So gruppiert Cylance Endpoint Security Warnungen
Cylance Endpoint Security
WarnungenCylance Endpoint Security
verwendet die folgenden Kriterien, um Warnungen von verschiedenen Diensten zu gruppieren und den Prozess zu automatisieren, damit Sie Ihre Aktivitäten zur Bedrohungserkennung und -abwehr auf logische Gruppierungen zugehöriger Warnungen ausrichten und optimieren können. Die Gruppierungslogik wird von BlackBerry
erstellt und verwaltet und ist dynamisch darauf ausgelegt, Warnungen aus einer Reihe integrierter Dienste zu verarbeiten. Das Ergebnis ist ein Zero-Touch-Erlebnis, das die Analyse von Häufigkeit und Verbreitung automatisiert und es Ihnen erleichtert, Ihre Cybersicherheitsmaßnahmen zu analysieren und zu priorisieren.Eine neue Warnung wird zu einer vorhandenen Gruppe mit Warnmeldungen hinzugefügt, wenn alle der folgenden Bedingungen erfüllt sind:
- Die Priorität, Klassifizierung, Unterklassifizierung, Beschreibung, Schlüsselindikatoren und die Reaktion der Warnung stimmen mit dieser Gruppe überein.
- Die Warnung wird innerhalb von 7 Tagen (168 Stunden) nach der ältesten Warnung in dieser Gruppe erkannt.
Eine neue Gruppe mit Warnmeldungen wird erstellt, wenn eine Warnung erkannt wird, die nicht alle diese Bedingungen erfüllt.
Priorität
Die Priorität einer Warnung, die mit der Dringlichkeit des Problems und den potenziellen Auswirkungen auf die Umgebung Ihres Unternehmens korreliert, wird bei der Gruppierung von Warnungen berücksichtigt. In der Ansicht „Warnungen“ werden die Warnungen mit der höchsten Priorität aus allen Telemetriequellen gruppiert, damit Sie die wichtigsten Warnungen zuerst anzeigen und beheben können.
Die Faktoren, die die Priorität einer Warnung bestimmen, variieren je nach Dienst:
Dienst | Faktoren |
---|---|
CylancePROTECT Desktop |
|
CylancePROTECT Mobile | Warnungen verwenden einen Prioritätswert, der dem Schweregrad entspricht, der in der Verwaltungskonsole und in der CylancePROTECT Mobile-App angezeigt wird. |
CylanceOPTICS | Die Priorität wird durch die Konfiguration der CylanceOPTICS-Erkennungsregeln bestimmt. |
CylanceGATEWAY | Die Priorität beruht auf den von Ihnen konfigurierten Netzwerkschutzeinstellungen oder auf der Reputation eines Ziels mit einer hohen Risikostufe, wie von CylanceGATEWAY festgelegt. CylanceGATEWAY kann beispielsweise in den folgenden Szenarien Warnmeldungen erzeugen, die in der Ansicht „Warnungen“ angezeigt werden:
|
CylanceAVERT | Die Priorität ist in der Ansicht „Warnungen“ immer hoch. |
Mimecast | Die Priorität richtet sich nach der Risikobewertung für Anhänge von Mimecast . |
Okta | Die Priorität wird von BlackBerry -Cybersicherheitsanalysten konfiguriert. |
Klassifizierung und Unterklassifizierung
Mit der Klassifizierung und Unterklassifizierung von Warnungen wird der zugrunde liegende Erkennungstyp identifiziert und gekennzeichnet, um strukturierte Warnungsinhalte bereitzustellen, die die von einem bestimmten Dienst erkannte Warnung besser beschreiben können. Jeder Dienst definiert eine Reihe von Klassifizierungen und Unterklassifizierungen, um die Art der Warnung zu verdeutlichen.
Anhand der Daten der Klassifizierung und Unterklassifizierung werden ähnliche Warnungen identifiziert und gruppiert.
Die Faktoren, die die Klassifizierung und Unterklassifizierung einer Warnung bestimmen, variieren je nach Dienst:
Dienst | Faktoren |
---|---|
CylancePROTECT Desktop |
|
CylancePROTECT Mobile | Die Klassifizierung entspricht einer Gesamtkategorie von Warnungen (z. B. Gerätesicherheit oder Netzwerkbedrohungen) und die Unterklassifizierung entspricht dem spezifischen Warnungstyp, der in der Verwaltungskonsole und in der App angezeigt wird (z. B. schädliche App, Sideloading-App, unsicheres Wi-Fi usw.). |
CylanceOPTICS | Erkennungsregeln enthalten MITRE-Taktiken, Techniken und Untertechniken zur Definition der Klassifizierung und Unterklassifizierung einer Warnung. |
CylanceGATEWAY | Die Klassifizierung entspricht der Gesamtkategorie von Warnungen (z. B. Netzwerkzugriffssteuerung) und die Unterklassifizierung entspricht dem spezifischen Warnungstyp, der in der Verwaltungskonsole angezeigt wird (z. B. Reputation, DNS-Tunneling, Signaturerkennung und Zero-Day-Erkennung). |
CylanceAVERT | Die Klassifizierung wird durch das Exfiltrationsereignis bestimmt. |
Mimecast | Für die Klassifizierung einer Warnung wird die Taktik „Initial Access Mitre“ (TA0001) verwendet. Für die Unterklassifizierung derselben Warnung wird die Technik „Phishing Mitre“ (T1566) verwendet. |
Okta | Eine Warnung wird entweder als Benutzerzugriffssteuerung (z. B. wenn die maximale Anzahl der Anmeldeversuche überschritten wird) oder als Netzwerkzugriffssteuerung klassifiziert (z. B. wenn die IP-Anfrage aufgrund einer Blockierlistenregel blockiert wird). Wenn es sich bei der Warnungsklassifizierung um Benutzerzugriffssteuerung handelt, ist die untergeordnete Klassifizierung die Benutzersperre. Wenn es sich bei der Warnungsklassifizierung um Netzwerkzugriffssteuerung handelt, ist die untergeordnete Klassifizierung die Blockierung der IP-Adresse. |
Beschreibung
Die Beschreibung einer Warnung ist ein Merkmal, das einen kurzen Ausschnitt an Informationen über die Warnung liefert. Warnungen mit übereinstimmenden Beschreibungen werden eher gruppiert.
