Skip Navigation

So gruppiert
Cylance Endpoint Security
Warnungen

Cylance Endpoint Security
verwendet die folgenden Kriterien, um Warnungen von verschiedenen Diensten zu gruppieren und den Prozess zu automatisieren, damit Sie Ihre Aktivitäten zur Bedrohungserkennung und -abwehr auf logische Gruppierungen zugehöriger Warnungen ausrichten und optimieren können. Die Gruppierungslogik wird von
BlackBerry
erstellt und verwaltet und ist dynamisch darauf ausgelegt, Warnungen aus einer Reihe integrierter Dienste zu verarbeiten. Das Ergebnis ist ein Zero-Touch-Erlebnis, das die Analyse von Häufigkeit und Verbreitung automatisiert und es Ihnen erleichtert, Ihre Cybersicherheitsmaßnahmen zu analysieren und zu priorisieren.
Eine neue Warnung wird zu einer vorhandenen Gruppe mit Warnmeldungen hinzugefügt, wenn alle der folgenden Bedingungen erfüllt sind:
  • Die Priorität, Klassifizierung, Unterklassifizierung, Beschreibung, Schlüsselindikatoren und die Reaktion der Warnung stimmen mit dieser Gruppe überein.
  • Die Warnung wird innerhalb von 7 Tagen (168 Stunden) nach der ältesten Warnung in dieser Gruppe erkannt.
Eine neue Gruppe mit Warnmeldungen wird erstellt, wenn eine Warnung erkannt wird, die nicht alle diese Bedingungen erfüllt.

Priorität

Die Priorität einer Warnung, die mit der Dringlichkeit des Problems und den potenziellen Auswirkungen auf die Umgebung Ihres Unternehmens korreliert, wird bei der Gruppierung von Warnungen berücksichtigt. In der Ansicht „Warnungen“ werden die Warnungen mit der höchsten Priorität aus allen Telemetriequellen gruppiert, damit Sie die wichtigsten Warnungen zuerst anzeigen und beheben können.
Die Faktoren, die die Priorität einer Warnung bestimmen, variieren je nach Dienst:
Dienst
Faktoren
CylancePROTECT Desktop
  • Bei Bedrohungswarnungen ist die Priorität in der Ansicht „Warnungen“ immer hoch, auch wenn die Priorität der Warnung unter „Schutz > Bedrohungen“ in der Verwaltungskonsole niedriger ist. Zweck dieser erhöhten Priorität in der Ansicht „Warnungen“ ist es, die Dringlichkeit der Erkennung von Malware anzuzeigen.
  • Bei Benachrichtigungen zu Speicherschutz und Skriptsteuerung wird die Priorität durch die Art des Ereignisses bestimmt, entsprechend der von
    BlackBerry
    -Cybersicherheitsanalysten erstellten Konfiguration. Die Priorität richtet sich nach dem Gesamtschweregrad und der Relevanz für die Untersuchung.
CylancePROTECT Mobile
Warnungen verwenden einen Prioritätswert, der dem Schweregrad entspricht, der in der Verwaltungskonsole und in der CylancePROTECT Mobile-App angezeigt wird.
CylanceOPTICS
Die Priorität wird durch die Konfiguration der CylanceOPTICS-Erkennungsregeln bestimmt.
CylanceGATEWAY
Die Priorität beruht auf den von Ihnen konfigurierten Netzwerkschutzeinstellungen oder auf der Reputation eines Ziels mit einer hohen Risikostufe, wie von
CylanceGATEWAY
festgelegt. 
CylanceGATEWAY
kann beispielsweise in den folgenden Szenarien Warnmeldungen erzeugen, die in der Ansicht „Warnungen“ angezeigt werden:
  • Erkennung der Reputation des Ziels:
    • Wenn diese Option aktiviert ist, werden die Warnungen basierend auf der von Ihnen festgelegten Risikostufe generiert. Wenn Sie beispielsweise die Risikostufe auf „Mittel und höher“ einstellen, werden für alle Erkennungen mit den Risikostufen „mittel“ und „hoch“ Warnmeldungen erzeugt.
    • Wenn diese Option nicht aktiviert ist, werden standardmäßig Warnungen mit hoher Risikostufe erzeugt.
  • Signaturerkennungen:
    • Wenn diese Option aktiviert ist, werden Warnungen für blockierte Signaturerkennungen generiert und mit einer hohen Risikostufe angezeigt.
    • Wenn diese Option nicht aktiviert ist, generiert
      CylanceGATEWAY
      keine Warnungen.
  • Bei DNS-Tunneling und Zero-Day-Erkennung werden Warnungen für Erkennung mit hoher Risikostufe generiert.
CylanceAVERT
Die Priorität ist in der Ansicht „Warnungen“ immer hoch.
Mimecast
Die Priorität richtet sich nach der Risikobewertung für Anhänge von
Mimecast
.
Okta
Die Priorität wird von
BlackBerry
-Cybersicherheitsanalysten konfiguriert.

