Skip Navigation

CylanceOPTICS
optionale Sensoren

Sie können die folgenden
CylanceOPTICS
-Sensoren aktivieren, um zusätzliche Daten zu erfassen, die über die standardmäßigen Prozess-, Datei-, Netzwerk-, Registrierungsereignisse hinausgehen. Die Aktivierung optionaler Sensoren kann sich auf die Leistung und die Ressourcennutzung auf Geräten sowie auf die in der
CylanceOPTICS
-Datenbank gespeicherte Datenmenge auswirken.
BlackBerry
empfiehlt die Aktivierung optionaler Sensoren bei einer kleinen Anzahl von Geräten, um die Auswirkungen zu beurteilen.
Die optionalen Sensoren werden nur für 64-Bit-Betriebssysteme unterstützt, wenn nicht anders dargestellt.
Sensor
Beschreibung
Bewährte Verfahren
Notizen
Erweiterte Scripting-Sichtbarkeit
Der
CylanceOPTICS
-Agent zeichnet Befehle, Argumente, Skripte und Inhalte von JScript-, PowerShell- (Konsole und integrierte Scripting-Umgebung), VBScript- und VBA-Makroskriptausführungen auf.
Signal-Rausch-Verhältnis: hoch
Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering bis moderat
Empfohlen für:
  • Desktops
  • Laptops
  • Server
Nicht empfohlen für
Microsoft Exchange
- und E-Mail-Server.
  • Von
    Microsoft
    bereitgestellte Tools und andere Drittanbieterlösungen können bei der Ausführung von Vorgängen stark auf PowerShell angewiesen sein.
  • Um eine optimale Datenspeicherung sicherzustellen, empfiehlt
    BlackBerry
    Erkennungsausnahmen für vertrauenswürdige Tools zu konfigurieren, die PowerShell intensiv nutzen.
Erweiterte WMI-Sichtbarkeit
Der
CylanceOPTICS
-Agent zeichnet zusätzliche WMI-Attribute und -Parameter auf.
Signal-Rausch-Verhältnis: hoch
Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering
Empfohlen für:
  • Desktops
  • Laptops
  • Server
  • Einige Hintergrund- und Wartungsprozesse von
    Windows
    nutzen WMI zur Planung von Aufgaben oder Ausführung von Befehlen, was zu plötzlicher hoher WMI-Aktivität führen kann.
  • BlackBerry
    empfiehlt, die WMI-Nutzung in Ihrer Umgebung zu analysieren, bevor Sie diesen Sensor aktivieren.
API-Sensor
Der
CylanceOPTICS
-Agent überwacht eine identifizierte Gruppe von
Windows
API-Aufrufen.
Signal-Rausch-Verhältnis: moderat
Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Die Aktivierung dieses Sensors kann sich auf die CPU-Leistung eines Geräts auswirken.
Empfohlen für:
  • Desktops
  • Laptops
  • Server
  • Unterstützt auf x86- oder x64-
    Windows
    -Betriebssystemen.
  • Erfordert
    CylancePROTECT Desktop
    -Agent Version 3.0.1003 oder höher.
  • Erfordert
    CylanceOPTICS
    -Agent Version von 3.2 oder höher.
COM-Objekt-Sichtbarkeit
Der
CylanceOPTICS
-Agent überwacht COM-Schnittstellen- und API-Aufrufe, um schädliche Verhaltensweisen wie eine geplante Aufgabenerstellung zu erkennen.
Signal-Rausch-Verhältnis: hoch
Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Die Aktivierung dieses Sensors kann sich auf die CPU-Leistung auswirken.
Empfohlen für:
  • Desktops
  • Laptops
Nicht für Server empfohlen.
  • Nur
    Windows
    .
  • Erfordert
    CylancePROTECT Desktop
    -Agenten Version 3.2 oder höher.
  • Erfordert
    CylanceOPTICS
    -Agent Version von 3.3 oder höher.
Cryptojacking-Erkennung
Der
CylanceOPTICS
-Agent überwacht die
Intel
-CPU-Aktivität mithilfe von Hardwareregistern auf potenzielle Cryptomining- und Cryptohacking-Aktivitäten.
