Anzeigen der Seite „Ereignisdetails“
Sie können zusätzliche Metadaten und Details für ein protokolliertes Netzwerkereignis auf der Seite „Ereignisse“ anzeigen. Die angezeigten Metadaten hängen von verschiedenen Faktoren ab, wie dem Typ der Netzwerkanforderung und der Konfiguration der ACL-Regeln. Beispielsweise werden für DNS-Ereignisse DNS-spezifische Details und für TLS-Ereignisse TLS-spezifische Details angezeigt. Außerdem werden zusätzliche Metadaten angezeigt, wenn der Netzwerkschutz in einer ACL-Regel aktiviert ist. Sie können das Netzwerkereignis für andere Konsolenbenutzer freigeben, um die Ziele zu prüfen oder zu untersuchen, auf die der Benutzer versucht hat zuzugreifen. Konsolenbenutzer müssen über die entsprechenden Berechtigungen verfügen, um das freigegebene Ereignis anzeigen zu können. Klicken Sie auf , um den Link zu dem Ereignis zu kopieren.
Sie können die protokollierten Netzwerkereignisse mithilfe der folgenden Datenfilter filtern:
Filter | Beschreibung |
---|---|
Ereignisübersicht | |
Ereignis-ID | Dies ist eine eindeutige ID des Netzwerkereignisses für Ihren Mandanten. |
Quell-IP | Dies ist die private Gateway-IP, die dem Endpunkttunnel während des Ereignisses zugewiesen wurde. |
Quellport | Dies ist die Portnummer des Ziels. |
DNS-Abfragename | Dies ist der RR-Name (Resource Requested) des DNS-Servers, den der CylanceGATEWAY -Agent abgefragt hat. |
DNS-Abfragetyp | Dies ist der Typ der DNS-Abfrage (z. B. A-, AAAA- oder SRV-Datensatz), die an den DNS-Server gesendet wurde. |
Ziel | Dies ist das Ziel des Ereignisses. Die Ziel-IP-Adresse ist immer enthalten. Für das Ereignis kann auch der Name des Netzwerkdienstes oder ggf. der Hostname angezeigt werden. |
Zielport | Dies ist der Port des Ziels, auf das zugegriffen wurde. |
Private NAT-Quell-IP | Dies ist die Quell-IP-Adresse dieses Ereignisses, wie es den CylanceGATEWAY Connector für eines Ihrer privaten Netzwerke verlassen hat. Wenn die Quell-IP nicht verfügbar ist oder die Funktion nicht aktiviert wurde, zeigt der Filter „Unbekannt“ an.Sie müssen sicherstellen, dass die CylanceGATEWAY Connector -Systemzeit korrekt ist. Wenn die CylanceGATEWAY Connector -Systemzeit keine genaue Systemzeit enthält, werden die vom Connector gemeldeten NAT-Details möglicherweise nicht mit dem Netzwerkereignis in der BlackBerry Infrastructure abgeglichen. Standardmäßig verwendet CylanceGATEWAY Connector den Ubuntu-Zeitserver (ntp.ubuntu.com-Server) für die Zeitsynchronisierung oder Sie können einen benutzerdefinierten NTP-Server angeben. Wenn Sie einen Ubuntu -Zeitserver verwenden, stellen Sie sicher, dass Sie von Ihrem privaten Netzwerk aus darauf zugreifen können. Weitere Informationen finden Sie unter Konfigurieren von CylanceGATEWAY Connector.Der CylanceGATEWAY Connector sendet die aktualisierten NAT-Details jede Minute an den Bildschirm „Ereignisdetails“.Diese Funktion ist standardmäßig aktiviert. Wenn die Details der privaten NAT-Quelle nicht auf der Seite „Ereignisdetails“ in der Cylance -Konsole angezeigt werden, stellen Sie sicher, dass Sie die neueste Version von CylanceGATEWAY Connector installiert und den Connector neu gestartet haben. |
Privater NAT-Quellport | Dies ist der Quell-IP-Port dieses Ereignisses, wie es den CylanceGATEWAY Connector für eines Ihrer privaten Netzwerke verlassen hat. Wenn die Portnummer nicht verfügbar ist oder die Funktion nicht aktiviert wurde, zeigt der Filter „Unbekannt“ an.Diese Funktion ist standardmäßig aktiviert. Wenn die Details der privaten NAT-Quelle nicht auf der Seite „Ereignisdetails“ in der Cylance -Konsole angezeigt werden, stellen Sie sicher, dass Sie die neueste Version von CylanceGATEWAY Connector installiert und den Connector neu gestartet haben. |
BlackBerry -Quell-IP | Dies ist die IP-Adresse dieses Ereignisses, wie es die BlackBerry Infrastructure verlassen hat. Diese BlackBerry -Quell-IP ist nicht für Datenflüsse verfügbar, die den CylanceGATEWAY -Tunnel nicht verwenden (z. B. Sicherheitsmodus). |
