Datenstrukturen, die von

CylanceOPTICS

zur Identifizierung von Bedrohungen verwendet werden

Ereignisse, Artefakte und Facetten sind die drei primären Datenstrukturen, die von

CylanceOPTICS

zur Analyse, Aufzeichnung und Untersuchung von Aktivitäten auf Geräten verwendet werden. Die Funktionen von

CylanceOPTICS

basieren auf diesen Datenstrukturen. Dies schließt InstaQuery, Fokusdaten und die Kontextanalyse-Engine (Context Analysis Engine, CAE) ein.

Dieser Abschnitt enthält weitere Informationen darüber, wie

CylanceOPTICS

Aktivitäten auf Geräten interpretiert und mit diesen interagiert, damit Sie Erkennungen, Abfragen und Fokusdaten besser verstehen und nutzen können.

Der

CylanceOPTICS

-Agent verwendet die folgenden Datenquellen:

OS	Datenquellen
Windows	Kernel-Treiber CyOpticsDrv Ereignisverfolgung Sicherheitsüberwachungsprotokoll
macOS	Kernel-Treiber CyOpticsDrvOSX
Linux	ZeroMQ

Bezüglich Informationen zu den Arten des Netzwerkverkehrs ist CylanceOPTICS standardmäßig auf „Ausschließen“ konfiguriert, siehe KB65604.

Ereignisse sind die Komponenten, die zu einer beobachtbaren Änderung oder Aktion auf einem Gerät führen. Ereignisse bestehen aus zwei primären Artefakten: dem auslösenden Artefakt, das eine Aktion auslöst, und dem Zielartefakt, auf das eingewirkt wird.

Die folgenden Tabellen enthalten Details zu den Ereignistypen, die

CylanceOPTICS

erkennen kann und mit denen es interagieren kann.

Ereignistyp	Beschreibung
Beliebige	Alle Ereignisse zeichnen den Prozess auf, über den sie generiert wurden, sowie den Benutzer, der mit der Aktion verknüpft ist.

Ereignistyp	Beschreibung
Filter-Consumer-Bindung erstellen	Ein Prozess hat WMI-Persistenz verwendet.
Temporären Consumer erstellen	Ein Prozess hat WMI-Ereignisse abonniert.
Vorgang ausführen	Ein Prozess hat einen WMI-Vorgang ausgeführt.

Ereignistyp	Beschreibung
CBT	Die SetWindowsHookEx-API hat einen Hook installiert, um Benachrichtigungen zu erhalten, die für eine CBT-Anwendung nützlich sind.
DebugProc	Die SetWindowsHookEx-API hat einen Hook installiert, um andere Hook-Prozeduren zu debuggen.
Status asynchroner Schlüssel abrufen	Ein Prozess hat die Win32-GetAsyncKeyState-API aufgerufen.
JournalPlayback	Die SetWindowsHookEx-API hat einen Hook installiert, um Nachrichten zu überwachen, die zuvor über die Hook-Prozedur WH_JOURNALRECORD aufgezeichnet wurden.
JournalRecord	Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Eingabemeldungen installiert, die in die Systemnachrichten-Warteschlange gestellt wurden.
Tastatur	Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Tastaturanschlagmeldungen installiert.
LowLevel-Tastatur	Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Low-Level-Tastatureingabe-Ereignissen installiert.
LowLevel-Maus	Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Low-Level-Mauseingabe-Ereignissen installiert.
Nachricht	Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Meldungen installiert, die in eine Nachrichtenwarteschlange gestellt wurden.
Maus	Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Mausmeldungen installiert.
Raw-Eingabegeräte registrieren	Ein Prozess hat die Win32-RegisterRawInputDevices-API aufgerufen.
Windows -Ereignis-Hook festlegen	Ein Prozess hat die Win32-SetWinEventHook-API aufgerufen.
Windows -Hook festlegen	Die SetWindowsHookEx-API hat einen nicht aufgeführten Hooktyp-Wert installiert.
ShellProc	Die SetWindowsHookEx-API hat einen Hook installiert, um Benachrichtigungen zu erhalten, die für Shell-Anwendungen nützlich sind.
SysMsg	Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Meldungen installiert, die als Ergebnis eines Eingabeereignisses in einem Dialogfeld, einem Meldungsfeld oder einer Bildlaufleiste generiert werden.
WindowProc	Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Windows -Prozedurmeldungen installiert.

