Verwenden von Dashboards
Verwalten von Warnungen in allen Cylance Endpoint Security-Diensten
- So gruppiert Cylance Endpoint Security Warnungen
- Anzeigen und Verwalten von aggregierten Warnungen
  - Statusänderungen für Warnungen
Verwalten von Benutzern, Geräten und Gruppen
Verwalten von Bedrohungen, die von CylancePROTECT Desktop erkannt worden sind
Verwalten von Bedrohungen, die von CylancePROTECT Mobile erkannt worden sind
- Anzeigen von CylancePROTECT Mobile-Warnungen
- Von der CylancePROTECT Mobile-App erkannte mobile Bedrohungen
Verwalten von sicheren und unsicheren Listen für CylancePROTECT Desktop und CylancePROTECT Mobile
Analysieren von Daten, die von CylanceOPTICS erfasst wurden
Mit CylanceOPTICS Ereignisse erkennen und darauf reagieren
Überwachen von Netzwerkverbindungen mit CylanceGATEWAY
- Anzeigen der Netzwerkaktivität
  - Anzeigen der Seite „Ereignisdetails“
Überwachen sensibler Dateien mit CylanceAVERT
Schwachstellen im mobilen Betriebssystem anzeigen
Überwachung von Administratoraktionen
Verwalten von Protokollen
- Konfigurieren der BlackBerry Connectivity Node -Protokollierung
- Verwalten der Protokolle für den CylancePROTECT Desktop-Agent
  - Aktivieren der ausführlichen Protokollierung auf einem CylancePROTECT Desktop-Gerät
  - Linux-Protokollierung
    - Festlegen der Protokollebene
    - Erfassen von Agent-Protokolldateien von Linux-Geräten
Senden von Ereignissen an eine SIEM-Lösung oder einen Syslog-Server
Aktivieren des Zugriffs auf die Cylance-Benutzer-API
Cylance Endpoint Security-Fehlerbehebung

Erstellen von benutzerdefinierten Erkennungsregeln

Um die Sicherheitsanforderungen Ihres Unternehmens zu erfüllen, können Sie die in der Verwaltungskonsole verfügbaren Erkennungsregeln mithilfe des

CylanceOPTICS

-Regeleditors klonen und ändern, oder Sie können eigene benutzerdefinierte Erkennungsregeln erstellen. Sie können die Flexibilität und Logik der Context Analysis Engine (CAE) nutzen, um verdächtige oder schädliche Aktivitäten zu erkennen, einschließlich der Überwachung auf allgemeine Verhaltensmerkmale (z. B. Dateien mit bestimmten Benennungsmustern) oder gezielte Ereignisabfolgen (z. B. ein Prozess mit einem bestimmten Dateisignatur-Fingerabdruck, der Dateien erstellt und Netzwerkverbindungen initiiert). Benutzerdefinierte Erkennungsregeln verwenden denselben Workflow wie die Erkennungsregeln, die von

BlackBerry

angeboten werden. Sie können automatisierte Antwortaktionen, Benutzerbenachrichtigungen und Paket-Playbooks für Ihre benutzerdefinierten Regeln konfigurieren.

Der Regeleditor basiert auf JSON und bietet integrierte Validierungstools. Wenn Sie eine Regel validieren, prüft der Editor die Syntax, um Probleme zu identifizieren. Wenn die Regel die Syntaxprüfung besteht, verwendet

CylanceOPTICS

einen CAE-Dienst, um zu überprüfen, ob die Regel kompiliert und auf einem Gerät ausgeführt werden kann. Wenn bei einem der Validierungsprozesse ein Problem festgestellt wird, werden Informationen zu den Fehlern bereitgestellt, die Sie beheben müssen. Nachdem eine Regel beide Validierungsprüfungen bestanden hat, können Sie die Regel veröffentlichen und zu Erkennungsregelsätzen hinzufügen.

Dieser Abschnitt enthält Leitlinien und Referenzinformationen für die Erstellung eigener CAE-Regeln. CAE-Regeln unterstützen die folgenden Daten und Filter:

Element	Beschreibung
Status	Mit Status wird der Fluss von CAE-Regeln definiert, die CylanceOPTICS die zustandsorientierte Beobachtung einer Reihe von Ereignissen ermöglicht, die auf einem Gerät auftreten können. Status stellen ein „1, dann 2, dann 3“-Szenario dar, das auftreten kann.
Funktionen	Funktionen definieren die Logik, die erforderlich ist, um einen Status erfolgreich zu erfüllen. Diese Logik gilt direkt für die definierten Feldoperatoren und stellt die Attribute eines Ereignisses dar, das auf einem Gerät auftritt (z. B. „A, B und C“ oder „A und B, aber nicht C“).
Feldoperatoren	Feldoperatoren definieren, wie Operanden (Facettenwertextraktoren) bewertet werden. Feldoperatoren umfassen Aktionen wie „gleich“, „enthält“ und „wahr“.
Operanden (Facettenwertextraktoren)	Operanden sind die Werte, die von CylanceOPTICS verglichen werden. Operanden ermöglichen das Extrahieren bestimmter Daten zu einem Ereignis auf einem Gerät (z. B. Dateipfade, Datei-Hashes und Prozessnamen) und das Vergleichen dieser Daten mit literalen Werten (wie String, Dezimal, Boolean und Integer).
Artefakte von Interesse	Artefakte von Interesse definieren die Artefakte, die von CylanceOPTICS bei der Ausführung automatisierter Reaktionsaktionen (z. B. Beenden von Prozessen, Abmelden von Benutzern oder Löschen von Dateien) als Ziel verwendet werden können.
Pfade	Pfade definieren, wie die CAE den Fluss von Multi-Status-Objekten innerhalb einer Regel interpretiert.
Filter	Filter grenzen den Umfang eines Status mit einer kleineren oder größeren Anzahl von zu analysierenden Ereignissen ein oder vergrößern ihn.

Um Leistungsprobleme in Umgebungen zu beheben, die eine ungewöhnlich hohe Anzahl von Ereignissen generieren (z. B. Serversysteme oder Software-Engineering-Systeme), unterstützt die CAE Ausschlussregeln, mit denen Sie bestimmte Ereignisse aus der

CylanceOPTICS

-Datenpipeline ausschließen können. Ausgeschlossene Ereignisse werden von

CylanceOPTICS

weder analysiert noch aufgezeichnet. Sie können vorkonfigurierte Ausschlussregeln verwenden, die in der Verwaltungskonsole verfügbar sind, oder Sie mit dem Regeleditor Ihre eigenen Ausschlussregeln erstellen, wobei Sie dieselbe JSON-Struktur wie bei den Erkennungsregeln verwenden. Ziel einer Ausschlussregel ist es, basierend auf Prozessen, die Sie ausschließen möchten, die Regel zu erfüllen.

Nachdem Sie eine Ausschlussregel veröffentlicht haben, können Sie sie mit der Whitelist-Prozess-Antwortaktion in einem Erkennungsregelsatz verknüpfen. Mit dieser Antwortaktion schließt CAE automatisch alle Ereignisse und Prozesse aus, die die zugehörige Regellogik erfüllen. Gehen Sie bei der Verwendung von Ausschlussregeln mit Bedacht vor, da diese die allgemeine Sicherheit von

CylanceOPTICS

-Geräten beeinträchtigen können.

Section:

Mit CylanceOPTICS Ereignisse erkennen und darauf reagieren

Beispiel für eine Erkennungsregel

Erstellen und Verwalten von Erkennungsregeln und Ausschlüssen