Klassifizierung und Unterklassifizierung

Mit der Klassifizierung und Unterklassifizierung von Warnungen wird der zugrunde liegende Erkennungstyp identifiziert und gekennzeichnet, um strukturierte Warnungsinhalte bereitzustellen, die die von einem bestimmten Dienst erkannte Warnung besser beschreiben können. Jeder Dienst definiert eine Reihe von Klassifizierungen und Unterklassifizierungen, um die Art der Warnung zu verdeutlichen.
Anhand der Daten der Klassifizierung und Unterklassifizierung werden ähnliche Warnungen identifiziert und gruppiert.
Die Faktoren, die die Klassifizierung und Unterklassifizierung einer Warnung bestimmen, variieren je nach Dienst:
Dienst
Faktoren
CylancePROTECT Desktop
  • Bei Bedrohungswarnungen entsprechen die Klassifizierung und Unterklassifizierung den Dateiklassifizierungen für Bedrohungswarnungen von CylancePROTECT Desktop.
  • Bei Speicherschutzwarnungen entspricht die Klassifizierung und Unterklassifizierung den Speicherschutz-Verletzungstypen.
  • Bei Skriptsteuerungs-Benachrichtigungen gibt die Klassifizierung den allgemeinen Benachrichtigungstyp an (z. B. Skriptsteuerung, potenziell unerwünschtes Programm, Malware), und die Unterklassifizierung enthält weitere Details (z. B. Skript ausgeführt, Skript blockiert).
CylancePROTECT Mobile
Die Klassifizierung entspricht einer Gesamtkategorie von Warnungen (z. B. Gerätesicherheit oder Netzwerkbedrohungen) und die Unterklassifizierung entspricht dem spezifischen Warnungstyp, der in der Verwaltungskonsole und in der App angezeigt wird (z. B. schädliche App, Sideloading-App, unsicheres
Wi-Fi
usw.).
CylanceOPTICS
Erkennungsregeln enthalten MITRE-Taktiken, Techniken und Untertechniken zur Definition der Klassifizierung und Unterklassifizierung einer Warnung.
CylanceGATEWAY
Die Klassifizierung entspricht der Gesamtkategorie von Warnungen (z. B. Netzwerkzugriffssteuerung) und die Unterklassifizierung entspricht dem spezifischen Warnungstyp, der in der Verwaltungskonsole angezeigt wird (z. B. Reputation, DNS-Tunneling, Signaturerkennung und Zero-Day-Erkennung).
CylanceAVERT
Die Klassifizierung wird durch das Exfiltrationsereignis bestimmt.
Mimecast
Für die Klassifizierung einer Warnung wird die Taktik „Initial Access Mitre“ (TA0001) verwendet. Für die Unterklassifizierung derselben Warnung wird die Technik „Phishing Mitre“ (T1566) verwendet.
Okta
Eine Warnung wird entweder als Benutzerzugriffssteuerung (z. B. wenn die maximale Anzahl der Anmeldeversuche überschritten wird) oder als Netzwerkzugriffssteuerung klassifiziert (z. B. wenn die IP-Anfrage aufgrund einer Blockierlistenregel blockiert wird). Wenn es sich bei der Warnungsklassifizierung um Benutzerzugriffssteuerung handelt, ist die untergeordnete Klassifizierung die Benutzersperre. Wenn es sich bei der Warnungsklassifizierung um Netzwerkzugriffssteuerung handelt, ist die untergeordnete Klassifizierung die Blockierung der IP-Adresse.

Beschreibung

Die Beschreibung einer Warnung ist ein Merkmal, das einen kurzen Ausschnitt an Informationen über die Warnung liefert. Warnungen mit übereinstimmenden Beschreibungen werden eher gruppiert.