Signal-Rausch-Verhältnis: moderat
Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering
Unterstützt für:
  • Windows
     10 x64
  • Intel
    Gen 6 bis 10
BlackBerry
empfiehlt, diesen Sensor zu deaktivieren, da momentan Stabilitätsprobleme untersucht werden, die dieser Sensor mit dem Betriebssystem des Geräts verursachen kann.
  • Nicht unterstützt für virtuelle Maschinen.
  • Nicht unterstützt für
    Intel
    -Prozessoren der Generation 11 oder höher.
    BlackBerry
    rät davon ab, diesen Sensor für Gen 11 oder höher zu aktivieren.
DNS-Sichtbarkeit
Der
CylanceOPTICS
-Agent zeichnet DNS-Anforderungen, Antworten und zugehörige Datenfelder wie Domänenname, aufgelöste Adressen und Datensatztyp auf.
Signal-Rausch-Verhältnis: moderat
Potenzielle Auswirkungen auf Datenspeicherung und Leistung: moderat
Empfohlen für:
  • Desktops
  • Laptops
Nicht empfohlen für DNS-Server.
  • Beachten Sie, dass dieser Sensor erhebliche Datenmengen erfassen kann. Er kann aber auch Einblicke in Daten liefern, die mit anderen Tools nur schwer erfasst werden können.
  • Um eine optimale Datenspeicherung sicherzustellen, empfiehlt
    BlackBerry
    , Erkennungsausnahmen für vertrauenswürdige Tools zu konfigurieren, die Cloud-basierte Dienste intensiv nutzen.
Erweiterte Dateilesesichtbarkeit
Der
CylanceOPTICS
-Agent überwacht Dateilesevorgänge innerhalb einer angegebenen Verzeichnisgruppe.
Signal-Rausch-Verhältnis: moderat
Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering
Empfohlen für:
  • Desktops
  • Laptops
  • Server
  • Einige Sicherheitstools von Drittanbietern verwenden möglicherweise die
    Windows
    -APIs, von denen dieser Sensor Daten erfasst. In einigen Fällen kann es sein, dass
    CylanceOPTICS
    irrelevante oder vertrauenswürdige Daten aufzeichnet.
  • Um eine optimale Datenspeicherung sicherzustellen und ein besseres Signal-Rausch-Verhältnis zu ermöglichen, empfiehlt
    BlackBerry
    , Erkennungsausnahmen für vertrauenswürdige Sicherheitstools zu konfigurieren.
Erweitertes Parsing übertragbarer ausführbarer Dateien
Der
CylanceOPTICS
-Agent zeichnet Datenfelder auf, die mit übertragbaren ausführbaren Dateien verknüpft sind, z. B. Dateiversion, Importfunktionen und Packertypen.
Signal-Rausch-Verhältnis: moderat
Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering
Empfohlen für:
  • Desktops
  • Laptops
  • Server
  • Die von diesem Sensor erfassten Daten werden zur Unterstützung der erweiterten Analyse übertragbarer ausführbarer Dateien an die Kontextanalyse-Engine weitergeleitet und nicht in der
    CylanceOPTICS
    -Datenbank gespeichert.
  • Die Aktivierung dieses Sensors wirkt sich kaum oder gar nicht auf die Datenspeicherung von
    CylanceOPTICS
    aus.
  • Wenn Sie eine Erkennungsregel hinzufügen und aktivieren, die Zeichenfolgenressourcen analysiert, verbraucht der
    CylanceOPTICS
    -Agent möglicherweise erhebliche CPU- und Speicherressourcen.
Erweiterte Prozess- und Hooking-Sichtbarkeit
Der
CylanceOPTICS
-Agent zeichnet Prozessinformationen der Win32-API und von Kernel-Audit-Meldungen auf, um Formen von Prozess-Hooking und -Injektion zu erkennen.
Signal-Rausch-Verhältnis: moderat
Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering
Empfohlen für:
  • Desktops
  • Laptops
  • Server
  • Einige Sicherheitstools von Drittanbietern verwenden möglicherweise die
    Windows
    -APIs, von denen dieser Sensor Daten erfasst. In einigen Fällen kann es sein, dass
    CylanceOPTICS
    irrelevante oder vertrauenswürdige Daten aufzeichnet.
