Datenstrukturen, die von CylanceOPTICS zur Identifizierung von Bedrohungen verwendet werden
CylanceOPTICS
zur Identifizierung von Bedrohungen verwendet werdenEreignisse, Artefakte und Facetten sind die drei primären Datenstrukturen, die von
CylanceOPTICS
zur Analyse, Aufzeichnung und Untersuchung von Aktivitäten auf Geräten verwendet werden. Die Funktionen von CylanceOPTICS
basieren auf diesen Datenstrukturen. Dies schließt InstaQuery, Fokusdaten und die Kontextanalyse-Engine (Context Analysis Engine, CAE) ein.Dieser Abschnitt enthält weitere Informationen darüber, wie
CylanceOPTICS
Aktivitäten auf Geräten interpretiert und mit diesen interagiert, damit Sie Erkennungen, Abfragen und Fokusdaten besser verstehen und nutzen können.Datenquellen nach Betriebssystem
Der
CylanceOPTICS
-Agent verwendet die folgenden Datenquellen:OS | Datenquellen |
---|---|
Windows |
|
macOS | Kernel-Treiber CyOpticsDrvOSX |
Linux | ZeroMQ |
Informationen zu den Arten des Netzwerkverkehrs, die in
CylanceOPTICS
standardmäßig ausgeschlossen sind, finden Sie unter KB 65604.Ereignisse
Ereignisse sind die Komponenten, die zu einer beobachtbaren Änderung oder Aktion auf einem Gerät führen. Ereignisse bestehen aus zwei primären Artefakten: dem auslösenden Artefakt, das eine Aktion auslöst, und dem Zielartefakt, auf das eingewirkt wird.
Die folgenden Tabellen enthalten Details zu den Ereignistypen, die
CylanceOPTICS
erkennen kann und mit denen es interagieren kann.Ereignis: Beliebige
- Geräterichtlinienoption zur Aktivierung: KontrollkästchenCylanceOPTICS
- Artefakttyp: Prozess, Benutzer
- Plattform:Windows,macOS,Linux
Ereignistyp | Beschreibung |
---|---|
Beliebige | Alle Ereignisse zeichnen den Prozess auf, über den sie generiert wurden, sowie den Benutzer, der mit der Aktion verknüpft ist. |
Ereignis: Anwendung
- Geräterichtlinienoption zur Aktivierung: Erweiterte WMI-Sichtbarkeit
- Artefakttyp: WMI-Trace
- Plattform:Windows
Ereignistyp | Beschreibung |
---|---|
Filter-Consumer-Bindung erstellen | Ein Prozess hat WMI-Persistenz verwendet. |
Temporären Consumer erstellen | Ein Prozess hat WMI-Ereignisse abonniert. |
Vorgang ausführen | Ein Prozess hat einen WMI-Vorgang ausgeführt. |
- Geräterichtlinienoption zur Aktivierung: Erweiterte Prozess- und Hooking-Sichtbarkeit
- Artefakttyp: Datei
- Plattform:Windows
Ereignistyp | Beschreibung |
---|---|
CBT | Die SetWindowsHookEx-API hat einen Hook installiert, um Benachrichtigungen zu erhalten, die für eine CBT-Anwendung nützlich sind. |
DebugProc | Die SetWindowsHookEx-API hat einen Hook installiert, um andere Hook-Prozeduren zu debuggen. |
Status asynchroner Schlüssel abrufen | Ein Prozess hat die Win32-GetAsyncKeyState-API aufgerufen. |
JournalPlayback | Die SetWindowsHookEx-API hat einen Hook installiert, um Nachrichten zu überwachen, die zuvor über die Hook-Prozedur WH_JOURNALRECORD aufgezeichnet wurden. |
JournalRecord | Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Eingabemeldungen installiert, die in die Systemnachrichten-Warteschlange gestellt wurden. |
Tastatur | Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Tastaturanschlagmeldungen installiert. |
LowLevel-Tastatur | Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Low-Level-Tastatureingabe-Ereignissen installiert. |
LowLevel-Maus | Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Low-Level-Mauseingabe-Ereignissen installiert. |
