Verwenden von Dashboards
Verwalten von Warnungen in allen Cylance Endpoint Security-Diensten
- So gruppiert Cylance Endpoint Security Warnungen
- Anzeigen und Verwalten von aggregierten Warnungen
  - Statusänderungen für Warnungen
Verwalten von Benutzern, Geräten und Gruppen
Verwalten von Bedrohungen, die von CylancePROTECT Desktop erkannt worden sind
Verwalten von Bedrohungen, die von CylancePROTECT Mobile erkannt worden sind
- Anzeigen von CylancePROTECT Mobile-Warnungen
- Von der CylancePROTECT Mobile-App erkannte mobile Bedrohungen
Verwalten von sicheren und unsicheren Listen für CylancePROTECT Desktop und CylancePROTECT Mobile
Analysieren von Daten, die von CylanceOPTICS erfasst wurden
Mit CylanceOPTICS Ereignisse erkennen und darauf reagieren
Überwachen von Netzwerkverbindungen mit CylanceGATEWAY
- Anzeigen der Netzwerkaktivität
  - Anzeigen der Seite „Ereignisdetails“
Überwachen sensibler Dateien mit CylanceAVERT
Schwachstellen im mobilen Betriebssystem anzeigen
Überwachung von Administratoraktionen
Verwalten von Protokollen
- Konfigurieren der BlackBerry Connectivity Node -Protokollierung
- Verwalten der Protokolle für den CylancePROTECT Desktop-Agent
  - Aktivieren der ausführlichen Protokollierung auf einem CylancePROTECT Desktop-Gerät
  - Linux-Protokollierung
    - Festlegen der Protokollebene
    - Erfassen von Agent-Protokolldateien von Linux-Geräten
Senden von Ereignissen an eine SIEM-Lösung oder einen Syslog-Server
Aktivieren des Zugriffs auf die Cylance-Benutzer-API
Cylance Endpoint Security-Fehlerbehebung

So gruppiert
Cylance Endpoint Security
Warnungen

Cylance Endpoint Security

verwendet die folgenden Kriterien, um Warnungen von verschiedenen Diensten zu gruppieren und den Prozess zu automatisieren, damit Sie Ihre Aktivitäten zur Bedrohungserkennung und -abwehr auf logische Gruppierungen zugehöriger Warnungen ausrichten und optimieren können. Die Gruppierungslogik wird von

BlackBerry

erstellt und verwaltet und ist dynamisch darauf ausgelegt, Warnungen aus einer Reihe integrierter Dienste zu verarbeiten. Das Ergebnis ist ein Zero-Touch-Erlebnis, das die Analyse von Häufigkeit und Verbreitung automatisiert und es Ihnen erleichtert, Ihre Cybersicherheitsmaßnahmen zu analysieren und zu priorisieren.

Eine neue Warnung wird zu einer vorhandenen Gruppe mit Warnmeldungen hinzugefügt, wenn alle der folgenden Bedingungen erfüllt sind:

Die Priorität, Klassifizierung, Unterklassifizierung, Beschreibung, Schlüsselindikatoren und die Reaktion der Warnung stimmen mit dieser Gruppe überein.

Die Warnung tritt innerhalb von 24 Stunden nach der letzten Warnung in dieser Gruppe auf.

Die Warnung wird innerhalb von 7 Tagen (168 Stunden) nach der ältesten Warnung in dieser Gruppe erkannt.

Eine neue Gruppe mit Warnmeldungen wird erstellt, wenn eine Warnung erkannt wird, die nicht alle diese Bedingungen erfüllt.

Priorität

Die Priorität einer Warnung, die mit der Dringlichkeit des Problems und den potenziellen Auswirkungen auf die Umgebung Ihres Unternehmens korreliert, wird bei der Gruppierung von Warnungen berücksichtigt. In der Ansicht „Warnungen“ werden die Warnungen mit der höchsten Priorität aus allen Telemetriequellen gruppiert, damit Sie die wichtigsten Warnungen zuerst anzeigen und beheben können.

Die Faktoren, die die Priorität einer Warnung bestimmen, variieren je nach Dienst:

Dienst	Faktoren
CylancePROTECT Desktop	Bei Bedrohungswarnungen ist die Priorität in der Ansicht „Warnungen“ immer hoch, auch wenn die Priorität der Warnung unter „Schutz > Bedrohungen“ in der Verwaltungskonsole niedriger ist. Zweck dieser erhöhten Priorität in der Ansicht „Warnungen“ ist es, die Dringlichkeit der Erkennung von Malware anzuzeigen. Bei Speicherschutzwarnungen wird die Priorität durch die Art des Speicherschutzereignisses bestimmt, entsprechend der von BlackBerry -Cybersicherheitsanalysten erstellten Konfiguration. Die Priorität der Ereignisse richtet sich nach dem Gesamtschweregrad und der Relevanz für die Untersuchung.
CylancePROTECT Mobile	Warnungen verwenden einen Prioritätswert, der dem Schweregrad entspricht, der in der Verwaltungskonsole und in der CylancePROTECT Mobile-App angezeigt wird.
CylanceOPTICS	Die Priorität wird durch die Konfiguration der CylanceOPTICS-Erkennungsregeln bestimmt.
CylanceGATEWAY	Die Priorität beruht auf den von Ihnen konfigurierten Netzwerkschutzeinstellungen oder auf der Reputation eines Ziels mit einer hohen Risikostufe, wie von CylanceGATEWAY festgelegt. CylanceGATEWAY kann beispielsweise in den folgenden Szenarien Warnmeldungen erzeugen, die in der Ansicht „Warnungen“ angezeigt werden: Erkennung der Reputation des Ziels: Wenn diese Option aktiviert ist, werden die Warnungen basierend auf der von Ihnen festgelegten Risikostufe generiert. Wenn Sie beispielsweise die Risikostufe auf „Mittel und höher“ einstellen, werden für alle Erkennungen mit den Risikostufen „mittel“ und „hoch“ Warnmeldungen erzeugt. Wenn diese Option nicht aktiviert ist, werden standardmäßig Warnungen mit hoher Risikostufe erzeugt. Signaturerkennungen: Wenn diese Option aktiviert ist, werden Warnungen für blockierte Signaturerkennungen generiert und mit einer hohen Risikostufe angezeigt. Wenn diese Option nicht aktiviert ist, generiert CylanceGATEWAY keine Warnungen. Bei DNS-Tunneling und Zero-Day-Erkennung werden Warnungen für Erkennung mit hoher Risikostufe generiert.
CylanceAVERT	Die Priorität ist in der Ansicht „Warnungen“ immer hoch.
Mimecast	Die Priorität richtet sich nach der Risikobewertung für Anhänge von Mimecast .
Okta	Die Priorität wird von BlackBerry -Cybersicherheitsanalysten konfiguriert.

Klassifizierung und Unterklassifizierung

Mit der Klassifizierung und Unterklassifizierung von Warnungen wird der zugrunde liegende Erkennungstyp identifiziert und gekennzeichnet, um strukturierte Warnungsinhalte bereitzustellen, die die von einem bestimmten Dienst erkannte Warnung besser beschreiben können. Jeder Dienst definiert eine Reihe von Klassifizierungen und Unterklassifizierungen, um die Art der Warnung zu verdeutlichen.

Anhand der Daten der Klassifizierung und Unterklassifizierung werden ähnliche Warnungen identifiziert und gruppiert.

Die Faktoren, die die Klassifizierung und Unterklassifizierung einer Warnung bestimmen, variieren je nach Dienst:

Dienst	Faktoren
CylancePROTECT Desktop	Bei Bedrohungswarnungen entsprechen die Klassifizierung und Unterklassifizierung den Dateiklassifizierungen für Bedrohungswarnungen von CylancePROTECT Desktop. Bei Speicherschutzwarnungen entspricht die Klassifizierung und Unterklassifizierung den Speicherschutz-Verletzungstypen.
CylancePROTECT Mobile	Die Klassifizierung entspricht einer Gesamtkategorie von Warnungen (z. B. Gerätesicherheit oder Netzwerkbedrohungen) und die Unterklassifizierung entspricht dem spezifischen Warnungstyp, der in der Verwaltungskonsole und in der App angezeigt wird (z. B. schädliche App, Sideloading-App, unsicheres Wi-Fi usw.).
CylanceOPTICS	Erkennungsregeln enthalten MITRE-Taktiken, Techniken und Untertechniken zur Definition der Klassifizierung und Unterklassifizierung einer Warnung.
CylanceGATEWAY	Die Klassifizierung entspricht der Gesamtkategorie von Warnungen (z. B. Netzwerkzugriffssteuerung) und die Unterklassifizierung entspricht dem spezifischen Warnungstyp, der in der Verwaltungskonsole angezeigt wird (z. B. Reputation, DNS-Tunneling, Signaturerkennung und Zero-Day-Erkennung).
CylanceAVERT	Die Klassifizierung wird durch das Exfiltrationsereignis bestimmt.
Mimecast	Für die Klassifizierung einer Warnung wird die Taktik „Initial Access Mitre“ (TA0001) verwendet. Für die Unterklassifizierung derselben Warnung wird die Technik „Phishing Mitre“ (T1566) verwendet.
Okta	Eine Warnung wird entweder als Benutzerzugriffssteuerung (z. B. wenn die maximale Anzahl der Anmeldeversuche überschritten wird) oder als Netzwerkzugriffssteuerung klassifiziert (z. B. wenn die IP-Anfrage aufgrund einer Blockierlistenregel blockiert wird). Wenn es sich bei der Warnungsklassifizierung um Benutzerzugriffssteuerung handelt, ist die untergeordnete Klassifizierung die Benutzersperre. Wenn es sich bei der Warnungsklassifizierung um Netzwerkzugriffssteuerung handelt, ist die untergeordnete Klassifizierung die Blockierung der IP-Adresse.

