Skip Navigation

Anzeigen der Seite „Ereignisdetails“

Sie können zusätzliche Metadaten und Details für ein protokolliertes Netzwerkereignis auf der Seite „Ereignisse“ anzeigen. Die angezeigten Metadaten hängen von verschiedenen Faktoren ab, wie dem Typ der Netzwerkanforderung und der Konfiguration der ACL-Regeln. Beispielsweise werden für DNS-Ereignisse DNS-spezifische Details und für TLS-Ereignisse TLS-spezifische Details angezeigt. Außerdem werden zusätzliche Metadaten angezeigt, wenn der Netzwerkschutz in einer ACL-Regel aktiviert ist. Sie können das Netzwerkereignis für andere Konsolenbenutzer freigeben, um die Ziele zu prüfen oder zu untersuchen, auf die der Benutzer versucht hat zuzugreifen. Konsolenbenutzer müssen über die entsprechenden Berechtigungen verfügen, um das freigegebene Ereignis anzeigen zu können. Klicken Sie auf Das Symbol „Freigeben“, um den Link zu dem Ereignis zu kopieren.
Sie können die protokollierten Netzwerkereignisse mithilfe der folgenden Datenfilter filtern:
Filter
Beschreibung
Ereignisübersicht
Ereignis-ID
Dies ist eine eindeutige ID des Netzwerkereignisses für Ihren Mandanten.
Quell-IP
Dies ist die private Gateway-IP, die dem Endpunkttunnel während des Ereignisses zugewiesen wurde.
Quellport
Dies ist die Portnummer des Ziels.
DNS-Abfragename
Dies ist der RR-Name (Resource Requested) des DNS-Servers, den der
CylanceGATEWAY
-Agent abgefragt hat.
DNS-Abfragetyp
Dies ist der Typ der DNS-Abfrage (z. B. A-, AAAA- oder SRV-Datensatz), die an den DNS-Server gesendet wurde.
Ziel
Dies ist das Ziel des Ereignisses. Die Ziel-IP-Adresse ist immer enthalten. Für das Ereignis kann auch der Name des Netzwerkdienstes oder ggf. der Hostname angezeigt werden.
Zielport
Dies ist der Port des Ziels, auf das zugegriffen wurde.
Private NAT-Quell-IP
Dies ist die Quell-IP-Adresse dieses Ereignisses, wie es den
CylanceGATEWAY Connector
für eines Ihrer privaten Netzwerke verlassen hat. Wenn die Quell-IP nicht verfügbar ist oder die Funktion nicht aktiviert wurde, zeigt der Filter „Unbekannt“ an.
Sie müssen sicherstellen, dass die
CylanceGATEWAY Connector
-Systemzeit korrekt ist. Wenn die
CylanceGATEWAY Connector
-Systemzeit keine genaue Systemzeit enthält, werden die vom Connector gemeldeten NAT-Details möglicherweise nicht mit dem Netzwerkereignis in der
BlackBerry Infrastructure
abgeglichen. Standardmäßig verwendet
CylanceGATEWAY Connector
den Ubuntu-Zeitserver (ntp.ubuntu.com-Server) für die Zeitsynchronisierung oder Sie können einen benutzerdefinierten NTP-Server angeben. Wenn Sie einen
Ubuntu
-Zeitserver verwenden, stellen Sie sicher, dass Sie von Ihrem privaten Netzwerk aus darauf zugreifen können. Weitere Informationen finden Sie unter Konfigurieren von CylanceGATEWAY Connector.
Der
CylanceGATEWAY Connector
sendet die aktualisierten NAT-Details jede Minute an den Bildschirm „Ereignisdetails“.
Diese Funktion ist standardmäßig aktiviert. Wenn die Details der privaten NAT-Quelle nicht auf der Seite „Ereignisdetails“ in der
Cylance
-Konsole angezeigt werden, stellen Sie sicher, dass Sie die neueste Version von
CylanceGATEWAY Connector
installiert und den Connector neu gestartet haben.
Privater NAT-Quellport
Dies ist der Quell-IP-Port dieses Ereignisses, wie es den
CylanceGATEWAY Connector
für eines Ihrer privaten Netzwerke verlassen hat. Wenn die Portnummer nicht verfügbar ist oder die Funktion nicht aktiviert wurde, zeigt der Filter „Unbekannt“ an.