Nachricht | Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Meldungen installiert, die in eine Nachrichtenwarteschlange gestellt wurden. |
Maus | Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Mausmeldungen installiert. |
Raw-Eingabegeräte registrieren | Ein Prozess hat die Win32-RegisterRawInputDevices-API aufgerufen. |
Windows -Ereignis-Hook festlegen | Ein Prozess hat die Win32-SetWinEventHook-API aufgerufen. |
Windows -Hook festlegen | Die SetWindowsHookEx-API hat einen nicht aufgeführten Hooktyp-Wert installiert. |
ShellProc | Die SetWindowsHookEx-API hat einen Hook installiert, um Benachrichtigungen zu erhalten, die für Shell-Anwendungen nützlich sind. |
SysMsg | Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Meldungen installiert, die als Ergebnis eines Eingabeereignisses in einem Dialogfeld, einem Meldungsfeld oder einer Bildlaufleiste generiert werden. |
WindowProc | Die SetWindowsHookEx-API hat einen Hook zur Überwachung von Windows -Prozedurmeldungen installiert. |
- Geräterichtlinienoption zur Aktivierung: API-Sensor
- Artefakttyp: API-Aufruf
- Plattform:Windows
Ereignistyp | Beschreibung |
---|---|
Funktion | Es wurde ein auffälliger Funktionsaufruf erkannt. |
- Geräterichtlinienoption zur Aktivierung: Module-Load-Sichtbarkeit
- Artefakttyp: Datei
- Plattform:Windows
Ereignistyp | Beschreibung |
---|---|
Laden | Eine Anwendung hat ein Modul geladen. |
- Geräterichtlinienoption zur Aktivierung: COM-Objekt-Sichtbarkeit
- Plattform:Windows
Ereignistyp | Beschreibung |
---|---|
Erstellt | Ein COM-Objekt wurde erstellt. |
Ereignis: Gerät
- Geräterichtlinienoption zur Aktivierung: KontrollkästchenCylanceOPTICS
- Artefakttyp: Datei
- Plattform:macOS,Linux
Ereignistyp | Beschreibung |
---|---|
Mounten | Das Gerät ist mit einer Maschine verbunden oder Ordner werden auf bestimmte Netzwerkspeicherorte gemountet. |
Ereignis: Datei
- Geräterichtlinienoption zur Aktivierung: KontrollkästchenCylanceOPTICS
- Artefakttyp: Datei
- Plattform:Windows,macOS,Linux
Ereignistyp | Beschreibung |
---|---|
Erstellen | Es wurde eine Datei erstellt. |
Löschen | Eine Datei wurde gelöscht. |
Überschreiben | Eine Datei wurde überschrieben. |
Umbenennen | Eine Datei wurde umbenannt. |
Schreiben | Eine Datei wurde geändert. |
- Geräterichtlinienoption zur Aktivierung: Erweiterte Dateilesesichtbarkeit
- Artefakttyp: Datei
- Plattform:Windows
Ereignistyp | Beschreibung |
---|---|
Offen | Eine Datei wurde geöffnet. |
Ereignis: Arbeitsspeicher
- Geräterichtlinienoption zur Aktivierung: KontrollkästchenCylanceOPTICS
- Artefakttyp: Prozess
- Plattform:macOS,Linux
Ereignistyp | Beschreibung |
---|---|
Mmap | Ein Arbeitsspeicherbereich wurde einem bestimmten Zweck zugeordnet, der in der Regel einem Prozess zugeordnet ist. |
MProtect | Die Metadaten wurden für einen Arbeitsspeicherbereich geändert, in der Regel um den Status zu ändern (z. B. um sie ausführbar zu machen). |
Ereignis: Netzwerk
- Geräterichtlinienoption zur Aktivierung: KontrollkästchenCylanceOPTICS
- Artefakttyp: Netzwerk
- Plattform:Windows,macOS,Linux
Ereignistyp | Beschreibung |
---|---|
Verbinden | Es wurde eine Netzwerkverbindung geöffnet. Standardmäßig wird lokaler Datenverkehr nicht erfasst. |
- Geräterichtlinienoption zur Aktivierung: Sichtbarkeit privater Netzwerkadressen
