Datenfluss: Erkennung und Reaktion auf Ereignisse sowie Speicherung von Ereignisdaten (CylanceOPTICS 3.x und höher) Skip Navigation

Datenfluss: Erkennung und Reaktion auf Ereignisse sowie Speicherung von Ereignisdaten (
CylanceOPTICS
3.x und höher)

Datenfluss, der zeigt, wie CylanceOPTICS Ereignisse erkennt und darauf reagiert und Ereignisse in der Cloud speichert
  1. Ein Administrator verwendet die Verwaltungskonsole, um Erkennungsregeln zu konfigurieren und die Regeln einer Geräterichtlinie zuzuweisen.
  2. Die
    CylanceOPTICS
    -Cloud-Dienste senden die Erkennungsregeln über eine sichere WebSocket-Verbindung an ein Gerät mit dem
    CylanceOPTICS
    -Agenten. Die Regeldaten enthalten auch die für das jeweilige Ereignis konfigurierten Reaktionen (z. B. Abmelden aller Benutzer, Aussetzen von Prozessen usw.).
  3. Der
    CylanceOPTICS
    -Agent bezieht die Erkennungsregeln in die Context Analysis Engine (CAE) mit ein, die zur Analyse und Korrelation von Ereignissen verwendet wird.
  4. Die
    CylanceOPTICS
    -Sensoren erkennen ein Ereignis.
  5. Die CAE bestimmt, ob das Ereignis eine Erkennungsregel erfüllt. Falls ja, passiert Folgendes:
    • Wenn die Reaktion auf das Ereignis bereits für den
      CylanceOPTICS
      -Agenten konfiguriert ist, reagiert der Agent entsprechend.
    • Wenn der Agent zusätzliche Daten für die Reaktion benötigt (z. B. ein Playbook-Paket erforderlich ist, das das Gerät noch nicht hat), sendet der Agent die Erkennungsdaten über eine sichere WebSocket-Verbindung an die
      CylanceOPTICS
      -Cloud-Dienste. Die
      CylanceOPTICS
      -Cloud-Dienste verarbeiten die Erkennung und stellen die Daten bereit, die der Agent zur Ausführung der Antwort benötigt.
  6. Der Agent priorisiert die Ereignisdaten und sendet sie über einen dedizierten Ereigniskanal mithilfe einer sicheren TLS-Verbindung an die
    CylanceOPTICS
    -Cloud-Dienste. Die
    CylanceOPTICS
    -Cloud-Dienste empfangen und verarbeiten die Ereignisdaten und speichern sie in der sicheren
    CylanceOPTICS
    -Cloud-Datenbank.
  7. Ein Administrator kann mithilfe der Verwaltungskonsole Nachweisdaten anfordern oder eine InstaQuery-, erweiterte Abfrage- oder Fokusansicht-Anforderung initiieren. Die Verwaltungskonsole interagiert mit den
    CylanceOPTICS
    -Cloud-Diensten mithilfe von HTTP über TLS.
  8. Die
    CylanceOPTICS
    -Cloud-Dienste validieren und verarbeiten die Anforderung, rufen die angeforderten Daten aus der
    CylanceOPTICS
    -Cloud-Datenbank ab und senden die Daten an die Verwaltungskonsole zurück.
  9. Die Erkennungsdaten, das Abfrageergebnis oder die Fokusdaten werden in der Verwaltungskonsole angezeigt.