Cylance Endpoint Security-Anforderungen
Anmelden an der Verwaltungskonsole
- Benutzerdefinierte Authentifizierung
- Erweiterte Authentifizierungsanmeldung
  - Mit der erweiterten Authentifizierung bei der Cylance Endpoint Security-Verwaltungskonsole anmelden
  - Generieren einer neuen SSO-Callback-URL
Installieren des BlackBerry Connectivity Node
Verknüpfung mit Ihrem Unternehmensverzeichnis
Einrichten von Administratoren
Hinzufügen von Benutzern und Geräten
Registrieren von CylancePROTECT Mobile- und CylanceGATEWAY-Benutzern
- Erstellen einer Registrierungsrichtlinie
- Unterstützte Variablen für Registrierungs-E-Mails
Einrichten von Zonen für die Verwaltung von CylancePROTECT Desktop und CylanceOPTICS
- Hinzufügen und Konfigurieren von Zonen
Einrichten von CylancePROTECT Desktop
Einrichten von CylancePROTECT Mobile
Einrichten von CylanceOPTICS
- Installieren des CylanceOPTICS-Agenten auf Geräten
  - Konfigurationsanforderungen für macOS 11.x und höher
  - Betriebssystembefehle für den CylanceOPTICS-Agenten
- Aktivieren und Konfigurieren von CylanceOPTICS
Einrichten von CylanceGATEWAY
Einrichten von CylanceAVERT
Verwalten von Updates für die CylancePROTECT Desktop- und CylanceOPTICS-Agenten
- Verwalten von Updates für die CylancePROTECT Desktop- und CylanceOPTICS-Agenten
Verbinden von Cylance Endpoint Security mit externen Diensten
- Integrieren von Cylance Endpoint Security mit Okta
  - Voraussetzungen für das Hinzufügen eines Okta-Connectors
  - Hinzufügen und Konfigurieren eines Okta-Connector
- Integrieren von Cylance Endpoint Security mit Mimecast
  - Voraussetzungen für das Hinzufügen eines Mimecast-Connectors
  - Hinzufügen und Konfigurieren eines Mimecast-Connectors
Anhang: Best Practices für die Bereitstellung von CylancePROTECT Desktop auf virtuellen Maschinen unter Windows