Schlüsselindikatoren
Schlüsselindikatoren sind die Erkennungsinhalte, die jeder einzelnen Warnung in einer Warngruppe gemeinsam sind. Bei der Gruppierung werden die Schlüsselindikatoren der Warnungen verglichen, um zu bestimmen, ob sie gruppiert werden sollen. Wenn beispielsweise eine Datei einen Schlüsselindikator SHA256-Hash enthält, ist der Hash-Wert innerhalb jeder Warnung in einer Warngruppe identisch.
Die Schlüsselindikatoren für eine Warnung variieren je nach Dienst:
Dienst | Faktoren |
---|---|
CylancePROTECT Desktop |
|
CylancePROTECT Mobile | Die Schlüsselindikatoren entsprechen den eindeutigen Merkmalen einer bestimmten mobilen Warnung (z. B. der Paketname einer Sideloading-App, die SSID eines unsicheren Wi-Fi -Netzwerks, das Modell eines nicht unterstützten Geräts usw.). |
CylanceOPTICS | Schlüsselindikatoren sind die eindeutig identifizierenden Facetten der Artefakte, die mit einer Warnung verknüpft sind. Bei Prozessartefakten sind die Schlüsselindikatoren beispielsweise die folgenden Facetten: SHA256-Hash, Dateipfad und Befehlszeilenargument. Diese Facetten bilden eine eindeutige Signatur für den Prozessartefakttyp, die mit anderen Warnungen verglichen werden kann. Die Schlüsselindikatorfacetten für eine Gruppe mit Warnmeldungen sind für die einzelnen Warnungen der Gruppe gleich. |
CylanceGATEWAY | Die Schlüsselindikatoren sind „Netzwerkverbindung“ und „DNS-Anfrage“. |
CylanceAVERT | Die Schlüsselindikatoren variieren je nach Artefakttyp. Bei E-Mail-Warnartefakten ist der Schlüsselindikator die conversationID. Bei Warnartefakten bei Browser- und Dateiextraktion ist der Schlüsselindikator der Benutzername. |
Mimecast | Die Schlüsselindikatoren sind die Facetten der Artefakte, die mit einer Warnung verknüpft sind. Bei Artefakten im Zusammenhang mit E-Mail-Anhängen sind die Schlüsselindikatoren beispielsweise der SHA256-Hash des E-Mail-Anhangs. |
Okta | Die Schlüsselindikatoren sind die Konten, die Benutzeranmeldungen zugeordnet sind, und die IP-Adresse, die mit blockierten Anmeldeversuchen verknüpft ist. |
Antwort
Bei Diensten, die Maßnahmen zur Risikominderung ausführen, ist dies die Aktion, die Sie für die Ausführung des Dienstes als Reaktion auf die Erkennung konfiguriert haben. Bei Bedrohungswarnungen von
CylancePROTECT Desktop
kann eine Antwort beispielsweise eine der folgenden sein: ignoriert, unter Quarantäne gestellt, unsicher oder anormal.Bei Diensten, die keine Maßnahmen zur Risikominderung ausführen, werden hier relevante Informationen aus dem integrierten Dienst erfasst. Warnungen mit übereinstimmenden Antworten werden eher gruppiert.
Uhrzeit
Der Zeitpunkt des Auftretens einer Warnung im Verhältnis zu anderen Warnungen wird bei der Gruppierung der Warnungen berücksichtigt. Eine Benachrichtigung wird zu einer vorhandenen Gruppe hinzugefügt, wenn Priorität, Klassifizierung, Unterklassifizierung, Beschreibung, Schlüsselindikatoren und Antwort der Benachrichtigung mit dieser Gruppe übereinstimmen, und wenn die Benachrichtigung innerhalb von 7 Tagen (168 Stunden) nach der ältesten Benachrichtigung in dieser Gruppe auftritt. Wenn die Benachrichtigung den oben genannten Kriterien entspricht, aber außerhalb des 7-Tage-Fensters der ältesten Benachrichtigung in der Gruppe auftritt, wird sie einer neuen Gruppe hinzugefügt. Das 7-Tage-Zeitfenster stellt sicher, dass Warngruppen einen festen Zeitraum haben und nicht ins Unendliche wachsen.