- Artefakttyp: Netzwerk
- Plattform:Windows
Ereignistyp | Beschreibung |
---|---|
Verbinden | Verbindungsereignisse schließen lokalen Datenverkehr ein. |
- Geräterichtlinienoption zur Aktivierung: DNS-Sichtbarkeit
- Artefakttyp: DNS-Anforderung
- Plattform:Windows,Linux
Ereignistyp | Beschreibung |
---|---|
Anforderung | Ein Prozess hat eine Netzwerk-DNS-Anforderung erstellt, die nicht zwischengespeichert wurde. |
Antwort | Ein Prozess hat eine DNS-Antwort empfangen. |
- Geräterichtlinienoption zur Aktivierung: HTTP-Sichtbarkeit
- Artefakttyp: HTTP
- Plattform:Windows
Ereignistyp | Beschreibung |
---|---|
Get | Windows hat WinINet oder WinHTTP verwendet, um eine HTTP-Anforderung zu stellen. |
Post | Windows hat WinINet oder WinHTTP zum Senden von Daten verwendet. |
Ereignis: Prozess
- Geräterichtlinienoption zur Aktivierung: KontrollkästchenCylanceOPTICS
- Artefakttyp: Prozess
Ereignistyp | Plattform | Beschreibung |
---|---|---|
Anormales Beenden | macOS Linux | Ein vom Vorauswahlsensor überwachter Prozess wurde ohne Abschluss beendet (eine Ausnahme hat z. B. dazu geführt, dass ein Prozess beendet wurde). |
Schließen | Windows macOS Linux | Ein Prozess wurde beendet. |
Erzwungenes Beenden | macOS Linux | Ein vom Vorauswahlsensor überwachter Prozess wurde durch einen anderen Prozess zur Beendigung gezwungen. |
PTrace | macOS Linux | Dies ist ein Unix-Systemtool, mit dem ein Prozess einen anderen Prozess überwachen und steuern kann. |
Start | Windows macOS Linux | Ein Prozess wurde gestartet. |
Aussetzen | Linux | Ein vom Vorauswahlsensor überwachter Prozess wurde ausgesetzt. |
Unbekanntes Linux -Prozessereignis | macOS Linux | Ein vom Vorauswahlsensor überwachtes unbekanntes Ereignis ist aufgetreten, das auf den Prozess abzielt. Dies kann ein Zeichen dafür sein, dass schädliche Software ihre Aktivität verdeckt. |
- Geräterichtlinienoption zur Aktivierung: Erweiterte Prozess- und Hooking-Sichtbarkeit
- Artefakttyp: Prozess
- Plattform:Windows
Ereignistyp | Beschreibung |
---|---|
SetThreadContext | Ein Prozess hat die SetThreadContext-API aufgerufen. |
Beenden | Ein auslösender Prozess hat einen anderen Zielprozess beendet. |
Ereignis: Registrierung
- Geräterichtlinienoption zur Aktivierung: KontrollkästchenCylanceOPTICS
- Artefakttyp: Registrierung, Datei (wenn der Registrierungsschlüssel auf eine bestimmte Datei verweist)
- Plattform:Windows
Ereignistyp | Beschreibung |
---|---|
KeyCreated | Ein Registrierungsschlüssel wurde erstellt. |
KeyDeleting | Ein Registrierungsschlüssel wurde gelöscht. |
ValueChanging | Der Wert eines Registrierungsschlüssels wurde geändert. |
ValueDeleting | Ein Registrierungsschlüsselwert wurde gelöscht. |
Ereignis: Scripting
- Geräterichtlinienoption zur Aktivierung: Erweiterte Scripting-Sichtbarkeit
- Artefakttyp: PowerShell-Trace
- Plattform:Windows
Ereignistyp | Beschreibung |
---|---|
Befehl ausführen | Windows PowerShell hat einen Befehl ausgeführt. Die Parameter sind unbekannt. |
Skript ausführen | Windows PowerShell hat ein Skript ausgeführt. |
SkriptBlock ausführen | Windows PowerShell hat einen Skriptblock ausgeführt. |
Befehl aufrufen | Windows PowerShell hat einen Befehl mit gebundenen Parametern aufgerufen. |
Skript verhindern | Ein AMSI-ScanBuffer-Ergebnis zeigt an, dass ein Skript von einem Administrator erkannt oder blockiert wurde. |