Diese Funktion ist standardmäßig aktiviert. Wenn die Details der privaten NAT-Quelle nicht auf der Seite „Ereignisdetails“ in der
Cylance
-Konsole angezeigt werden, stellen Sie sicher, dass Sie die neueste Version von
CylanceGATEWAY Connector
installiert und den Connector neu gestartet haben.
BlackBerry
-Quell-IP
Dies ist die IP-Adresse dieses Ereignisses, wie es die
BlackBerry Infrastructure
verlassen hat. Diese
BlackBerry
-Quell-IP ist nicht für Datenflüsse verfügbar, die den
CylanceGATEWAY
-Tunnel nicht verwenden (z. B. Sicherheitsmodus).
Tunnel-Quell-IP
Dies ist die IP-Adresse des Endpunkts, wie sie von der
BlackBerry Infrastructure
gesehen wird, wenn er den
CylanceGATEWAY
-Tunnel erreicht.
Protokoll
Dies ist das Protokoll (Schicht 4), mit dem das Netzwerkereignis auf das Ziel zugegriffen hat. Bei dem Protokoll kann es sich um UDP oder TCP handeln.
App-Protokoll
Dies ist das Protokoll (Schicht 6 oder 7), wie TLS, DNS oder HTTP, das für die Kommunikation verwendet wurde.
Zugriffsart
Dies ist die Zugriffsart (z. B. Sicherheitsmodus oder Gateway-Tunnel), die das Netzwerkereignis für den Zugriff auf das Ziel verwendet hat.
Netzwerkroute
Die öffentliche oder private Datenverkehrsverbindung, die zur Weiterleitung des Datenverkehrs verwendet wurde. Bei privaten Verbindungen können Sie nach dem Namen der Connector-Gruppe und nach jedem
CylanceGATEWAY Connector
filtern.
Connector
Dies ist der
CylanceGATEWAY Connector
, mit dem das Netzwerkereignis verknüpft ist. Um weitere Informationen über den Connector anzuzeigen, klicken Sie auf den Connector-Namen.
Kategorie
Dies ist die Kategorie, die auf das Ereignis angewendet wird. Wenn
CylanceGATEWAY
beispielsweise das Ziel als möglicherweise schädliche Bedrohungen enthaltend identifiziert hat, kann als Kategorie „Dynamisches Risiko“ angezeigt werden. Weitere Informationen zur Kategorie „Dynamisches Risiko“ finden Sie unter Konfigurieren des Netzwerkschutzes in der Dokumentation zur Einrichtung. Das Ziel kann auch auf Grundlage der darin enthaltenen Inhalte wie „Computer- und Informationstechnologie“ kategorisiert werden. Weitere Informationen zu Kategorien für Inhalte von Zielen finden Sie unter Inhaltskategorien von Zielen in der Dokumentation zur Einrichtung.
Unterkategorie
Dies ist die Beschreibung der Unterkategorie des Netzwerkdatenverkehrs für die dem Ziel zugeordnete Kategorie. Weitere Informationen zu den Unterkategorien, die möglicherweise angezeigt werden, wenn die Kategorie „Dynamisches Risiko“ lautet, finden Sie unter Konfigurieren des Netzwerkschutzes in der Dokumentation zur Einrichtung. Weitere Informationen zu den Unterkategorien, die angezeigt werden können, wenn es sich bei der Kategorie um eine Inhaltskategorie von Zielen handelt, finden Sie unter Inhaltskategorien von Zielen in der Dokumentation zur Einrichtung.
Startzeit (UTC)
Dies ist die Uhrzeit, zu der die Kommunikation der Netzwerkaktivität gestartet wurde. Die Uhrzeit wird in UTC angezeigt.
Endzeit (UTC)
Dies ist die Uhrzeit, zu der die Kommunikation der Netzwerkaktivität beendet wurde. Die Uhrzeit wird in UTC angezeigt.
PID
Dies ist die numerische Prozess-ID des Prozesses, der die DNS-Anforderung initiiert hat. Die PID wird vom
Windows
- oder -
macOS
-Gerät gemeldet, wenn der Agent im Sicherheitsmodus aktiviert ist.