Ereignistyp	Beschreibung
Funktion	Es wurde ein auffälliger Funktionsaufruf erkannt.

Ereignistyp	Beschreibung
Mounten	Das Gerät ist mit einer Maschine verbunden oder Ordner werden auf bestimmte Netzwerkspeicherorte gemountet.

Ereignistyp	Beschreibung
Erstellen	Es wurde eine Datei erstellt.
Löschen	Eine Datei wurde gelöscht.
Überschreiben	Eine Datei wurde überschrieben.
Umbenennen	Eine Datei wurde umbenannt.
Schreiben	Eine Datei wurde geändert.

Ereignistyp	Beschreibung
Offen	Eine Datei wurde geöffnet.

Ereignistyp	Beschreibung
Mmap	Ein Arbeitsspeicherbereich wurde einem bestimmten Zweck zugeordnet, der in der Regel einem Prozess zugeordnet ist.
MProtect	Die Metadaten wurden für einen Arbeitsspeicherbereich geändert, in der Regel um den Status zu ändern (z. B. um sie ausführbar zu machen).

Ereignistyp	Beschreibung
Verbinden	Es wurde eine Netzwerkverbindung geöffnet. Standardmäßig wird lokaler Datenverkehr nicht erfasst.

Ereignistyp	Beschreibung
Verbinden	Verbindungsereignisse schließen lokalen Datenverkehr ein.

Ereignistyp	Beschreibung
Anforderung	Ein Prozess hat eine Netzwerk-DNS-Anforderung erstellt, die nicht zwischengespeichert wurde.
Antwort	Ein Prozess hat eine DNS-Antwort empfangen.

Ereignistyp	Plattform	Beschreibung
Anormales Beenden	macOS Linux	Ein vom Vorauswahlsensor überwachter Prozess wurde ohne Abschluss beendet (eine Ausnahme hat z. B. dazu geführt, dass ein Prozess beendet wurde).
Schließen	Windows macOS Linux	Ein Prozess wurde beendet.
Erzwungenes Beenden	macOS Linux	Ein vom Vorauswahlsensor überwachter Prozess wurde durch einen anderen Prozess zur Beendigung gezwungen.
PTrace	macOS Linux	Dies ist ein Unix-Systemtool, mit dem ein Prozess einen anderen Prozess überwachen und steuern kann.
Start	Windows macOS Linux	Ein Prozess wurde gestartet.
Aussetzen	Linux	Ein vom Vorauswahlsensor überwachter Prozess wurde ausgesetzt.
Unbekanntes Linux -Prozessereignis	macOS Linux	Ein vom Vorauswahlsensor überwachtes unbekanntes Ereignis ist aufgetreten, das auf den Prozess abzielt. Dies kann ein Zeichen dafür sein, dass schädliche Software ihre Aktivität verdeckt.

Ereignistyp	Beschreibung
SetThreadContext	Ein Prozess hat die SetThreadContext-API aufgerufen.
Beenden	Ein auslösender Prozess hat einen anderen Zielprozess beendet.

Ereignistyp	Beschreibung
Schlüssel erstellt	Ein Registrierungsschlüssel wurde erstellt.
Schlüssel gelöscht	Ein Registrierungsschlüssel wurde gelöscht.
Wert erstellt	Ein Registrierungsschlüsselwert wurde erstellt.
Wert gelöscht	Ein Registrierungsschlüsselwert wurde gelöscht.
Wert geändert	Ein Registrierungsschlüsselwert wurde geändert.

Ereignistyp	Beschreibung
Befehl ausführen	Windows -PowerShell hat einen Befehl ausgeführt. Die Parameter sind unbekannt.
Skript ausführen	Ein AMSI-ScanBuffer-Ergebnis zeigt an, dass ein Skript ausgeführt wurde.
SkriptBlock ausführen	Windows -PowerShell hat einen Skriptblock ausgeführt.
Befehl aufrufen	Windows -PowerShell hat einen Befehl mit gebundenen Parametern aufgerufen.
Skript verhindern	Ein AMSI-ScanBuffer-Ergebnis zeigt an, dass ein Skript von einem Administrator erkannt oder blockiert wurde.

