Structures de données utilisées par CylanceOPTICS pour identifier les menaces
CylanceOPTICS
pour identifier les menacesLes évènements, artefacts et facets sont les trois principales structures de données utilisées par
CylanceOPTICS
pour analyser, enregistrer et examiner les activités qui se produisent sur les terminaux. Les fonctionnalités CylanceOPTICS
s‘appuient sur ces structures de données, y compris les requêtes InstaQuery, les données détaillés et le moteur d‘analyse de contexte (CAE).Cette section fournit plus d‘informations sur la manière dont
CylanceOPTICS
interprète et interagit avec les activités sur les terminaux, afin de vous aider à mieux comprendre et utiliser les détections, les requêtes et les données détaillées.Sources de données en fonction du système d‘exploitation
L‘agent
CylanceOPTICS
utilise les sources de données suivantes :OS | Sources de données |
---|---|
Windows |
|
macOS | Pilote de noyau CyOpticsDrvOSX |
Linux | ZeroMQ |
Pour plus d‘informations sur les types de trafic réseau que
CylanceOPTICS
exclut par défaut, reportez-vous à l‘article KB65604.Évènements
Les évènements sont les composants qui entraînent une modification ou une action observable sur un terminal. Les évènements comportent deux artefacts principaux : l‘artefact instigateur qui déclenche une action et l‘artefact cible sur lequel des mesures sont prises.
Les tableaux suivants fournissent des détails sur les types d‘évènements pouvant être détectés par
CylanceOPTICS
et avec lesquels il peut interagir.Évènement : indifférent
- Option de stratégie de terminal à activer : case à cocherCylanceOPTICS
- Type d‘artefact : processus, utilisateur
- Plateforme :Windows,macOS,Linux
Type d‘évènement | Description |
---|---|
Indifférent | Tous les évènements enregistrent le processus qui les a générés et l‘utilisateur associé à l‘action. |
Évènement : application
- Option de stratégie de terminal à activer : Visibilité WMI avancée
- Type d‘artefact : suivi WMI
- Plateforme :Windows
Type d‘évènement | Description |
---|---|
Créer une liaison filtre-client | Un processus a utilisé la persistance WMI. |
Créer un client temporaire | Un processus s‘est abonné aux évènements WMI. |
Exécuter l‘opération | Un processus a effectué une opération WMI. |
- Option de stratégie de terminal à activer : Visibilité améliorée des accrochages et des processus
- Type d‘artefact : fichier
- Plateforme :Windows
Type d‘évènement | Description |
---|---|
CBT | L‘API SetWindowsHookEx a installé un crochet pour recevoir des notifications utiles à une application CBT. |
DebugProc | L‘API SetWindowsHookEx a installé un crochet pour déboguer d‘autres procédures de crochet. |
Obtenir l‘état de clé asynchrone | Un processus a appelé l‘API Win32 GetAsyncKeyState. |
JournalPlayback | L‘API SetWindowsHookEx a installé un crochet pour surveiller les messages précédemment enregistrés par une procédure de crochet WH_JOURNALLECORD. |
JournalRecord | L‘API SetWindowsHookEx a installé un crochet pour surveiller les messages d‘entrée publiés dans la file d‘attente des messages système. |
Clavier | L‘API SetWindowsHookEx a installé un crochet pour surveiller les messages de frappe. |
Clavier de bas niveau | L‘API SetWindowsHookEx a installé un crochet pour surveiller les évènements de saisie clavier de bas niveau. |
Souris de bas niveau | L‘API SetWindowsHookEx a installé un crochet pour surveiller les évènements d‘entrée de souris de bas niveau. |
Message | L‘API SetWindowsHookEx a installé un crochet pour surveiller les messages publiés dans une file d‘attente de messages. |
Souris | L‘API SetWindowsHookEx a installé un crochet pour surveiller les messages de la souris. |
Enregistrer les terminaux d‘entrée brute | Un processus a appelé API Win32 RegisterRawInputDevices. |
Définir le crochet d‘événement Windows | Un processus a appelé l‘API Win32 SetWinEventHook. |
Configurer le crochet Windows | L‘API SetWindowsHookEx a installé une valeur de type de crochet non répertoriée. |
ShellProc | L‘API SetWindowsHookEx a installé un crochet pour recevoir des notifications utiles pour les applications de shell. |