Pfadname
Dies ist der Pfad zu der ausführbaren Datei, von der aus der Prozess ausgeführt wurde. Normalerweise handelt es sich dabei um den Pfad zur Datei svchost.exe. Der Pfad ist auf 1024 Zeichen beschränkt. Der Pfad wird vom
Windows
- oder
macOS
-Gerät gemeldet, wenn es im Sicherheitsmodus aktiviert ist.
Übertragen
Gibt an, wie viele Byte zwischen dem Ziel und dem
CylanceGATEWAY
-Agent ausgetauscht wurden. Dies wird als Gesamtanzahl der Bytes angezeigt, die auf den Server und den
CylanceGATEWAY
-Agent hochgeladen und heruntergeladen wurden.
Paketfluss
Dies ist die Anzahl der Pakete, die zwischen dem Ziel und dem
CylanceGATEWAY
-Agent gesendet wurden.
Benutzer
Dies ist der Benutzername, mit dem das Netzwerkereignis verknüpft ist. Sie können die Netzwerkereignisse nach dem
Active Directory
-Benutzernamen und -Anzeigenamen eines Benutzers filtern. Wenn Sie die Seite „Ereignisse“ exportieren, wird nur der Benutzername exportiert. Sie können auf den Benutzernamen klicken, um die mit dem Benutzer verknüpften Ereignisse anzuzeigen.
OS
Dies ist das Gerät, mit dem die Netzwerkaktivität gestartet wurde (z. B.
Android
,
iOS
,
macOS
oder
Windows
).
Modell
Dies ist das Gerätemodell (z. B.
iPhone
,
Samsung Galaxy
,
Google
Pixel
).
Gerät
Dies ist der Hostname des
macOS
- oder
Windows
Geräts des Benutzers (z. B. example.com).
Aktion
Dadurch wird ermittelt, ob das Netzwerkereignis basierend auf Ihren Netzwerkschutzeinstellungen und den ACL-Regeln, die Sie für die Umgebung festgelegt haben, zulässig oder blockiert ist. Weitere Informationen zu Aktionen finden Sie im Abschnitt „Aktion“.
Aktion
Verbindungsphase
Dies ist die Auswertungsphase, in der die Eigenschaften des Zugriffsversuchs mit den Zielen und Bedingungen jeder ACL-Regel verglichen wurden. Eine oder mehrere Phasen (z. B. während DNS-Suche, Verbindungsversuch und TLS-Handshake), die anhand der ACL-Regeln ausgewertet wurden, werden angezeigt.
Zeit (UTC)
Der Zeitpunkt, zu dem die Netzwerkaktivität anhand einer ACL-Regel ausgewertet wurde. Die Uhrzeit wird in UTC angezeigt.
Angewendete Regel
Dies ist der Name der ACL-Regel, die zum Zeitpunkt der Auswertung während der verschiedenen Phasen der ACL-Regeln angewendet wurde.
Aktion
Zeigt an, ob die Aktion während der ausgewerteten Phasen zulässig oder blockiert war.
Warnungen
Typ
Damit wird die Anomalie ermittelt, die durch die Netzwerkaktivität mit der entsprechenden angegebenen Netzwerkschutzstufe ausgelöst wurde. Weitere Informationen zu unterstützten Anomalien finden Sie unter Anzeigen der Netzwerkaktivität.
Zeit (UTC)
Die Zeit, zu der die Netzwerkaktivität die Warnung ausgelöst hat. Die Uhrzeit wird in UTC angezeigt.
Kategorie
Dies ist die Anomalie, die die Warnung ausgelöst hat. Weitere Informationen zu Anomalien finden Sie unter Anzeigen der Netzwerkaktivität.
Signatur
Dies ist die Signaturanomalie, die durch das Netzwerkereignis ausgelöst wurde.
Übertragen
Heruntergeladen
Dies ist die Gesamtanzahl der Datenbytes, die vom Ziel an den
CylanceGATEWAY
-Agent gesendet wurden.
