CylanceOPTICS

-Sensoren

Sie können die folgenden

CylanceOPTICS

-Sensoren aktivieren, um zusätzliche Daten zu erfassen, die über die standardmäßigen Prozess-, Datei-, Netzwerk-, Registrierungsereignisse hinausgehen. Die Aktivierung optionaler Sensoren kann sich auf die Leistung und die Ressourcennutzung auf Geräten sowie auf die in der

CylanceOPTICS

-Datenbank gespeicherte Datenmenge auswirken.

BlackBerry

empfiehlt die Aktivierung optionaler Sensoren bei einer kleinen Anzahl von Geräten, um die Auswirkungen zu beurteilen.

Die optionalen Sensoren werden nur für 64-Bit-Betriebssysteme unterstützt, wenn nicht anders dargestellt.

Sensor	Beschreibung	Bewährte Verfahren	Notizen
Erweiterte Scripting-Sichtbarkeit	Der CylanceOPTICS -Agent zeichnet Befehle, Argumente, Skripte und Inhalte von JScript-, PowerShell- (Konsole und integrierte Scripting-Umgebung), VBScript- und VBA-Makroskriptausführungen auf. Signal-Rausch-Verhältnis: hoch Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering bis moderat	Empfohlen für: Desktops Laptops Server Nicht empfohlen für: Exchange- und E-Mail-Server	Von Microsoft bereitgestellte Tools und andere Drittanbieterlösungen können bei der Ausführung von Vorgängen stark auf PowerShell angewiesen sein. Um eine optimale Datenspeicherung sicherzustellen, empfiehlt BlackBerry Erkennungsausnahmen für vertrauenswürdige Tools zu konfigurieren, die PowerShell intensiv nutzen.
Erweiterte WMI-Sichtbarkeit	Der CylanceOPTICS -Agent zeichnet zusätzliche WMI-Attribute und -Parameter auf. Signal-Rausch-Verhältnis: hoch Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering	Empfohlen für: Desktops Laptops Server	Einige Hintergrund- und Wartungsprozesse von Windows nutzen WMI zur Planung von Aufgaben oder Ausführung von Befehlen, was zu plötzlicher hoher WMI-Aktivität führen kann. BlackBerry empfiehlt, die WMI-Nutzung in Ihrer Umgebung zu analysieren, bevor Sie diesen Sensor aktivieren.
API-Sensor	Der CylanceOPTICS -Agent überwacht eine identifizierte Gruppe von Windows API-Aufrufen. Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: Die Aktivierung dieses Sensors kann sich auf die CPU-Leistung eines Geräts auswirken.	Empfohlen für: Desktops Laptops Server	Unterstützt auf x86- oder x64- Windows -Betriebssystemen. Erfordert CylancePROTECT Desktop -Agent Version 3.0.1003 oder höher. Erfordert CylanceOPTICS -Agent Version von 3.2 oder höher.
Cryptojacking-Erkennung	Der CylanceOPTICS -Agent überwacht die Intel -CPU-Aktivität mithilfe von Hardwareregistern auf potenzielle Cryptomining- und Cryptohacking-Aktivitäten. Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering	Unterstützt für: Windows  10 x64 Intel Gen 6 und neuere CPUs	Nicht unterstützt für virtuelle Maschinen.
DNS-Sichtbarkeit	Der CylanceOPTICS -Agent zeichnet DNS-Anforderungen, Antworten und zugehörige Datenfelder wie Domänenname, aufgelöste Adressen und Datensatztyp auf. Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: moderat	Empfohlen für: Desktops Laptops Nicht empfohlen für: DNS-Server	Beachten Sie, dass dieser Sensor erhebliche Datenmengen erfassen kann. Er kann aber auch Einblicke in Daten liefern, die mit anderen Tools nur schwer erfasst werden können. Um eine optimale Datenspeicherung sicherzustellen, empfiehlt BlackBerry , Erkennungsausnahmen für vertrauenswürdige Tools zu konfigurieren, die Cloud-basierte Dienste intensiv nutzen.