Ereignistyp	Beschreibung
Batch-Abmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 4).
Batch-Anmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 4).
Zwischengespeicherte interaktive Abmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 11).
Zwischengespeicherte interaktive Anmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 11).
Interaktive Abmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 2).
Interaktive Anmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 2).
Netzwerkabmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 3).
Netzwerkanmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 3).
Netzwerk-Klartext-Abmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 8).
Netzwerk-Klartext-Anmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 8).
Neue-Zugangsdaten-Abmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 9).
Neue-Zugangsdaten-Anmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 9).
Interaktive Remote-Abmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 10).
Interaktive Remote-Anmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 10).
Dienstabmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 5).
Dienstanmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 5).
Entsperr-Abmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 7).
Entsperr-Anmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 7).
Benutzerabmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (nicht aufgeführter Typwert).
Benutzeranmeldung	Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (nicht aufgeführter Typwert).

Artefakte sind komplexe Informationen, die von

CylanceOPTICS

verwendet werden können. Die Kontextanalyse-Engine (Context Analysis Engine, CAE) kann Artefakte auf Geräten identifizieren und diese verwenden, um automatische Vorfallreaktionen und Behebungsaktionen auszulösen. InstaQueries verwenden Artefakte als Grundlage einer Abfrage.

Facetten sind die Attribute eines Artefakts, mit denen die Merkmale eines Artefakts identifiziert werden können, das mit einem Ereignis verknüpft ist. Facetten werden während der Analyse korreliert und kombiniert, um potenziell schädliche Aktivitäten zu identifizieren. Eine Datei mit dem Namen „Explorer.exe“ ist beispielsweise nicht von Natur aus verdächtig. Wenn die Datei jedoch nicht von

Microsoft

signiert ist und sich in einem temporären Verzeichnis befindet, kann sie in einigen Umgebungen als verdächtig identifiziert werden.

CylanceOPTICS

verwendet die folgenden Artefakte und Facetten:

Artefakt	Facetten
API-Aufruf	Funktion DLL Parameter
DNS	Verbindung IsRecursionDesired IsUnsolicitedResponse Opcode RequestId Auflösung ResponseOriginatedFromThisDevice Fragen
Ereignis	Zeitpunkt des Auftretens Zeitpunkt der Registrierung
Datei	Ausführbarer Datensatz (nur Binärdateien) Dateierstellungszeitpunkt (vom Betriebssystem gemeldet) Dateipfad Dateisignatur (nur Binärdateien) Dateigröße Letzter Änderungszeitpunkt (vom Betriebssystem gemeldet) MD5-Hash (nur Binärdateien) Letzter Schreibort SHA256-Hash (nur Binärdateien) Vermuteter Dateityp Benutzer
Netzwerk	Lokale Adresse Lokaler Port Protokoll Remote-Adresse Remote-Port
PowerShell-Trace	EventId Payload PayloadAnalysis ScriptBlockText ScriptBlockTextAnalysis
Prozess	Befehlszeile Datei, aus der die ausführbare Datei ausgeführt wurde Übergeordneter Prozess Prozess-ID Anfangszeit Benutzer
Registrierung	Wenn der Wert auf eine Datei im System verweist Registrierungspfad Wert
Benutzer	Domäne Betriebssystemspezifische Kennung (z. B. SID) Benutzername Benutzerartefakte können einen der folgenden Werte enthalten. Die Daten sind jedoch auf den meisten Geräten nicht verfügbar: AccountType BadPasswordCount Kommentar CountryCode FullName HasPasswordExpired HomeDirectory IsAccountDisabled IsLocalAccount IsLockedOut IsPasswordRequired LanguageCodePage LogonServer PasswordAge PasswordDoesNotExpire ProfilePath ScriptPath UserPrivilege Workstations
Windows -Ereignis	Klasse Ereignis-ID Anbieter
WMI-Trace	ConsumerText ConsumerTextAnalysis EventId Namespace Vorgang OperationAnalysis OriginatingMachineName

CylanceOPTICS

überwacht die allgemeinen Schlüssel und Werte für Persistenz, Prozessstart und Berechtigungseskalation sowie die in KB66266 angegebenen Werte.

Weitere Informationen darüber, wie

CylanceOPTICS

Persistenzpunkte in der Registrierung überwacht, finden Sie unter KB66357.