Get
Windows
hat WinINet oder WinHTTP verwendet, um eine HTTP-Anforderung zu stellen.
Post
Windows
hat WinINet oder WinHTTP zum Senden von Daten verwendet.
Ereignis: Prozess
  • Geräterichtlinienoption zur Aktivierung: Kontrollkästchen
    CylanceOPTICS
  • Artefakttyp: Prozess
Ereignistyp
Plattform
Beschreibung
Anormales Beenden
macOS
Linux
Ein vom Vorauswahlsensor überwachter Prozess wurde ohne Abschluss beendet (eine Ausnahme hat z. B. dazu geführt, dass ein Prozess beendet wurde).
Schließen
Windows
macOS
Linux
Ein Prozess wurde beendet.
Erzwungenes Beenden
macOS
Linux
Ein vom Vorauswahlsensor überwachter Prozess wurde durch einen anderen Prozess zur Beendigung gezwungen.
PTrace
macOS
Linux
Dies ist ein Unix-Systemtool, mit dem ein Prozess einen anderen Prozess überwachen und steuern kann.
Start
Windows
macOS
Linux
Ein Prozess wurde gestartet.
Aussetzen
Linux
Ein vom Vorauswahlsensor überwachter Prozess wurde ausgesetzt.
Unbekanntes
Linux
-Prozessereignis
macOS
Linux
Ein vom Vorauswahlsensor überwachtes unbekanntes Ereignis ist aufgetreten, das auf den Prozess abzielt. Dies kann ein Zeichen dafür sein, dass schädliche Software ihre Aktivität verdeckt.
  • Geräterichtlinienoption zur Aktivierung: Erweiterte Prozess- und Hooking-Sichtbarkeit
  • Artefakttyp: Prozess
  • Plattform:
    Windows
Ereignistyp
Beschreibung
SetThreadContext
Ein Prozess hat die SetThreadContext-API aufgerufen.
Beenden
Ein auslösender Prozess hat einen anderen Zielprozess beendet.
Ereignis: Registrierung
  • Geräterichtlinienoption zur Aktivierung: Kontrollkästchen
    CylanceOPTICS
  • Artefakttyp: Registrierung, Datei (wenn der Registrierungsschlüssel auf eine bestimmte Datei verweist)
  • Plattform:
    Windows
Ereignistyp
Beschreibung
KeyCreated
Ein Registrierungsschlüssel wurde erstellt.
KeyDeleting
Ein Registrierungsschlüssel wurde gelöscht.
ValueChanging
Der Wert eines Registrierungsschlüssels wurde geändert.
ValueDeleting
Ein Registrierungsschlüsselwert wurde gelöscht.
Ereignis: Scripting
  • Geräterichtlinienoption zur Aktivierung: Erweiterte Scripting-Sichtbarkeit
  • Artefakttyp: PowerShell-Trace
  • Plattform:
    Windows
Ereignistyp
Beschreibung
Befehl ausführen
Windows PowerShell
hat einen Befehl ausgeführt. Die Parameter sind unbekannt.
Skript ausführen
Windows PowerShell
hat ein Skript ausgeführt.
SkriptBlock ausführen
Windows PowerShell
hat einen Skriptblock ausgeführt.
Befehl aufrufen
Windows PowerShell
hat einen Befehl mit gebundenen Parametern aufgerufen.
Skript verhindern
Ein AMSI-ScanBuffer-Ergebnis zeigt an, dass ein Skript von einem Administrator erkannt oder blockiert wurde.
Ereignis: Benutzer
  • Geräterichtlinienoption zur Aktivierung: Erweiterte Scripting-Sichtbarkeit
  • Artefakttyp:
    Windows
    -Ereignis
  • Plattform:
    Windows
Ereignistyp
Beschreibung
Batch-Abmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4634 (Typ 4).
Batch-Anmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4624 (Typ 4).
CachedInteractive-Abmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4634 (Typ 11).
CachedInteractive-Anmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4624 (Typ 11).
Interaktive Abmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4634 (Typ 2).
Interaktive Anmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4624 (Typ 2).
Netzwerkabmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4634 (Typ 3).
Netzwerkanmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4624 (Typ 3).
NetworkClearText-Abmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4634 (Typ 8).
NetworkClearText-Anmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4624 (Typ 8).
NewCredentials-Abmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4634 (Typ 9).
NewCredentials-Anmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4624 (Typ 9).
RemoteInteractive-Abmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4634 (Typ 10).
RemoteInteractive-Anmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4624 (Typ 10).
Dienstabmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4634 (Typ 5).
Dienstanmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4624 (Typ 5).
Entsperr-Abmelden
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4634 (Typ 7).
Entsperr-Anmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4624 (Typ 7).
Benutzerabmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4634 (nicht aufgeführter Typwert).
Benutzeranmeldung
Die folgende
Windows
-Ereignis-ID ist aufgetreten: 4624 (nicht aufgeführter Typwert).

