Verwenden von Dashboards
Verwalten von Warnungen in allen Cylance Endpoint Security-Diensten
- So gruppiert Cylance Endpoint Security Warnungen
- Anzeigen und Verwalten von aggregierten Warnungen
  - Statusänderungen für Warnungen
Verwalten von Benutzern, Geräten und Gruppen
Verwalten von Bedrohungen, die von CylancePROTECT Desktop erkannt worden sind
Verwalten von Bedrohungen, die von CylancePROTECT Mobile erkannt worden sind
- Anzeigen von CylancePROTECT Mobile-Warnungen
- Von der CylancePROTECT Mobile-App erkannte mobile Bedrohungen
Verwalten von sicheren und unsicheren Listen für CylancePROTECT Desktop und CylancePROTECT Mobile
Analysieren von Daten, die von CylanceOPTICS erfasst wurden
Mit CylanceOPTICS Ereignisse erkennen und darauf reagieren
Überwachen von Netzwerkverbindungen mit CylanceGATEWAY
- Anzeigen der Netzwerkaktivität
  - Anzeigen der Seite „Ereignisdetails“
Überwachen sensibler Dateien mit CylanceAVERT
Schwachstellen im mobilen Betriebssystem anzeigen
Überwachung von Administratoraktionen
Verwalten von Protokollen
- Konfigurieren der BlackBerry Connectivity Node -Protokollierung
- Verwalten der Protokolle für den CylancePROTECT Desktop-Agent
  - Aktivieren der ausführlichen Protokollierung auf einem CylancePROTECT Desktop-Gerät
  - Linux-Protokollierung
    - Festlegen der Protokollebene
    - Erfassen von Agent-Protokolldateien von Linux-Geräten
Senden von Ereignissen an eine SIEM-Lösung oder einen Syslog-Server
Aktivieren des Zugriffs auf die Cylance-Benutzer-API
Cylance Endpoint Security-Fehlerbehebung

Verwenden von InstaQuery und erweiterten Abfragen zur Analyse von Artefaktdaten

InstaQuery und erweiterte Abfragen sind

CylanceOPTICS

-Funktionen, mit denen Sie Artefaktdaten analysieren können, um Gefährdungsindikatoren zu erkennen und deren Verbreitung auf den Geräten Ihres Unternehmens zu bestimmen. Aus den Ergebnissen einer Abfrage geht nicht hervor, wie oder wann ein Artefakt verwendet wurde, sondern sie weisen darauf hin, ob jemals ein Artefakt auf eine forensisch signifikante Weise beobachtet wurde, die eine Gefahr für die Geräte und Daten Ihres Unternehmens signalisieren kann.

Mit InstaQuery können Sie eine Reihe von Geräten nach dem Vorhandensein eines bestimmten Typs von forensischen Artefakten abfragen und feststellen, wie häufig dieses Artefakt auftritt. Erweiterte Abfragen sind eine Weiterentwicklung von InstaQuery, die mithilfe der EQL-Syntax detailliertere Suchfunktionen bietet, um die Erkennung von Bedrohungen zu verbessern.

Nachdem Sie den

CylanceOPTICS

-Agenten auf einem Gerät installiert und aktiviert haben, erfasst der Agent Artefakte und speichert sie in der

CylanceOPTICS

-Datenbank. Bei

CylanceOPTICS

Agent 2.x und früher wird die Datenbank lokal auf dem Gerät gespeichert. Ab

CylanceOPTICS

Agent 3.0 lädt der Agent Daten automatisch hoch und speichert sie in der

CylanceOPTICS

-Cloud-Datenbank. Wenn Sie eine Abfrage erstellen, werden forensisch relevante Daten aus der

CylanceOPTICS

-Datenbank abgerufen. Sie können die Ergebnisse in der Verwaltungskonsole anzeigen und untersuchen.

Bei Geräten mit

CylanceOPTICS

Agent 2.x und früher können Abfragen nur erfolgreich abgeschlossen werden, wenn ein Gerät online ist. Bei Geräten mit Agent 3.0 und höher muss das Gerät nicht online sein, da die Abfrage die neuesten in der

CylanceOPTICS

-Cloud-Datenbank verfügbaren Daten verwendet.

Mit einer einzelnen Abfrage können maximal 10.000 Ergebnisse angezeigt und gespeichert werden. Die Ergebnisse einer Abfrage werden 60 Tage lang aufbewahrt.

Beachten Sie die folgenden Details zu bestimmten Artefakten, die Sie abfragen können:

Artefakt	Details
Dateien	Sie können bestimmte Dateien abfragen, die nach der Installation des CylanceOPTICS -Agenten auf dem Gerät erstellt, geändert oder gelöscht worden sind. CylanceOPTICS konzentriert sich auf Dateien, die zur Ausführung von Inhalten verwendet werden können (z. B. ausführbare Dateien, Microsoft Office -Dokumente, PDF-Dateien usw.).
Netzwerkverbindungen	Sie können Abfragen sowohl für IPv4- als auch für IPv6-Ziel-IP-Adressen durchführen. CylanceOPTICS verwirft privaten, nicht routbaren, Multicast-, Link-Local- und Loopback-Netzwerkverkehr.
Prozesse	Alle Prozesse werden in der CylanceOPTICS -Datenbank indiziert, wobei die folgenden Einschränkungen gelten: Befehlszeilen sind auf 1 KiB Daten begrenzt. Prozessnamen sind auf 256 Zeichen begrenzt. Die Pfade der Prozess-Imagedateien sind auf 512 Zeichen begrenzt. Befehlszeilen, die nach dem Start des Prozesses geändert werden, werden nicht überwacht.
Registrierungsschlüssel	CylanceOPTICS überwacht nur Persistenzpunkte und Dateilöschpunkte. Dabei handelt es sich um Bereiche, die typischerweise von Malware ausgenutzt werden. Eine detaillierte Liste der von CylanceOPTICS überwachten Registrierungsschlüssel und Werte finden Sie unter KB66266. Weitere Informationen darüber, wie CylanceOPTICS Persistenzpunkte in der Registrierung überwacht, finden Sie unter KB66357.

Section:

Analysieren von Daten, die von CylanceOPTICS erfasst wurden

Erstellen einer InstaQuery

Erstellen von erweiterten Abfragen