  • Um eine optimale Datenspeicherung sicherzustellen und ein besseres Signal-Rausch-Verhältnis zu ermöglichen, empfiehlt
    BlackBerry
    , Erkennungsausnahmen für vertrauenswürdige Sicherheitstools zu konfigurieren.
HTTP-Sichtbarkeit
Der
CylanceOPTICS
-Agent verfolgt Windows HTTP-Transaktionen, einschließlich Event Tracing für Windows, WinINet-APIs und WinHTTP-APIs.
Signal-Rausch-Verhältnis: hoch
Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Die Aktivierung dieses Sensors kann sich auf die CPU-Leistung auswirken.
Empfohlen für:
  • Desktops
  • Laptops
Nicht für Server empfohlen.
  • Nur
    Windows
    .
  • Erfordert
    CylancePROTECT Desktop
    -Agenten Version 3.2 oder höher.
  • Erfordert
    CylanceOPTICS
    -Agent Version von 3.3 oder höher.
Module-Load-Sichtbarkeit
Der
CylanceOPTICS
-Agent überwacht die Module-Loads.
Signal-Rausch-Verhältnis: hoch
Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Die Aktivierung dieses Sensors kann sich auf die CPU-Leistung auswirken.
Empfohlen für:
  • Desktops
  • Laptops
  • Server
  • Nur
    Windows
    .
  • Erfordert
    CylancePROTECT Desktop
    -Agenten Version 3.2 oder höher.
  • Erfordert
    CylanceOPTICS
    -Agent Version von 3.3 oder höher.
Sichtbarkeit private Netzwerkadresse
Der
CylanceOPTICS
-Agent erfasst Netzwerkverbindungen innerhalb der RFC 1918- und RFC 4193-Adressräume.
Signal-Rausch-Verhältnis: gering
Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering
Empfohlen für Desktops.
Nicht empfohlen für:
  • DNS-Server
  • Mit wenigen oder sehr wenigen Ressourcen ausgestattete Systeme
  • Systeme, die RDP oder andere Remote-Zugriff-Software verwenden
  • Dieser Sensor erfasst erhebliche Datenmengen und kann sich auf die Dauer der Datenspeicherung in der
    CylanceOPTICS
    -Datenbank auswirken.
  • BlackBerry
    empfiehlt, diesen Sensor nur in Umgebungen zu aktivieren, in denen vollständige Sichtbarkeit bei der Adresskommunikation im privaten Netzwerk erforderlich ist.
Windows Advanced Audit-Sichtbarkeit
Der
CylanceOPTICS
-Agent überwacht zusätzliche
Windows
-Ereignistypen und -Kategorien.
Signal-Rausch-Verhältnis: moderat
Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering
Dieser Sensor ermöglicht die Überwachung der folgenden Ereignis-IDs:
  • 4769 Kerberos-Ticket-Anforderung
  • 4662 Vorgang an Active Directory-Objekt
  • 4624 Erfolgreiche Anmeldung
  • 4702 Erstellung geplanter Aufgaben
Windows Event Log-Sichtbarkeit
Der
CylanceOPTICS
-Agent zeichnet
Windows
-Sicherheitsereignisse und die zugehörigen Attribute auf.
Signal-Rausch-Verhältnis: moderat
Potenzielle Auswirkungen auf Datenspeicherung und Leistung: moderat
Empfohlen für:
  • Desktops
  • Laptops
  • Server
Nicht empfohlen für:
  • Domänencontroller
  • Microsoft Exchange
    und E-Mail-Server
  • Die
    Windows
    -Ereignisprotokolle, aus denen dieser Sensor Daten erfasst, werden während der normalen Systemnutzung regelmäßig generiert.
  • Um doppelte Daten zu reduzieren und eine optimale Datenspeicherung zu ermöglichen, sollten Sie ermitteln, ob Ihr Unternehmen bereits über Tools verfügt, mit denen Daten aus
    Windows
    -Ereignisprotokollen erfasst werden.