Tunnel-Quell-IP | Dies ist die IP-Adresse des Endpunkts, wie sie von der BlackBerry Infrastructure gesehen wird, wenn er den CylanceGATEWAY -Tunnel erreicht. |
Protokoll | Dies ist das Protokoll (Schicht 4), mit dem das Netzwerkereignis auf das Ziel zugegriffen hat. Bei dem Protokoll kann es sich um UDP oder TCP handeln. |
App-Protokoll | Dies ist das Protokoll (Schicht 6 oder 7), wie TLS, DNS oder HTTP, das für die Kommunikation verwendet wurde. |
Zugriffsart | Dies ist die Zugriffsart (z. B. Sicherheitsmodus oder Gateway-Tunnel), die das Netzwerkereignis für den Zugriff auf das Ziel verwendet hat. |
Netzwerkroute | Die öffentliche oder private Datenverkehrsverbindung, die zur Weiterleitung des Datenverkehrs verwendet wurde. Bei privaten Verbindungen können Sie nach dem Namen der Connector-Gruppe und nach jedem CylanceGATEWAY Connector filtern. |
Connector | Dies ist der CylanceGATEWAY Connector , mit dem das Netzwerkereignis verknüpft ist. Um weitere Informationen über den Connector anzuzeigen, klicken Sie auf den Connector-Namen. |
Kategorie | Dies ist die Kategorie, die auf das Ereignis angewendet wird. Wenn CylanceGATEWAY beispielsweise das Ziel als möglicherweise schädliche Bedrohungen enthaltend identifiziert hat, kann als Kategorie „Dynamisches Risiko“ angezeigt werden. Weitere Informationen zur Kategorie „Dynamisches Risiko“ finden Sie unter Konfigurieren des Netzwerkschutzes in der Dokumentation zur Einrichtung. Das Ziel kann auch auf Grundlage der darin enthaltenen Inhalte wie „Computer- und Informationstechnologie“ kategorisiert werden. Weitere Informationen zu Kategorien für Inhalte von Zielen finden Sie unter Inhaltskategorien von Zielen in der Dokumentation zur Einrichtung. |
Unterkategorie | Dies ist die Beschreibung der Unterkategorie des Netzwerkdatenverkehrs für die dem Ziel zugeordnete Kategorie. Weitere Informationen zu den Unterkategorien, die möglicherweise angezeigt werden, wenn die Kategorie „Dynamisches Risiko“ lautet, finden Sie unter Konfigurieren des Netzwerkschutzes in der Dokumentation zur Einrichtung. Weitere Informationen zu den Unterkategorien, die angezeigt werden können, wenn es sich bei der Kategorie um eine Inhaltskategorie von Zielen handelt, finden Sie unter Inhaltskategorien von Zielen in der Dokumentation zur Einrichtung. |
Startzeit (UTC) | Dies ist die Uhrzeit, zu der die Kommunikation der Netzwerkaktivität gestartet wurde. Die Uhrzeit wird in UTC angezeigt. |
Endzeit (UTC) | Dies ist die Uhrzeit, zu der die Kommunikation der Netzwerkaktivität beendet wurde. Die Uhrzeit wird in UTC angezeigt. |
PID | Dies ist die numerische Prozess-ID des Prozesses, der die DNS-Anforderung initiiert hat. Die PID wird vom Windows - oder - macOS -Gerät gemeldet, wenn der Agent im Sicherheitsmodus aktiviert ist. |
Pfadname | Dies ist der Pfad zu der ausführbaren Datei, von der aus der Prozess ausgeführt wurde. Normalerweise handelt es sich dabei um den Pfad zur Datei svchost.exe. Der Pfad ist auf 1024 Zeichen beschränkt. Der Pfad wird vom Windows - oder macOS -Gerät gemeldet, wenn es im Sicherheitsmodus aktiviert ist. |
Übertragen | Gibt an, wie viele Byte zwischen dem Ziel und dem CylanceGATEWAY -Agent ausgetauscht wurden. Dies wird als Gesamtanzahl der Bytes angezeigt, die auf den Server und den CylanceGATEWAY -Agent hochgeladen und heruntergeladen wurden. |
Paketfluss | Dies ist die Anzahl der Pakete, die zwischen dem Ziel und dem CylanceGATEWAY -Agent gesendet wurden. |
Benutzer | Dies ist der Benutzername, mit dem das Netzwerkereignis verknüpft ist. Sie können die Netzwerkereignisse nach dem Active
Directory -Benutzernamen und -Anzeigenamen eines Benutzers filtern. Wenn Sie die Seite „Ereignisse“ exportieren, wird nur der Benutzername exportiert. Sie können auf den Benutzernamen klicken, um die mit dem Benutzer verknüpften Ereignisse anzuzeigen. |
OS | Dies ist das Gerät, mit dem die Netzwerkaktivität gestartet wurde (z. B. Android , iOS , macOS oder Windows ). |
