CylanceOPTICS-Sensoren
CylanceOPTICS
-SensorenSie können die folgenden
CylanceOPTICS
-Sensoren aktivieren, um zusätzliche Daten zu erfassen, die über die standardmäßigen Prozess-, Datei-, Netzwerk-, Registrierungsereignisse hinausgehen. Die Aktivierung optionaler Sensoren kann sich auf die Leistung und die Ressourcennutzung auf Geräten sowie auf die in der CylanceOPTICS
-Datenbank gespeicherte Datenmenge auswirken. BlackBerry
empfiehlt die Aktivierung optionaler Sensoren bei einer kleinen Anzahl von Geräten, um die Auswirkungen zu beurteilen.Die optionalen Sensoren werden nur für 64-Bit-Betriebssysteme unterstützt, wenn nicht anders dargestellt.
Sensor | Beschreibung | Bewährte Verfahren | Notizen |
---|---|---|---|
Erweiterte Scripting-Sichtbarkeit | Der CylanceOPTICS -Agent zeichnet Befehle, Argumente, Skripte und Inhalte von JScript-, PowerShell- (Konsole und integrierte Scripting-Umgebung), VBScript- und VBA-Makroskriptausführungen auf.Signal-Rausch-Verhältnis: hoch Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering bis moderat | Empfohlen für:
Nicht empfohlen für:
|
|
Erweiterte WMI-Sichtbarkeit | Der CylanceOPTICS -Agent zeichnet zusätzliche WMI-Attribute und -Parameter auf.Signal-Rausch-Verhältnis: hoch Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering | Empfohlen für:
|
|
API-Sensor | Der CylanceOPTICS -Agent überwacht eine identifizierte Gruppe von Windows API-Aufrufen.Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Die Aktivierung dieses Sensors kann sich auf die CPU-Leistung eines Geräts auswirken. | Empfohlen für:
|
|
Cryptojacking-Erkennung | Der CylanceOPTICS -Agent überwacht die Intel -CPU-Aktivität mithilfe von Hardwareregistern auf potenzielle Cryptomining- und Cryptohacking-Aktivitäten.Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering | Unterstützt für:
| Nicht unterstützt für virtuelle Maschinen. |
DNS-Sichtbarkeit | Der CylanceOPTICS -Agent zeichnet DNS-Anforderungen, Antworten und zugehörige Datenfelder wie Domänenname, aufgelöste Adressen und Datensatztyp auf.Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: moderat | Empfohlen für:
Nicht empfohlen für:
|
|
Erweiterte Dateilesesichtbarkeit | Der CylanceOPTICS -Agent überwacht Dateilesevorgänge innerhalb einer angegebenen Verzeichnisgruppe.Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering | Empfohlen für:
|
|
Erweitertes Parsing übertragbarer ausführbarer Dateien | Der CylanceOPTICS -Agent zeichnet Datenfelder auf, die mit übertragbaren ausführbaren Dateien verknüpft sind, z. B. Dateiversion, Importfunktionen und Packertypen.Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering | Empfohlen für:
|
|
Erweiterte Prozess- und Hooking-Sichtbarkeit | Der CylanceOPTICS -Agent zeichnet Prozessinformationen der Win32-API und von Kernel-Audit-Meldungen auf, um Formen von Prozess-Hooking und -Injektion zu erkennen.Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering | Empfohlen für:
|
|
Sichtbarkeit private Netzwerkadresse | Der CylanceOPTICS -Agent erfasst Netzwerkverbindungen innerhalb der RFC 1918- und RFC 4193-Adressräume.Signal-Rausch-Verhältnis: gering Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering | Empfohlen für:
Nicht empfohlen für:
|
|
Windows Advanced Audit-Sichtbarkeit | Der CylanceOPTICS -Agent überwacht zusätzliche Windows -Ereignistypen und -Kategorien.Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering | — |
|
Windows Event Log-Sichtbarkeit | Der CylanceOPTICS -Agent zeichnet Windows -Sicherheitsereignisse und die zugehörigen Attribute auf.Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: moderat | Empfohlen für:
Nicht empfohlen für:
|
|