Erweiterte Dateilesesichtbarkeit	Der CylanceOPTICS -Agent überwacht Dateilesevorgänge innerhalb einer angegebenen Verzeichnisgruppe. Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering	Empfohlen für: Desktops Laptops Server	Einige Sicherheitstools von Drittanbietern verwenden möglicherweise die Windows -APIs, von denen dieser Sensor Daten erfasst. In einigen Fällen kann es sein, dass CylanceOPTICS irrelevante oder vertrauenswürdige Daten aufzeichnet. Um eine optimale Datenspeicherung sicherzustellen und ein besseres Signal-Rausch-Verhältnis zu ermöglichen, empfiehlt BlackBerry , Erkennungsausnahmen für vertrauenswürdige Sicherheitstools zu konfigurieren.
Erweitertes Parsing übertragbarer ausführbarer Dateien	Der CylanceOPTICS -Agent zeichnet Datenfelder auf, die mit übertragbaren ausführbaren Dateien verknüpft sind, z. B. Dateiversion, Importfunktionen und Packertypen. Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering	Empfohlen für: Desktops Laptops Server	Die von diesem Sensor erfassten Daten werden zur Unterstützung der erweiterten Analyse übertragbarer ausführbarer Dateien an die Kontextanalyse-Engine weitergeleitet und nicht in der CylanceOPTICS -Datenbank gespeichert. Die Aktivierung dieses Sensors wirkt sich kaum oder gar nicht auf die Datenspeicherung von CylanceOPTICS aus. Wenn Sie eine Erkennungsregel hinzufügen und aktivieren, die Zeichenfolgenressourcen analysiert, verbraucht der CylanceOPTICS -Agent möglicherweise erhebliche CPU- und Speicherressourcen
Erweiterte Prozess- und Hooking-Sichtbarkeit	Der CylanceOPTICS -Agent zeichnet Prozessinformationen der Win32-API und von Kernel-Audit-Meldungen auf, um Formen von Prozess-Hooking und -Injektion zu erkennen. Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering	Empfohlen für: Desktops Laptops Server	Einige Sicherheitstools von Drittanbietern verwenden möglicherweise die Windows -APIs, von denen dieser Sensor Daten erfasst. In einigen Fällen kann es sein, dass CylanceOPTICS irrelevante oder vertrauenswürdige Daten aufzeichnet. Um eine optimale Datenspeicherung sicherzustellen und ein besseres Signal-Rausch-Verhältnis zu ermöglichen, empfiehlt BlackBerry , Erkennungsausnahmen für vertrauenswürdige Sicherheitstools zu konfigurieren.
Sichtbarkeit private Netzwerkadresse	Der CylanceOPTICS -Agent erfasst Netzwerkverbindungen innerhalb der RFC 1918- und RFC 4193-Adressräume. Signal-Rausch-Verhältnis: gering Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering	Empfohlen für: Desktops Nicht empfohlen für: DNS-Server Mit wenigen oder sehr wenigen Ressourcen ausgestattete Systeme Systeme, die RDP oder andere Remote-Zugriff-Software verwenden	Dieser Sensor erfasst erhebliche Datenmengen und kann sich auf die Dauer der Datenspeicherung in der CylanceOPTICS -Datenbank auswirken. BlackBerry empfiehlt, diesen Sensor nur in Umgebungen zu aktivieren, in denen vollständige Sichtbarkeit bei der Adresskommunikation im privaten Netzwerk erforderlich ist.
Windows Advanced Audit-Sichtbarkeit	Der CylanceOPTICS -Agent überwacht zusätzliche Windows -Ereignistypen und -Kategorien. Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: gering	—	Dieser Sensor ermöglicht die Überwachung der folgenden Ereignis-IDs: 4769 Kerberos-Ticket-Anforderung 4662 Vorgang an Active Directory-Objekt 4624 Erfolgreiche Anmeldung 4702 Erstellung geplanter Aufgaben
Windows Event Log-Sichtbarkeit	Der CylanceOPTICS -Agent zeichnet Windows -Sicherheitsereignisse und die zugehörigen Attribute auf. Signal-Rausch-Verhältnis: moderat Potenzielle Auswirkungen auf Datenspeicherung und Leistung: moderat	Empfohlen für: Desktops Laptops Server Nicht empfohlen für: Domänencontroller Exchange- und E-Mail-Server	Die Windows -Ereignisprotokolle, aus denen dieser Sensor Daten erfasst, werden während der normalen Systemnutzung regelmäßig generiert. Um doppelte Daten zu reduzieren und eine optimale Datenspeicherung zu ermöglichen, sollten Sie ermitteln, ob Ihr Unternehmen bereits über Tools verfügt, mit denen Daten aus Windows -Ereignisprotokollen erfasst werden.