Verwalten von Warnungen in allen Cylance Endpoint Security-Diensten
Cylance Endpoint Security
-DienstenDie Ansicht „Warnungen“ bietet Ihnen einen umfassenden Überblick über die erkannten und korrelierten Warnungen in den verschiedenen Diensten von
Cylance Endpoint Security
. So können Sie bestehende Bedrohungsmuster in Ihrem Unternehmensökosystem leichter erkennen und nachverfolgen und die Warnungen effizienter lösen. Dank der Ansicht „Warnungen“ ist es nicht notwendig, Warnungen aus verschiedenen Bereichen der Konsole zu untersuchen, die jeweils für einen bestimmten Dienst, wie CylancePROTECT Desktop
oder CylanceOPTICS
, vorgesehen sind. Über die Ansicht „Warnungen“ können Sie Warnungen aller von Ihrer Umgebung unterstützten Cylance Endpoint Security
-Dienste überprüfen, untersuchen und verwalten.Dienst | Unterstützt von der Ansicht „Warnungen“ |
---|---|
CylancePROTECT Desktop | Bedrohungs-Telemetrie, Speicherschutz-Benachrichtigungen und Skriptsteuerungs-Benachrichtigungen vom CylancePROTECT Desktop -Agenten auf Desktop-Geräten. |
CylancePROTECT Mobile | Von der CylancePROTECT Mobile-App erkannte Warnungen. |
CylanceOPTICS | Vom CylanceOPTICS-Agenten auf Desktop-Geräten erkannte Warnungen. |
CylanceGATEWAY | Netzwerkschutzeinstellungen, die Sie konfiguriert haben, oder die Zielreputationen, die CylanceGATEWAY als hohes Risiko eingestuft hat. |
CylanceAVERT | Exfiltrationsereignisse vom CylanceAVERT -Agenten auf Desktop-Geräten. |
Okta Connector | Okta -Telemetrie für Benutzerereignisse über den BlackBerry Okta-Connector.Erfordert eine Lizenz für CylanceENDPOINT Pro. |
Mimecast Connector | Mimecast -Telemetrie für den Anhangschutz über den BlackBerry Mimecast-Connector.Erfordert eine Lizenz für CylanceENDPOINT Pro. |
Die erste Ansicht „Warnungen“ ist eine Zusammenfassung, in der ähnliche Warnungen nach Kriterien wie Priorität, Klassifizierung, konfigurierte Reaktionen und andere wichtige Warnungsattribute gruppiert werden. Weitere Informationen zu diesen Kriterien finden Sie unter So gruppiert Cylance Endpoint Security Warnungen.
Die automatische Gruppierung von Warnungen spiegelt sowohl die Häufigkeit als auch die Verbreitung von Warnungen wider, sodass Analysten einen klaren Überblick darüber erhalten, wie oft und wo Bedrohungen auftreten. Standardmäßig werden die Warngruppen in absteigender Reihenfolge nach Priorität sortiert, um eine Top-Down-Ansicht aller relevanten Sicherheits-Telemetriedaten zu erhalten. Jede Gruppe zeigt Symbole für die Arten von Schlüsselindikator-Artefakten an, die mit der Gruppe verknüpft sind (z. B. Datei, Prozess, E-Mail usw.). Sie können auf ein Schlüsselindikatorsymbol klicken, um die Attribute des Schlüsselindikators zu prüfen, und Sie können diese Werte kopieren oder nach ihnen filtern. Wenn neue Warnungen erkannt und von den Telemetriequellen verarbeitet werden, werden sie zu einer vorhandenen Gruppe oder einer neuen Gruppe hinzugefügt.
Die Ansicht „Warnungen“ unterstützt Einfach- und Mehrfacherkennungs-Warnungen. Warnungserkennungsregeln können manchmal mehrere Erkennungen durchführen, bevor eine Warnung generiert und in der Ansicht „Warnungen“ angezeigt wird. Jede Erkennung wird mithilfe eines Ereignisses modelliert (z. B. Datei geöffnet, Registrierungsschlüssel hinzugefügt usw.).
Sie können auf eine Warngruppe klicken, um auf die folgenden Informationen zuzugreifen:
- Die Registerkarte „Übersicht Warnungen“, auf der Erkennungsdetails und wichtige Schlüsselindikatoren zusammengefasst sind, die für die Gruppe relevant sind.
- Auf der Registerkarte „Schlüsselindikatoren“ werden die Erkennungsattribute angezeigt, die in jeder einzelnen Warnung innerhalb der Gruppe identisch sind. Wenn der Schlüsselindikator beispielsweise ein Datei-Hash war, wurde dieser Hash in jeder Warnung erkannt, unabhängig davon, ob er vom selben Gerät oder von anderen Geräten stammt. Die Schlüsselindikatoren werden visuell dargestellt, um die Beziehung zwischen übergeordneten, untergeordneten und gleichgeordneten Objekten anzuzeigen. Bei Mehrfacherkennungs-Warnungen sind die Schlüsselindikatoren in jedem Ereignis enthalten und werden in der Reihenfolge der Ausführung zusammengefasst.
- Die Liste der einzelnen Warnungen in der Gruppe. Sie können auf eine einzelne Warnung klicken, um Einzelheiten dazu anzuzeigen. Sie können auch den vollständigen Satz von Artefakten öffnen, die mit der Warnung verknüpft sind, dargestellt als Symbole. Die Artefakte enthalten den vollständigen Satz Facetten, die von der zugrunde liegenden Erkennungs-Engine erfasst werden. Wie die Schlüsselindikatoren werden diese Artefakte visuell dargestellt, um die Beziehung zwischen übergeordneten, untergeordneten und gleichgeordneten Objekten anzuzeigen. Bei Mehrfacherkennungs-Warnungen sind die Schlüsselindikatoren in jedem Ereignis enthalten und werden in der Reihenfolge der Ausführung zusammengefasst.
- Sie können KI-gestützteCylance Assistantverwenden, um eine zusammenfassende Analyse einer Benachrichtigungsgruppe und eine detaillierte Analyse für Prozessartefakte innerhalb einer Benachrichtigungsgruppe (z. B. Befehlszeilenprozesse) bereitzustellen.Cylance Assistantnutzt umfassende Wissensquellen zu Cybersicherheit, um wertvolle Informationen zur Verfügung zu stellen, die Sie bei der Bedrohungsuntersuchung unterstützen. Weitere Informationen finden Sie unter Verwendung KI-gestützter Cylance Assistant zur Untersuchung von Benachrichtigungen.
Abhängig von den Warnungstypen in einer Gruppe können Sie auch Verwaltungsaktionen ausführen. Bei
CylancePROTECT Desktop
-Bedrohungswarnungen können Sie beispielsweise eine Datei zur globalen Sicherheitsliste oder zur globalen Quarantäneliste hinzufügen oder aus dieser entfernen.