Beschreibung

Die Beschreibung einer Warnung ist ein Merkmal, das einen kurzen Ausschnitt an Informationen über die Warnung liefert. Warnungen mit übereinstimmenden Beschreibungen werden eher gruppiert.

Schlüsselindikatoren

Schlüsselindikatoren sind die Erkennungsinhalte, die jeder einzelnen Warnung in einer Warngruppe gemeinsam sind. Bei der Gruppierung werden die Schlüsselindikatoren der Warnungen verglichen, um zu bestimmen, ob sie gruppiert werden sollen. Wenn beispielsweise eine Datei einen Schlüsselindikator SHA256-Hash enthält, ist der Hash-Wert innerhalb jeder Warnung in einer Warngruppe identisch.

Die Schlüsselindikatoren für eine Warnung variieren je nach Dienst:

Dienst	Faktoren
CylancePROTECT Desktop	Bei Bedrohungswarnungen ist der Schlüsselindikator der SHA256-Hash. Bei Speicherschutzwarnungen sind die Schlüsselindikatoren die eindeutigen Merkmale des Ereignisses (z. B. Dateidaten wie der SHA256-Hash und die Risikobewertung).
CylancePROTECT Mobile	Die Schlüsselindikatoren entsprechen den eindeutigen Merkmalen einer bestimmten mobilen Warnung (z. B. der Paketname einer Sideloading-App, die SSID eines unsicheren Wi-Fi -Netzwerks, das Modell eines nicht unterstützten Geräts usw.).
CylanceOPTICS	Schlüsselindikatoren sind die eindeutig identifizierenden Facetten der Artefakte, die mit einer Warnung verknüpft sind. Bei Prozessartefakten sind die Schlüsselindikatoren beispielsweise die folgenden Facetten: SHA256-Hash, Dateipfad und Befehlszeilenargument. Diese Facetten bilden eine eindeutige Signatur für den Prozessartefakttyp, die mit anderen Warnungen verglichen werden kann. Die Schlüsselindikatorfacetten für eine Gruppe mit Warnmeldungen sind für die einzelnen Warnungen der Gruppe gleich.
CylanceGATEWAY	Die Schlüsselindikatoren sind „Netzwerkverbindung“ und „DNS-Anfrage“.
CylanceAVERT	Die Schlüsselindikatoren variieren je nach Artefakttyp. Bei E-Mail-Warnartefakten ist der Schlüsselindikator die conversationID. Bei Warnartefakten bei Browser- und Dateiextraktion ist der Schlüsselindikator der Benutzername.
Mimecast	Die Schlüsselindikatoren sind die Facetten der Artefakte, die mit einer Warnung verknüpft sind. Bei Artefakten im Zusammenhang mit E-Mail-Anhängen sind die Schlüsselindikatoren beispielsweise der SHA256-Hash des E-Mail-Anhangs.
Okta	Die Schlüsselindikatoren sind die Konten, die Benutzeranmeldungen zugeordnet sind, und die IP-Adresse, die mit blockierten Anmeldeversuchen verknüpft ist.

Antwort

Bei Diensten, die Maßnahmen zur Risikominderung ausführen, ist dies die Aktion, die Sie für die Ausführung des Dienstes als Reaktion auf die Erkennung konfiguriert haben. Bei Bedrohungswarnungen von

CylancePROTECT Desktop

kann eine Antwort beispielsweise eine der folgenden sein: ignoriert, unter Quarantäne gestellt, unsicher oder anormal.

Bei Diensten, die keine Maßnahmen zur Risikominderung ausführen, werden hier relevante Informationen aus dem integrierten Dienst erfasst. Warnungen mit übereinstimmenden Antworten werden eher gruppiert.

Uhrzeit

Der Zeitpunkt des Auftretens einer Warnung im Verhältnis zu anderen Warnungen wird bei der Gruppierung der Warnungen berücksichtigt. Eine Warnung wird zu einer vorhandenen Gruppe hinzugefügt, wenn Priorität, Klassifizierung, Unterklassifizierung, Beschreibung, Schlüsselindikatoren und Antwort der Warnung mit dieser Gruppe übereinstimmen, wenn die Warnung innerhalb von 24 Stunden nach der letzten Warnung in dieser Gruppe auftritt, und wenn die Warnmeldung innerhalb von 7 Tagen (168 Stunden) nach der ältesten Warnung in dieser Gruppe auftritt. Wenn die Warnung den oben genannten Kriterien entspricht, aber außerhalb des 24-Stunden-Fensters der letzten Warnung in der Gruppe oder außerhalb des 7-Tage-Fensters der ältesten Warnung in der Gruppe auftritt, wird sie einer neuen Gruppe hinzugefügt.

Das 7-Tage-Zeitfenster stellt sicher, dass Warngruppen einen festen Zeitraum haben und nicht ins Unendliche wachsen.

Section:

Verwalten von Warnungen in allen Cylance Endpoint Security-Diensten

So gruppiert Cylance Endpoint Security Warnungen