Verwenden von Dashboards
Verwalten von Warnungen in allen Cylance Endpoint Security-Diensten
- So gruppiert Cylance Endpoint Security Warnungen
- Anzeigen und Verwalten von aggregierten Warnungen
  - Statusänderungen für Warnungen
Verwalten von Benutzern, Geräten und Gruppen
Verwalten von Bedrohungen, die von CylancePROTECT Desktop erkannt worden sind
Verwalten von Bedrohungen, die von CylancePROTECT Mobile erkannt worden sind
- Anzeigen von CylancePROTECT Mobile-Warnungen
- Von der CylancePROTECT Mobile-App erkannte mobile Bedrohungen
Verwalten von sicheren und unsicheren Listen für CylancePROTECT Desktop und CylancePROTECT Mobile
Analysieren von Daten, die von CylanceOPTICS erfasst wurden
Mit CylanceOPTICS Ereignisse erkennen und darauf reagieren
Überwachen von Netzwerkverbindungen mit CylanceGATEWAY
- Anzeigen der Netzwerkaktivität
  - Anzeigen der Seite „Ereignisdetails“
Überwachen sensibler Dateien mit CylanceAVERT
Schwachstellen im mobilen Betriebssystem anzeigen
Überwachung von Administratoraktionen
Verwalten von Protokollen
- Konfigurieren der BlackBerry Connectivity Node -Protokollierung
- Verwalten der Protokolle für den CylancePROTECT Desktop-Agent
  - Aktivieren der ausführlichen Protokollierung auf einem CylancePROTECT Desktop-Gerät
  - Linux-Protokollierung
    - Festlegen der Protokollebene
    - Erfassen von Agent-Protokolldateien von Linux-Geräten
Senden von Ereignissen an eine SIEM-Lösung oder einen Syslog-Server
Aktivieren des Zugriffs auf die Cylance-Benutzer-API
Cylance Endpoint Security-Fehlerbehebung

Artefakte von Interesse

Sie können die Artefakte von Interesse (Artifacts of Interest, AOI) im Feld „Aktionen“ verwenden, um eine Liste von Artefakten zu definieren, für die

CylanceOPTICS

automatische Antwortaktionen durchführen kann. Für AOIs gilt dieselbe Syntax wie für Operanden. Alle Artefakte, die mit einem Ereignis oder einer Reihe von Ereignissen in Zusammenhang stehen, die einem Status entsprechen, können als AOI markiert werden. AOIs müssen nicht als Operand definiert werden, um als AOI zu gelten.

Wenn ein Filter auf einen Status angewendet wird, ist zu beachten, dass einige AOIs nicht für automatische Antwortaktionen verfügbar sind. Wenn beispielsweise ein Dateierstellungsfilter auf einen Status angewendet wird, wäre ein datei- und prozessbezogenes AOI verfügbar, es würde aber kein registrierungs- oder netzwerkbezogenes AOI existieren. Wenn ein irrelevantes AOI in einem Status bereitgestellt wird, bearbeitet der

CylanceOPTICS

-Agent seinen Ausschluss problemlos. In der folgenden Tabelle ist der anwendbare Filter für AOI-Beziehungen aufgeführt.

Kategorie	Unterkategorie	Typ	Anwendbares AOI
Datei	—	Erstellen	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner
Datei	—	Löschen	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner
Datei	—	Umbenennen	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner
Datei	—	Schreiben	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner
Netzwerk	IPv4	Verbinden	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection
Netzwerk	IPv6	Verbinden	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection
Netzwerk	TCP	Verbinden	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection
Netzwerk	UDP	Verbinden	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection
Prozess	—	Schließen	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner
Prozess	—	Start	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner
Prozess	CylancePROTECT Desktop	AbnormalExit	TargetProcess TargetProcessImageFile TargetProcessOwner
Registrierung	—	PersistencePoint: KeyCreating	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: KeyCreated	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: KeyDeleting	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: KeyDeleted	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: KeyRenaming	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: KeyRenamed	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: ValueChanging	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: ValueChanged	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: ValueDeleting	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registrierung	—	PersistencePoint: ValueDeleted	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Thread	—	Erstellen	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner
Thread	—	Injizieren	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner

Beispiel:

"Actions": [
    {
        "Type": "AOI",
        "ItemName": "InstigatingProcess",
        "Position": "PostActivation"
    },
    {
        "Type": "AOI",
        "ItemName": "TargetProcess",
        "Position": "PostActivation"
    },
    {
        "Type": "AOI",
        "ItemName": "InstigatingProcessOwner",
        "Position": "PostActivation"
    }
],

Section:

Erstellen und Verwalten von Erkennungsregeln und Ausschlüssen