Speicherschutz-Verletzungstypen

Exploitation-Verletzungstypen

Verletzungstyp	Beschreibung	Unterstütztes Betriebssystem
Stack Pivot	Der Stack für einen Thread wurde durch einen anderen Stack ersetzt. Im Allgemeinen weist das System nur einen einzelnen Stack für einen Thread zu. Ein Angreifer könnte einen anderen Stack verwenden, um die Ausführung so zu steuern, dass sie nicht von der Datenausführungsverhinderung (DEP, Data Execution Prevention) blockiert wird.	Windows macOS * Linux
Stackschutz	Der Speicherschutz des Thread-Stacks wurde geändert, um die Ausführungsberechtigung zu aktivieren. Der Stapelspeicher sollte nicht ausführbar sein. Denn dies könnte bedeuten, dass ein Angreifer sich darauf vorbereitet, im Stapelspeicher gespeicherten bösartigen Code als Teil eines Exploits auszuführen, ein Versuch, der andernfalls durch die Datenausführungsverhinderung (DEP, Data Execution Prevention) blockiert werden würde.	Windows macOS * Linux
Codeüberschreibung	Code, der sich im Speicher eines Prozesses befindet, wurde mit einer Technik geändert, die auf Versuche hinweisen kann, die Datenausführungsverhinderung (DEP) zu umgehen.	Windows
RAM-Scraping	Ein Prozess versucht, gültige Magnetstreifenspurdaten von einem anderen Prozess zu lesen. In der Regel wird dieser Verstoß mit POS-Systemen (Point of Sale Systems) in Verbindung gebracht.	Windows
Schädliche Payload	Es wurde ein generischer Shellcode und eine Payload im Zusammenhang mit Exploitation erkannt. Diese Art der Speicherschutzverletzung unterstützt DLL-Ausschlüsse.	Windows
Verletzungstypen, die mit Agent 2.1.1580 oder höher verfügbar sind
Systemaufrufüberwachung	Es wurde ein Systemaufruf bei einer Anwendung oder einem Betriebssystem erkannt.	Windows
Direkte Systemaufrufe	Es wurde ein Versuch erkannt, unauffällig bösartigen Code in andere Prozesse zu injizieren. Dieser Verletzungstyp kann nicht blockiert werden.	Windows
System-DLL-Überschreibung	Es wurde ein Versuch erkannt, eine System-DLL zu überschreiben. Diese Art der Speicherschutzverletzung unterstützt DLL-Ausschlüsse.	Windows
Gefährliches COM-Objekt	Es wurde schädlicher Code erkannt, der auf ein Component Object Model (COM)-Objekt verweist.	Windows
Injection über APC	Ein Prozess, der einen asynchronen Prozeduraufruf (APC) oder einen Start-Remote-Thread verwendet, um LoadLibrary oder eine ähnliche Funktion aufzurufen und dadurch beliebigen Code in den Zielprozess zu injizieren, wurde erkannt. Wenn diese Richtlinie auf „Warnung“ gesetzt ist, werden Warnungen sowohl für ungefährliche als auch für schädliche Injektionen für Anwendungen auf Windows -Geräten angezeigt. Die Warnung meldet die Anwendung, die die Injektion erhalten hat, aber Sie müssen die ausführbare Quelle bestimmen, die die Warnung verursacht hat. Informationen zum Sammeln der erforderlichen Daten, mit denen Sie feststellen können, ob eine Injektion gültig oder schädlich ist, finden Sie unter support.blackberry.com in KB 92422. Wenn diese Richtlinie so eingestellt ist, dass die Anwendung blockiert oder beendet wird, verhindert sie, dass gemeldete Anwendungen auf dem Gerät ausgeführt werden, selbst wenn sie unschädlich sind. Dadurch können die alltäglichen Aktivitäten eines Benutzers beeinträchtigt werden.	Windows
Verletzungstypen, die mit Agent 3.0.1000 oder höher verfügbar sind
Gefährliche VBA-Makros	Ein Makro, das gefährliche Implementierungen enthält, wurde erkannt. Diese Einstellung schützt Geräte mit Agent-Version 2.1.1580 und höher vor schädlichen Makros. Die Ausschlüsse, die in der Speicherschutzrichtlinie angegeben sind, werden unter Agent-Version 3.0 und höher unterstützt. Um Geräte mit Agent-Version 2.1.1578 und früher vor schädlichen Makros zu schützen, aktivieren und konfigurieren Sie die Skriptsteuerungsrichtlinie und die entsprechenden Ausschlüsse.	Windows

* Nur unter

macOS

Catalina und früheren Versionen unterstützt.