Artefakte und Facetten

Artefakte sind komplexe Informationen, die von
CylanceOPTICS
verwendet werden können. Die Kontextanalyse-Engine (Context Analysis Engine, CAE) kann Artefakte auf Geräten identifizieren und diese verwenden, um automatische Vorfallreaktionen und Behebungsaktionen auszulösen. InstaQueries verwenden Artefakte als Grundlage einer Abfrage.
Facetten sind die Attribute eines Artefakts, mit denen die Merkmale eines Artefakts identifiziert werden können, das mit einem Ereignis verknüpft ist. Facetten werden während der Analyse korreliert und kombiniert, um potenziell schädliche Aktivitäten zu identifizieren. Eine Datei mit dem Namen „Explorer.exe“ ist beispielsweise nicht von Natur aus verdächtig. Wenn die Datei jedoch nicht von
Microsoft
signiert ist und sich in einem temporären Verzeichnis befindet, kann sie in einigen Umgebungen als verdächtig identifiziert werden.
CylanceOPTICS
verwendet die folgenden Artefakte und Facetten:
Artefakt
Facetten
API-Aufruf
  • Funktion
  • DLL
  • Parameter
DNS
  • Verbindung
  • IsRecursionDesired
  • IsUnsolicitedResponse
  • Opcode
  • RequestId
  • Auflösung
  • ResponseOriginatedFromThisDevice
  • Fragen
Ereignis
  • Zeitpunkt des Auftretens
  • Zeitpunkt der Registrierung
Datei
  • Ausführbarer Datensatz (nur Binärdateien)
  • Dateierstellungszeitpunkt (vom Betriebssystem gemeldet)
  • Dateipfad
  • Dateisignatur (nur Binärdateien)
  • Dateigröße
  • Letzter Änderungszeitpunkt (vom Betriebssystem gemeldet)
  • MD5-Hash (nur Binärdateien)
  • Letzter Schreibort
  • SHA256-Hash (nur Binärdateien)
  • Vermuteter Dateityp
  • Benutzer
Netzwerk
  • Lokale Adresse
  • Lokaler Port
  • Protokoll
  • Remote-Adresse
  • Remote-Port
PowerShell-Trace
  • EventId
  • Payload
  • PayloadAnalysis
  • ScriptBlockText
  • ScriptBlockTextAnalysis
Prozess
  • Befehlszeile
  • Datei, aus der die ausführbare Datei ausgeführt wurde
  • Übergeordneter Prozess
  • Prozess-ID
  • Anfangszeit
  • Benutzer
Registrierung
  • Wenn der Wert auf eine Datei im System verweist
  • Registrierungspfad
  • Wert
Benutzer
  • Domäne
  • Betriebssystemspezifische Kennung (z. B. SID)
  • Benutzername
Benutzerartefakte können einen der folgenden Werte enthalten. Die Daten sind jedoch auf den meisten Geräten nicht verfügbar:
  • AccountType
  • BadPasswordCount
  • Kommentar
  • CountryCode
  • FullName
  • HasPasswordExpired
  • HomeDirectory
  • IsAccountDisabled
  • IsLocalAccount
  • IsLockedOut
  • IsPasswordRequired
  • LanguageCodePage
  • LogonServer
  • PasswordAge
  • PasswordDoesNotExpire
  • ProfilePath
  • ScriptPath
  • UserPrivilege
  • Workstations
Windows
-Ereignis
  • Klasse
  • Ereignis-ID
  • ObjectServer
  • PrivilegeList
  • Prozess-ID
  • Prozessname
  • Anbietername
  • Dienst
  • SubjectDomainName
  • SubjectLogonId
  • SubjectUserName
  • SubjectUserSid
WMI-Trace
  • ConsumerText
  • ConsumerTextAnalysis
  • EventId
  • Namespace
  • Vorgang
  • OperationAnalysis
  • OriginatingMachineName

Registrierungsschlüssel und -werte

CylanceOPTICS
überwacht die allgemeinen Schlüssel und Werte für Persistenz, Prozessstart und Berechtigungseskalation sowie die in KB 66266 angegebenen Werte.
Weitere Informationen darüber, wie
CylanceOPTICS
Persistenzpunkte in der Registrierung überwacht, finden Sie unter KB 66357.