Schlüsselindikatoren

Schlüsselindikatoren sind die Erkennungsinhalte, die jeder einzelnen Warnung in einer Warngruppe gemeinsam sind. Bei der Gruppierung werden die Schlüsselindikatoren der Warnungen verglichen, um zu bestimmen, ob sie gruppiert werden sollen. Wenn beispielsweise eine Datei einen Schlüsselindikator SHA256-Hash enthält, ist der Hash-Wert innerhalb jeder Warnung in einer Warngruppe identisch.
Die Schlüsselindikatoren für eine Warnung variieren je nach Dienst:
Dienst
Faktoren
CylancePROTECT Desktop
  • Bei Bedrohungswarnungen ist der Schlüsselindikator der SHA256-Hash.
  • Bei Speicherschutzwarnungen sind die Schlüsselindikatoren die eindeutigen Merkmale des Ereignisses (z. B. Dateidaten wie der SHA256-Hash und die Risikobewertung).
  • Bei Skriptsteuerungs-Benachrichtigungen sind die Schlüsselindikatoren die eindeutigen Eigenschaften des Ereignisses (z. B. Datei-SHA256-Hash, Skripttyp und Skriptname).
CylancePROTECT Mobile
Die Schlüsselindikatoren entsprechen den eindeutigen Merkmalen einer bestimmten mobilen Warnung (z. B. der Paketname einer Sideloading-App, die SSID eines unsicheren
Wi-Fi
-Netzwerks, das Modell eines nicht unterstützten Geräts usw.).
CylanceOPTICS
Schlüsselindikatoren sind die eindeutig identifizierenden Facetten der Artefakte, die mit einer Warnung verknüpft sind. Bei Prozessartefakten sind die Schlüsselindikatoren beispielsweise die folgenden Facetten: SHA256-Hash, Dateipfad und Befehlszeilenargument. Diese Facetten bilden eine eindeutige Signatur für den Prozessartefakttyp, die mit anderen Warnungen verglichen werden kann. Die Schlüsselindikatorfacetten für eine Gruppe mit Warnmeldungen sind für die einzelnen Warnungen der Gruppe gleich.
CylanceGATEWAY
Die Schlüsselindikatoren sind „Netzwerkverbindung“ und „DNS-Anfrage“.
CylanceAVERT
Die Schlüsselindikatoren variieren je nach Artefakttyp. Bei E-Mail-Warnartefakten ist der Schlüsselindikator die conversationID. Bei Warnartefakten bei Browser- und Dateiextraktion ist der Schlüsselindikator der Benutzername.
Mimecast
Die Schlüsselindikatoren sind die Facetten der Artefakte, die mit einer Warnung verknüpft sind. Bei Artefakten im Zusammenhang mit E-Mail-Anhängen sind die Schlüsselindikatoren beispielsweise der SHA256-Hash des E-Mail-Anhangs.
Okta
Die Schlüsselindikatoren sind die Konten, die Benutzeranmeldungen zugeordnet sind, und die IP-Adresse, die mit blockierten Anmeldeversuchen verknüpft ist.

Antwort

Bei Diensten, die Maßnahmen zur Risikominderung ausführen, ist dies die Aktion, die Sie für die Ausführung des Dienstes als Reaktion auf die Erkennung konfiguriert haben. Bei Bedrohungswarnungen von
CylancePROTECT Desktop
kann eine Antwort beispielsweise eine der folgenden sein: ignoriert, unter Quarantäne gestellt, unsicher oder anormal.
Bei Diensten, die keine Maßnahmen zur Risikominderung ausführen, werden hier relevante Informationen aus dem integrierten Dienst erfasst. Warnungen mit übereinstimmenden Antworten werden eher gruppiert.

Uhrzeit

Der Zeitpunkt des Auftretens einer Warnung im Verhältnis zu anderen Warnungen wird bei der Gruppierung der Warnungen berücksichtigt. Eine Benachrichtigung wird zu einer vorhandenen Gruppe hinzugefügt, wenn Priorität, Klassifizierung, Unterklassifizierung, Beschreibung, Schlüsselindikatoren und Antwort der Benachrichtigung mit dieser Gruppe übereinstimmen, und wenn die Benachrichtigung innerhalb von 7 Tagen (168 Stunden) nach der ältesten Benachrichtigung in dieser Gruppe auftritt. Wenn die Benachrichtigung den oben genannten Kriterien entspricht, aber außerhalb des 7-Tage-Fensters der ältesten Benachrichtigung in der Gruppe auftritt, wird sie einer neuen Gruppe hinzugefügt. Das 7-Tage-Zeitfenster stellt sicher, dass Warngruppen einen festen Zeitraum haben und nicht ins Unendliche wachsen.