Prozessinjektion-Verletzungstypen

Verletzungstyp	Beschreibung	Unterstütztes Betriebssystem
Remote-Speicherzuweisung	Ein Prozess hat in einem anderen Prozess Speicher zugewiesen. Die meisten Zuweisungen erfolgen nur innerhalb desselben Prozesses. Dies kann auf einen Versuch hindeuten, Code oder Daten in einen anderen Prozess einzuschleusen, um eine schädliche Präsenz auf einem System zu verstärken.	Windows macOS
Remote-Speicherzuordnung	Ein Prozess hat Code oder Daten in einen anderen Prozess eingebracht. Dies kann ein Hinweis darauf sein, dass versucht wird, Code in einem anderen Prozess auszuführen und dadurch eine schädliche Präsenz zu verstärken.	macOS
Remote-Schreiben in Speicher	Ein Prozess hat Speicher in einem anderen Prozess geändert. Dies kann auf einen Versuch hindeuten, Code oder Daten in zuvor zugewiesenem Speicher zu speichern (siehe OutOfProcessAllocation ). Es ist jedoch möglich, dass ein Angreifer versucht, den vorhandenen Speicher zu überschreiben, um die Ausführung zu einem schädlichen Zweck umzuleiten.	Windows macOS
Remote-PE-Schreibvorgang in Speicher	Ein Prozess hat den Speicher in einem anderen Prozess so geändert, dass er ein ausführbares Image enthält. Im Allgemeinen weist dies darauf hin, dass ein Angreifer versucht, Code auszuführen, ohne diesen zuerst auf den Datenträger zu schreiben.	Windows
Remote-Überschreiben von Code	Ein Prozess hat den ausführbaren Speicher in einem anderen Prozess geändert. Unter normalen Bedingungen wird der ausführbare Speicher nicht geändert, insbesondere nicht durch einen anderen Prozess. Dies weist in der Regel auf einen Versuch hin, die Ausführung in einen anderen Prozess umzuleiten.	Windows
Remote-Aufhebung der Speicherzuordnung	Ein Prozess hat eine ausführbare Windows -Datei aus dem Speicher eines anderen Prozesses entfernt. Dies kann ein Hinweis darauf sein, dass das ausführbare Image durch eine geänderte Kopie ersetzt werden soll, um die Ausführung umzuleiten.	Windows macOS
Remote-Thread-Erstellung	Ein Prozess hat einen neuen Thread in einem anderen Prozess erstellt. Die Threads eines Prozesses werden in der Regel nur von demselben Prozess erstellt. Diese Methode wird in der Regel von einem Angreifer verwendet, um eine schädliche Präsenz zu aktivieren, die in einen anderen Prozess injiziert worden ist.	Windows macOS *
Remote-APC-Planung	Ein Prozess hat die Ausführung des Threads eines anderen Prozesses umgeleitet. Diese Methode wird in der Regel von einem Angreifer verwendet, um eine schädliche Präsenz zu aktivieren, die in einen anderen Prozess injiziert worden ist.	Windows
DYLD-Injektion	Es wurde eine Umgebungsvariable festgelegt, die dazu führt, dass eine Shared Library in einen gestarteten Prozess eingeschleust wird. Angreifer können Anwendungslisten wie Safari ändern oder Anwendungen durch Bash-Skripte ersetzen, was dazu führt, dass ihre Module automatisch geladen werden, wenn eine Anwendung gestartet wird.	macOS * Linux
Verletzungstypen, die mit Agent 2.1.1580 oder höher verfügbar sind
Doppelgänger	Ein neuer, bösartiger Prozess wurde von einer Datei gestartet, die noch nicht in das Dateisystem geschrieben wurde. Die Dateischreibtransaktion wird in der Regel nach dem Prozessstart zurückgesetzt (sodass die schädliche Datei nie auf der Festplatte gespeichert wird). Beim Versuch, die Datei auf der Festplatte zu scannen, wird nur die unveränderte ungefährliche Datei gefunden.	Windows
Gefährliche Umgebungsvariable	Es wurde eine Umgebungsvariable erkannt, mit der möglicherweise schädlicher Code verknüpft ist.	Windows

* Nur unter

macOS

Catalina und früheren Versionen unterstützt.

Escalation-Verletzungstypen

Verletzungstyp	Beschreibung	Unterstütztes Betriebssystem
LSASS-Lesen	Auf den Speicher des Prozesses Windows Local Security Authority wurde in einer Weise zugegriffen, die auf einen Versuch hindeutet, an die Kennwörter der Benutzer zu gelangen.	Windows
Nullzuteilung	Es wurde eine Nullseite zugewiesen. Der Speicherbereich ist in der Regel reserviert, kann aber unter bestimmten Umständen zugewiesen werden. Bei Angriffen kann dies verwendet werden, um eine Berechtigungseskalation einzurichten, indem ein bekannter Null-Dereferenz-Exploit genutzt wird, in der Regel im Kernel.	Windows macOS *
Verletzungstypen, die mit Agent 2.1.1580 oder höher verfügbar sind
Änderungen der Speicherberechtigung in anderen Prozessen	Ein Verletzungsprozess hat Speicherzugriffsberechtigungen innerhalb eines anderen Prozesses geändert. Dies geschieht in der Regel, um Code in einen anderen Prozess zu injizieren und den Speicher durch Ändern der Speicherzugriffsberechtigungen ausführbar zu machen.	Windows
Änderungen der Speicherberechtigung in untergeordneten Prozessen	Ein Verletzungsprozess hat einen untergeordneten Prozess erstellt und die Speicherzugriffsberechtigungen in diesem untergeordneten Prozess geändert.	Windows
Gestohlenes Systemtoken	Ein Zugriffstoken wurde geändert, damit ein Benutzer Sicherheitszugriffskontrollen umgehen kann.	Windows
Prozessstart mit geringer Integrität	Ein Prozess wurde so angepasst, dass er mit einem niedrigen Integritätsniveau ausgeführt wird.	Windows

* Nur unter

macOS

Catalina und früheren Versionen unterstützt.

Section:

Speicheraktionen