Verwenden von Dashboards
Verwalten von Warnungen in allen Cylance Endpoint Security-Diensten
- So gruppiert Cylance Endpoint Security Warnungen
- Anzeigen und Verwalten von aggregierten Warnungen
  - Statusänderungen für Warnungen
Verwalten von Benutzern, Geräten und Gruppen
Verwalten von Bedrohungen, die von CylancePROTECT Desktop erkannt worden sind
Verwalten von Bedrohungen, die von CylancePROTECT Mobile erkannt worden sind
- Anzeigen von CylancePROTECT Mobile-Warnungen
- Von der CylancePROTECT Mobile-App erkannte mobile Bedrohungen
Verwalten von sicheren und unsicheren Listen für CylancePROTECT Desktop und CylancePROTECT Mobile
Analysieren von Daten, die von CylanceOPTICS erfasst wurden
Mit CylanceOPTICS Ereignisse erkennen und darauf reagieren
Überwachen von Netzwerkverbindungen mit CylanceGATEWAY
- Anzeigen der Netzwerkaktivität
  - Anzeigen der Seite „Ereignisdetails“
Überwachen sensibler Dateien mit CylanceAVERT
Schwachstellen im mobilen Betriebssystem anzeigen
Überwachung von Administratoraktionen
Verwalten von Protokollen
- Konfigurieren der BlackBerry Connectivity Node -Protokollierung
- Verwalten der Protokolle für den CylancePROTECT Desktop-Agent
  - Aktivieren der ausführlichen Protokollierung auf einem CylancePROTECT Desktop-Gerät
  - Linux-Protokollierung
    - Festlegen der Protokollebene
    - Erfassen von Agent-Protokolldateien von Linux-Geräten
Senden von Ereignissen an eine SIEM-Lösung oder einen Syslog-Server
Aktivieren des Zugriffs auf die Cylance-Benutzer-API
Cylance Endpoint Security-Fehlerbehebung

Erstellen von erweiterten Abfragen

Mit der erweiterten Abfragefunktion können Sie benutzerdefinierte Abfragen erstellen, um Ihre Bedrohungserkennungsaktivitäten zu verbessern. Erweiterte Abfragen bieten einen umfassenden Einblick in Ihre

CylanceOPTICS

-Umgebung, umfangreiche Abfrageoptionen und optimierte Workflows, mit denen Sie verwandte Suchvorgänge kombinieren und so neue Erkenntnisse gewinnen können. Erweiterte Abfragen werden für Geräte mit der

CylanceOPTICS

-Agent-Version 3.0 oder höher unterstützt.

Erweiterte Abfragen basieren auf der Verwendung der EQL-Syntax. Für die Erstellung von Ereignisabfragen wird EQL verwendet. Die Ergebnisse liefern Informationen über die an diesen Ereignissen beteiligten Artefakte. Die erweiterte Abfrage-UI enthält Syntaxinformationen, die Sie beim Erstellen von EQL-Abfragen unterstützen.

Bitte werfen Sie einen Blick auf Unterstützte EQL-Syntax für erweiterte Abfragen und EQL-Beispielabfragen für CylanceOPTICS.

Klicken Sie in der Menüleiste der Verwaltungskonsole auf

CylanceOPTICS > Erweiterte Abfrage

Führen Sie einen der folgenden Schritte aus:

Aufgabe	Schritte
Erstellen einer neuen erweiterten Abfrage	Wenn Sie eine vorhandene Abfragevorlage verwenden möchten, um eine neue Abfrage zu erstellen, klicken Sie auf Vorlagenliste anzeigen , klicken auf eine Vorlage und überspringen dann unten den ersten Schritt. Geben Sie in das Abfragefeld die EQL-Syntax für die Abfrage ein oder fügen Sie sie ein. Während der Eingabe werden Syntaxoptionen und Validierungsmeldungen angezeigt, um Ihnen bei der Erstellung Ihrer Abfrage zu helfen. Wenn Sie die aktuelle Abfrage als Vorlage speichern möchten, klicken Sie auf Als Vorlage speichern . Geben Sie einen Namen und eine Beschreibung ein, und wählen Sie aus, ob die Vorlage privat oder für alle Administratoren verfügbar sein soll. Klicken Sie auf Speichern . Sie können Abfragen in der Vorlagenliste anheften, bearbeiten und löschen. Um den Umfang der Abfrage festzulegen, klicken Sie unter Geräte suchen auf Nach Zone oder Nach Gerät (ein Symbol neben jedem Gerät zeigt an, ob das Gerät online ist). Wählen Sie eine oder mehrere Zonen oder Geräte aus und klicken Sie dann auf Speichern . Wenn Sie den Bereich nicht festlegen, gilt die Abfrage für alle Zonen und Geräte. Um einen Datums- und Uhrzeitbereich für die Abfrage festzulegen, klicken Sie auf und konfigurieren den Bereich. Klicken Sie auf Anwenden . Wenn Sie keinen Bereich festlegen, wird die Abfrage auf alle verfügbaren Daten angewendet. Führen Sie einen der folgenden Schritte aus: Wenn Sie die Abfrage ausführen möchten, klicken Sie auf Abfrage ausführen . Wenn Sie die Abfrage so planen möchten, dass sie zu einem bestimmten Datum und zu einer bestimmten Uhrzeit oder in regelmäßigen Intervallen ausgeführt wird, klicken Sie auf Abfrage planen . Geben Sie einen Namen und eine Beschreibung ein, wählen Sie aus, ob die Abfrage privat oder für alle Benutzer sichtbar sein soll, und legen Sie Datum, Uhrzeit und optional Wiederholungseinstellungen fest. Wenn Sie die Abfrage auf die Daten beschränken möchten, die seit der letzten Ausführung erfasst wurden, aktivieren Sie das Kontrollkästchen Nur neue Daten abfragen . Klicken Sie auf Abfrage planen . Sie können geplante Abfragen auf der Registerkarte Geplante Abfragen anzeigen und bearbeiten sowie die Ergebnisse anzeigen und exportieren. Es können maximal 25 Abfragen aktiv laufen oder für die Ausführung geplant sein. Angehaltene Abfragen oder einmalig durchgeführte Abfragen, die abgeschlossen wurden, werden nicht auf diesen Grenzwert angerechnet. Wenn Sie die Abfrageergebnisse speichern möchten, um sie später auf der Registerkarte Abfrage-Snapshots anzuzeigen, klicken Sie im Abschnitt „Ergebnisse“ auf . Geben Sie einen Namen und eine Beschreibung ein und wählen Sie aus, ob die Ergebnisse privat oder für alle Benutzer sichtbar sein sollen.
Anzeigen eines Abfrage-Snapshots	Klicken Sie auf der Registerkarte Abfrage-Snapshots auf ein Abfrage-Snapshot. Beachten Sie, dass dadurch die ursprünglichen Ergebnisse der Abfrage beim Speichern angezeigt werden und es sich nicht um eine neue Abfrage handelt.

Aufgabe

Schritte

Erstellen einer neuen erweiterten Abfrage

Wenn Sie eine vorhandene Abfragevorlage verwenden möchten, um eine neue Abfrage zu erstellen, klicken Sie auf

Vorlagenliste anzeigen

, klicken auf eine Vorlage und überspringen dann unten den ersten Schritt.

Geben Sie in das Abfragefeld die EQL-Syntax für die Abfrage ein oder fügen Sie sie ein. Während der Eingabe werden Syntaxoptionen und Validierungsmeldungen angezeigt, um Ihnen bei der Erstellung Ihrer Abfrage zu helfen.

Wenn Sie die aktuelle Abfrage als Vorlage speichern möchten, klicken Sie auf

Als Vorlage speichern

. Geben Sie einen Namen und eine Beschreibung ein, und wählen Sie aus, ob die Vorlage privat oder für alle Administratoren verfügbar sein soll. Klicken Sie auf

Speichern

. Sie können Abfragen in der Vorlagenliste anheften, bearbeiten und löschen.

Um den Umfang der Abfrage festzulegen, klicken Sie unter

Geräte suchen

auf

Nach Zone

oder

Nach Gerät

(ein Symbol neben jedem Gerät zeigt an, ob das Gerät online ist). Wählen Sie eine oder mehrere Zonen oder Geräte aus und klicken Sie dann auf

Speichern

. Wenn Sie den Bereich nicht festlegen, gilt die Abfrage für alle Zonen und Geräte.

Um einen Datums- und Uhrzeitbereich für die Abfrage festzulegen, klicken Sie auf Symbol „Datumsbereich“

und konfigurieren den Bereich. Klicken Sie auf

Anwenden

. Wenn Sie keinen Bereich festlegen, wird die Abfrage auf alle verfügbaren Daten angewendet.

Führen Sie einen der folgenden Schritte aus:

Wenn Sie die Abfrage ausführen möchten, klicken Sie auf

Abfrage ausführen

Wenn Sie die Abfrage so planen möchten, dass sie zu einem bestimmten Datum und zu einer bestimmten Uhrzeit oder in regelmäßigen Intervallen ausgeführt wird, klicken Sie auf

Abfrage planen

. Geben Sie einen Namen und eine Beschreibung ein, wählen Sie aus, ob die Abfrage privat oder für alle Benutzer sichtbar sein soll, und legen Sie Datum, Uhrzeit und optional Wiederholungseinstellungen fest. Wenn Sie die Abfrage auf die Daten beschränken möchten, die seit der letzten Ausführung erfasst wurden, aktivieren Sie das Kontrollkästchen

Nur neue Daten abfragen

. Klicken Sie auf

Abfrage planen

Sie können geplante Abfragen auf der Registerkarte

Geplante Abfragen

anzeigen und bearbeiten sowie die Ergebnisse anzeigen und exportieren. Es können maximal 25 Abfragen aktiv laufen oder für die Ausführung geplant sein. Angehaltene Abfragen oder einmalig durchgeführte Abfragen, die abgeschlossen wurden, werden nicht auf diesen Grenzwert angerechnet.