SysMsg | L‘API SetWindowsHookEx a installé un crochet pour surveiller les messages générés à la suite d‘un évènement d‘entrée dans une boîte de dialogue, une boîte de message ou une barre de défilement. |
WindowProc | L‘API SetWindowsHookEx a installé un crochet pour surveiller les messages de procédure Windows . |
- Option de stratégie de terminal à activer : Détecteur API
- Type d‘artefact : Appel API
- Plateforme :Windows
Type d‘évènement | Description |
---|---|
Fonction | Un appel de fonction remarquable a été effectué. |
- Option de stratégie de terminal à activer : Visibilité charge de module
- Type d‘artefact : fichier
- Plateforme :Windows
Type d‘évènement | Description |
---|---|
Charger | Une application a chargé un module. |
- Option de stratégie de terminal à activer : Visibilité objet COM
- Plateforme :Windows
Type d‘évènement | Description |
---|---|
Créé | Un objet COM a été créé. |
Évènement : terminal
- Option de stratégie de terminal à activer : case à cocherCylanceOPTICS
- Type d‘artefact : fichier
- Plateforme :macOS,Linux
Type d‘évènement | Description |
---|---|
Monter | Le terminal est connecté à une machine ou les dossiers sont montés sur des emplacements réseau spécifiques. |
Évènement : fichier
- Option de stratégie de terminal à activer : case à cocherCylanceOPTICS
- Type d‘artefact : fichier
- Plateforme :Windows,macOS,Linux
Type d‘évènement | Description |
---|---|
Créer | Un fichier a été créé. |
Supprimer | Un fichier a été supprimé. |
Écraser | Un fichier a été écrasé. |
Renommer | Un fichier a été renommé. |
Écrire | Un fichier a été modifié. |
- Option de stratégie de terminal à activer : Visibilité améliorée de lecture de fichier
- Type d‘artefact : fichier
- Plateforme :Windows
Type d‘évènement | Description |
---|---|
Ouvrir | Un fichier a été ouvert. |
Évènement : mémoire
- Option de stratégie de terminal à activer : case à cocherCylanceOPTICS
- Type d‘artefact : processus
- Plateforme :macOS,Linux
Type d‘évènement | Description |
---|---|
Mmap | Une région de mémoire a été mappée dans un but spécifique, généralement allouée à un processus. |
MProtect | Les métadonnées ont été modifiées pour une région de mémoire, généralement pour modifier son état (par exemple, pour le rendre exécutable). |
Évènement : réseau
- Option de stratégie de terminal à activer : case à cocherCylanceOPTICS
- Type d‘artefact : réseau
- Plateforme :Windows,macOS,Linux
Type d‘évènement | Description |
---|---|
Se connecter | Une connexion réseau a été établie. Par défaut, le trafic local n‘est pas collecté. |
- Option de stratégie de terminal à activer : Visibilité des adresses réseau privées
- Type d‘artefact : réseau
- Plateforme :Windows
Type d‘évènement | Description |
---|---|
Se connecter | Les évènements de connexion incluent le trafic local. |
- Option de stratégie de terminal à activer : Visibilité DNS
- Type d‘artefact : requête DNS
- Plateforme :Windows,Linux
Type d‘évènement | Description |
---|---|
Demande | Un processus a effectué une requête DNS réseau qui n‘était pas mise en cache. |
Réponse | Un processus a reçu une réponse DNS. |
- Option de stratégie de terminal à activer : Visibilité HTTP
- Type d‘artefact : HTTP
- Plateforme :Windows
Type d‘évènement | Description |
---|---|
Get | Windows a utilisé WinINet ou WinHTTP pour créer une requête HTTP. |
Post | Windows a utilisé WinINet ou WinHTTP pour envoyer des données. |
Évènement : processus
- Option de stratégie de terminal à activer : case à cocherCylanceOPTICS
- Type d‘artefact : processus
Type d‘évènement | Plateforme | Description |
---|---|---|
Sortie anormale | macOS Linux | Surveillé par le capteur de présélection, un processus s‘est arrêté sans être terminé (par exemple, une exception a provoqué la fermeture d‘un processus). |
Quitter | Windows macOS Linux | Un processus a été arrêté. |
Sortie forcée | macOS Linux | Surveillé par le capteur de présélection, un processus a été forcé de quitter le système par un autre processus. |