Hochgeladen
Dies ist die Gesamtanzahl der Datenbytes, die vom Serverziel an den
CylanceGATEWAY
-Agent gesendet wurden.
TLS
TLS-Version
Dies ist die Version des TLS-Protokolls, das für die Verbindung mit dem Ziel verwendet wurde.
Client-ALPN
Dies sind die ALPN-Headerinformationen, die vom
CylanceGATEWAY
-Ziel an den Agent gesendet wurden.
Server-ALPN
Dies sind die Headerinformationen, die vom Ziel an den
CylanceGATEWAY
-Agent gesendet wurden.
SNI
Dies ist der Hostname des Ziels, mit dem der
CylanceGATEWAY
-Agent eine Verbindung herstellen wollte.
Aussteller
Dies ist das vom Ziel bereitgestellte Zertifikat.
Empfänger
Dies ist der Name der Regel, die zum Zeitpunkt der Auswertung während der verschiedenen Phasen (z. B. DNS-Suche, Verbindungsaufbau und TLS-Handshake) in Bezug auf die ACL-Regeln angewendet wurde.
Nicht gültig vor
Dies ist das Datum, vor dem das Zertifikat noch nicht gültig ist.
Nicht gültig nach
Dies ist das Datum, nach dem das Zertifikat nicht mehr gültig ist.
HTTP-Ereignisse
Dadurch werden die unverschlüsselten HTTP-Originaldatenflüsse im Nur-Text-Format zur Analyse und Bedrohungserkennung gemeldet. Beachten Sie, dass HTTP-Datenflüsse nicht entschlüsselt werden. Eine Zusammenfassung der Details der Anforderung und der Antwort enthält Folgendes:
  • HTTP-Methode und Anforderungs-URL (URI)
  • Benutzer-Agent
  • Inhaltstyp-Header
  • HTTP-Statuscode
Die ersten drei HTTP-Ereignisse der Gesamtzahl der Ereignisse werden angezeigt. Ein Badge zeigt die Gesamtzahl der Ereignisse an, die für das Ereignis protokolliert wurden. Klicken Sie auf
Alle HTTP-Ereignisse
, um alle Ereignisse auf der Seite „Ereignisübersicht“ anzuzeigen. Klicken Sie auf die einzelnen Ereignisse, um weitere Details anzuzeigen, z. B. Headerinformationen. Zurzeit können Sie innerhalb der HTTP-Ereignisse nicht suchen oder filtern. Die HTTP-Details sind auf die folgenden Einschränkungen beschränkt:
  • Der Headername zeigt bis zu 64 Byte an.
  • Der Headerwert zeigt bis zu 512 Byte an.
  • Die gesamte Headergröße pro Richtung (z. B. Name und Text) zeigt bis zu 4096 Byte an.
  • Der Anforderungs- und Antworttext zeigt bis zu 512 Byte an.
  • Anforderung und Antwort sind standardmäßig im base64-Format verschlüsselt. Sie können den entschlüsselten Textkörper anzeigen.
DNS
Dadurch werden die DNS-Abfrage und alle verknüpften Antwortdetails für das Ereignis gemeldet. Eine Zusammenfassung der Details der Anforderung und der Antwort enthält Folgendes:
  • Anforderungsdetails
    • Abfragename: Dies ist der RR-Name (Resource Requested) des DNS-Servers, den der
      CylanceGATEWAY
      -Agent abgefragt hat.
    • Abfragetyp: Der Typ der DNS-Abfrage (z. B. A-, AAAA- oder SRV-Datensatz), die an den DNS-Server gesendet wurde.
  • Antwortdetails
    • Name des Ressourcendatensatzes: Dies ist der Name des DNS-Servers, der auf die Abfrage vom
      CylanceGATEWAY
      -Agenten antwortet.
    • Typ des Ressourcendatensatzes: Dies ist der Typ der DNS-Antwort (z. B. A), die an den DNS-Server gesendet wurde.
    • Ressourcendaten: Hierbei handelt es sich um die Adresse des DNS-Servers, der die Antwort zurückgibt.
    • TTL: Die Zeit in Sekunden, die die angeforderten Ressourcendaten gültig bleiben.
Ein Badge zeigt die Gesamtzahl der Antworten für die DNS-Abfrage an.