Wenn Sie die Abfrageergebnisse speichern möchten, um sie später auf der Registerkarte

Abfrage-Snapshots

anzuzeigen, klicken Sie im Abschnitt „Ergebnisse“ auf Symbol „Speichern“

. Geben Sie einen Namen und eine Beschreibung ein und wählen Sie aus, ob die Ergebnisse privat oder für alle Benutzer sichtbar sein sollen.

Anzeigen eines Abfrage-Snapshots

Klicken Sie auf der Registerkarte

Abfrage-Snapshots

auf ein Abfrage-Snapshot.

Beachten Sie, dass dadurch die ursprünglichen Ergebnisse der Abfrage beim Speichern angezeigt werden und es sich nicht um eine neue Abfrage handelt.

Wenn Sie die Abfrageergebnisse filtern möchten, führen Sie einen der folgenden Schritte aus:

Um Abfrageergebnisse nach Datum und Zeitstempel zu filtern, klicken Sie auf einen oder mehrere Balken des Histogramms, um nach diesem Datums- und Uhrzeitbereich zu filtern. Klicken Sie auf einen beliebigen Balken im ausgewählten Bereich, um den Datums- und Zeitfilter zu entfernen.

Um die Abfrageergebnisse nach einer Spalte zu filtern, klicken Sie auf Filtersymbol

für diese Spalte (z. B. Gerät) und wählen Sie die Filterkriterien aus.

Um Abfrageergebnisse nach einem von Ihnen angegebenen Wert zu filtern, klicken Sie über den Abfrageergebnissen auf Das Suchsymbol

und geben Sie den Wert in das Suchfeld ein (z. B. einen bestimmten Zeitstempel, einen Ereignisdetailwert usw.).

Erweitern Sie ein Ergebnis, um Details anzuzeigen. Klicken Sie auf Symbol „Ergebnisdetails“

, um ein Fenster mit Ereignisdetails und Informationen zu zugehörigen Warnmeldungen zu öffnen (möglicherweise müssen Sie im Ergebnisfenster nach rechts scrollen). Um die Abfrageergebnisse so zu filtern, dass Übereinstimmungen für eine oder mehrere bestimmte Facetten angezeigt werden, klicken Sie auf Filtersymbol

für diese Facetten. Klicken Sie erneut auf das Symbol, um den Filter zu entfernen.

Erweitern Sie in den Abfrageergebnissen das Menü Symbol „Optionen“

, um die verfügbaren Aktionen für jedes Ergebnis anzuzeigen. Je nach Ergebnistyp kann dies Folgendes umfassen:

Anfordern und Anzeigen von Fokusdaten.

Globale Quarantäne einer Datei. Die Datei wird unter

Einstellungen > Globale Liste > Globale Quarantäne

, unter

Schutz > Bedrohungen

und im Abschnitt

Bedrohungen

der Gerätedetails angezeigt.

Eine Datei anfordern und herunterladen. Wenn Pfadinformationen für Dateien verfügbar sind, die mit anderen Artefakttypen verknüpft sind, können Sie diese Dateien auch herunterladen. Die Datei ist komprimiert und kennwortgeschützt, um sicherzustellen, dass sie nicht versehentlich ausgeführt wird. Das Kennwort lautet „infected“. Die maximale Größe für das Abrufen von Dateien beträgt 50 MB. Artefakte und Dateien werden von

CylanceOPTICS

30 Tage aufbewahrt.

Wenn Sie ein Ergebnis so anheften möchten, dass es mit einer visuellen Markierung angezeigt wird, wenn es in nachfolgenden Abfragen angezeigt wird, klicken Sie auf Symbol „Anheften“

Wenn Sie Abfragedaten in eine CSV-Datei exportieren möchten, klicken Sie auf Das Symbol „Exportieren“

. Geben Sie einen Namen und eine Beschreibung ein, geben Sie an, ob die exportierten Ergebnisse privat oder öffentlich sein sollen und klicken Sie auf

Exportieren

. Sie können die Datei von der Registerkarte

Exportierte Ergebnisse

herunterladen, wenn sie bereitsteht.

Um eine neue Abfrage hinzuzufügen, klicken Sie auf Hinzufügen-Symbol.

neben der Registerkarte für die aktuelle Abfrage.

Um eine vorhandene Abfrage zu kopieren, bewegen Sie den Mauszeiger über die Registerkarte und klicken Sie auf Symbol „Klonen“

Section:

Verwenden von InstaQuery und erweiterten Abfragen zur Analyse von Artefaktdaten

Unterstützte EQL-Syntax für erweiterte Abfragen

EQL-Beispielabfragen für CylanceOPTICS