Modell | Dies ist das Gerätemodell (z. B. iPhone , Samsung Galaxy , Google Pixel ). |
Gerät | Dies ist der Hostname des macOS - oder Windows Geräts des Benutzers (z. B. example.com). |
Aktion | Dadurch wird ermittelt, ob das Netzwerkereignis basierend auf Ihren Netzwerkschutzeinstellungen und den ACL-Regeln, die Sie für die Umgebung festgelegt haben, zulässig oder blockiert ist. Weitere Informationen zu Aktionen finden Sie im Abschnitt „Aktion“. |
Aktion | |
Verbindungsphase | Dies ist die Auswertungsphase, in der die Eigenschaften des Zugriffsversuchs mit den Zielen und Bedingungen jeder ACL-Regel verglichen wurden. Eine oder mehrere Phasen (z. B. während DNS-Suche, Verbindungsversuch und TLS-Handshake), die anhand der ACL-Regeln ausgewertet wurden, werden angezeigt. |
Zeit (UTC) | Der Zeitpunkt, zu dem die Netzwerkaktivität anhand einer ACL-Regel ausgewertet wurde. Die Uhrzeit wird in UTC angezeigt. |
Angewendete Regel | Dies ist der Name der ACL-Regel, die zum Zeitpunkt der Auswertung während der verschiedenen Phasen der ACL-Regeln angewendet wurde. |
Aktion | Zeigt an, ob die Aktion während der ausgewerteten Phasen zulässig oder blockiert war. |
Warnungen | |
Typ | Damit wird die Anomalie ermittelt, die durch die Netzwerkaktivität mit der entsprechenden angegebenen Netzwerkschutzstufe ausgelöst wurde. Weitere Informationen zu unterstützten Anomalien finden Sie unter Anzeigen der Netzwerkaktivität. |
Zeit (UTC) | Die Zeit, zu der die Netzwerkaktivität die Warnung ausgelöst hat. Die Uhrzeit wird in UTC angezeigt. |
Kategorie | Dies ist die Anomalie, die die Warnung ausgelöst hat. Weitere Informationen zu Anomalien finden Sie unter Anzeigen der Netzwerkaktivität. |
Signatur | Dies ist die Signaturanomalie, die durch das Netzwerkereignis ausgelöst wurde. |
Übertragen | |
Heruntergeladen | Dies ist die Gesamtanzahl der Datenbytes, die vom Ziel an den CylanceGATEWAY -Agent gesendet wurden. |
Hochgeladen | Dies ist die Gesamtanzahl der Datenbytes, die vom Serverziel an den CylanceGATEWAY -Agent gesendet wurden. |
TLS | |
TLS-Version | Dies ist die Version des TLS-Protokolls, das für die Verbindung mit dem Ziel verwendet wurde. |
Client-ALPN | Dies sind die ALPN-Headerinformationen, die vom CylanceGATEWAY -Ziel an den Agent gesendet wurden. |
Server-ALPN | Dies sind die Headerinformationen, die vom Ziel an den CylanceGATEWAY -Agent gesendet wurden. |
SNI | Dies ist der Hostname des Ziels, mit dem der CylanceGATEWAY -Agent eine Verbindung herstellen wollte. |
Aussteller | Dies ist das vom Ziel bereitgestellte Zertifikat. |
Empfänger | Dies ist der Name der Regel, die zum Zeitpunkt der Auswertung während der verschiedenen Phasen (z. B. DNS-Suche, Verbindungsaufbau und TLS-Handshake) in Bezug auf die ACL-Regeln angewendet wurde. |
Nicht gültig vor | Dies ist das Datum, vor dem das Zertifikat noch nicht gültig ist. |
Nicht gültig nach | Dies ist das Datum, nach dem das Zertifikat nicht mehr gültig ist. |
HTTP-Ereignisse | Dadurch werden die unverschlüsselten HTTP-Originaldatenflüsse im Nur-Text-Format zur Analyse und Bedrohungserkennung gemeldet. Beachten Sie, dass HTTP-Datenflüsse nicht entschlüsselt werden. Eine Zusammenfassung der Details der Anforderung und der Antwort enthält Folgendes:
Die ersten drei HTTP-Ereignisse der Gesamtzahl der Ereignisse werden angezeigt. Ein Badge zeigt die Gesamtzahl der Ereignisse an, die für das Ereignis protokolliert wurden. Klicken Sie auf Alle HTTP-Ereignisse , um alle Ereignisse auf der Seite „Ereignisübersicht“ anzuzeigen. Klicken Sie auf die einzelnen Ereignisse, um weitere Details anzuzeigen, z. B. Headerinformationen. Zurzeit können Sie innerhalb der HTTP-Ereignisse nicht suchen oder filtern. Die HTTP-Details sind auf die folgenden Einschränkungen beschränkt:
|
DNS | Dadurch werden die DNS-Abfrage und alle verknüpften Antwortdetails für das Ereignis gemeldet. Eine Zusammenfassung der Details der Anforderung und der Antwort enthält Folgendes:
Ein Badge zeigt die Gesamtzahl der Antworten für die DNS-Abfrage an. |