Ereignis: Benutzer
- Geräterichtlinienoption zur Aktivierung: Erweiterte Scripting-Sichtbarkeit
- Artefakttyp:Windows-Ereignis
- Plattform:Windows
Ereignistyp | Beschreibung |
---|---|
Batch-Abmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 4). |
Batch-Anmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 4). |
CachedInteractive-Abmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 11). |
CachedInteractive-Anmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 11). |
Interaktive Abmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 2). |
Interaktive Anmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 2). |
Netzwerkabmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 3). |
Netzwerkanmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 3). |
NetworkClearText-Abmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 8). |
NetworkClearText-Anmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 8). |
NewCredentials-Abmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 9). |
NewCredentials-Anmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 9). |
RemoteInteractive-Abmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 10). |
RemoteInteractive-Anmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 10). |
Dienstabmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 5). |
Dienstanmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 5). |
Entsperr-Abmelden | Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (Typ 7). |
Entsperr-Anmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (Typ 7). |
Benutzerabmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4634 (nicht aufgeführter Typwert). |
Benutzeranmeldung | Die folgende Windows -Ereignis-ID ist aufgetreten: 4624 (nicht aufgeführter Typwert). |
Artefakte und Facetten
Artefakte sind komplexe Informationen, die von
CylanceOPTICS
verwendet werden können. Die Kontextanalyse-Engine (Context Analysis Engine, CAE) kann Artefakte auf Geräten identifizieren und diese verwenden, um automatische Vorfallreaktionen und Behebungsaktionen auszulösen. InstaQueries verwenden Artefakte als Grundlage einer Abfrage.Facetten sind die Attribute eines Artefakts, mit denen die Merkmale eines Artefakts identifiziert werden können, das mit einem Ereignis verknüpft ist. Facetten werden während der Analyse korreliert und kombiniert, um potenziell schädliche Aktivitäten zu identifizieren. Eine Datei mit dem Namen „Explorer.exe“ ist beispielsweise nicht von Natur aus verdächtig. Wenn die Datei jedoch nicht von
Microsoft
signiert ist und sich in einem temporären Verzeichnis befindet, kann sie in einigen Umgebungen als verdächtig identifiziert werden.CylanceOPTICS
verwendet die folgenden Artefakte und Facetten:Artefakt | Facetten |
---|---|
API-Aufruf |
|
DNS |
|
Ereignis |
|
Datei |
|
Netzwerk |
|
PowerShell-Trace |
|
Prozess |
|
Registrierung |
|
Benutzer |
Benutzerartefakte können einen der folgenden Werte enthalten. Die Daten sind jedoch auf den meisten Geräten nicht verfügbar:
|
Windows -Ereignis |
|
WMI-Trace |
|
Registrierungsschlüssel und -werte
CylanceOPTICS
überwacht die allgemeinen Schlüssel und Werte für Persistenz, Prozessstart und Berechtigungseskalation sowie die in KB 66266 angegebenen Werte.Weitere Informationen darüber, wie
CylanceOPTICS
Persistenzpunkte in der Registrierung überwacht, finden Sie unter KB 66357.