PTrace | macOS Linux | Il s‘agit d‘un outil système Unix qui permet à un processus de surveiller et de contrôler un autre processus. |
Démarrer | Windows macOS Linux | Un processus a démarré. |
Suspendre | Linux | Surveillé par le capteur de présélection, un processus a été suspendu. |
Évènement de processus Linux inconnu | macOS Linux | Surveillé par le capteur de présélection, un évènement inconnu s‘est produit avec le processus comme cible. Cela peut indiquer qu‘un logiciel malveillant masque son activité. |
- Option de stratégie de terminal à activer : Visibilité améliorée des accrochages et des processus
- Type d‘artefact : processus
- Plateforme :Windows
Type d‘évènement | Description |
---|---|
SetThreadContext | Un processus a appelé l‘API SetThreadContext. |
Terminer | Un processus instigateur a mis fin à un autre processus cible. |
Évènement : registre
- Option de stratégie de terminal à activer : case à cocherCylanceOPTICS
- Type d‘artefact : registre, fichier (si la clé de registre fait référence à un fichier spécifique)
- Plateforme :Windows
Type d‘évènement | Description |
---|---|
KeyCreated | Une clé de registre a été créée. |
KeyDeleting | Une clé de registre a été supprimée. |
ValueChanging | La valeur de clé de registre a été modifiée. |
ValueDeleting | Une valeur de clé de registre a été supprimée. |
Évènement : scripts
- Option de stratégie de terminal à activer : Visibilité avancée des scripts
- Type d‘artefact : suivi PowerShell
- Plateforme :Windows
Type d‘évènement | Description |
---|---|
Exécuter la commande | Windows PowerShell a exécuté une commande. Les paramètres sont inconnus. |
Exécuter le script | Windows PowerShell a exécuté un script. |
Exécuter le bloc de script | Windows PowerShell a exécuté un bloc de script. |
Appeler la commande | Windows PowerShell a appelé une commande avec des paramètres liés. |
Empêcher le script | Un résultat de ScanBuffer AMSI indique qu‘un script a été détecté ou bloqué par un administrateur. |
Évènement : utilisateur
- Option de stratégie de terminal à activer : Visibilité avancée des scripts
- Type d‘artefact : événementWindows
- Plateforme :Windows
Type d‘évènement | Description |
---|---|
Déconnexion du lot | L‘ID d‘évènement Windows suivant s‘est produit : 4634 (type 4). |
Connexion au lot | L‘ID d‘évènement Windows suivant s‘est produit : 4624 (type 4). |
Déconnexion interactive en cache | L‘ID d‘évènement Windows suivant s‘est produit : 4634 (type 11). |
Connexion interactive en cache | L‘ID d‘évènement Windows suivant s‘est produit : 4624 (type 11). |
Déconnexion interactive | L‘ID d‘évènement Windows suivant s‘est produit : 4634 (type 2). |
Connexion interactive | L‘ID d‘évènement Windows suivant s‘est produit : 4624 (type 2). |
Déconnexion du réseau | L‘ID d‘évènement Windows suivant s‘est produit : 4634 (type 3). |
Connexion réseau | L‘ID d‘évènement Windows suivant s‘est produit : 4624 (type 3). |
Déconnexion au réseau en texte clair | L‘ID d‘évènement Windows suivant s‘est produit : 4634 (type 8). |
Connexion au réseau en texte clair | L‘ID d‘évènement Windows suivant s‘est produit : 4624 (type 8). |
Déconnexion des nouveaux identifiants | L‘ID d‘évènement Windows suivant s‘est produit : 4634 (type 9). |
Connexion aux nouveaux identifiants | L‘ID d‘évènement Windows suivant s‘est produit : 4624 (type 9). |
Déconnexion interactive à distance | L‘ID d‘évènement Windows suivant s‘est produit : 4634 (type 10). |
Connexion interactive à distance | L‘ID d‘évènement Windows suivant s‘est produit : 4624 (type 10). |
Déconnexion du service | L‘ID d‘évènement Windows suivant s‘est produit : 4634 (type 5). |
Connexion au service | L‘ID d‘évènement Windows suivant s‘est produit : 4624 (type 5). |
Déverrouiller la déconnexion | L‘ID d‘évènement Windows suivant s‘est produit : 4634 (type 7). |
Déverrouiller la connexion | L‘ID d‘évènement Windows suivant s‘est produit : 4624 (type 7). |
Déconnexion utilisateur | L‘ID d‘évènement Windows suivant s‘est produit : 4634 (valeur de type non répertoriée). |
Connexion utilisateur | L‘ID d‘évènement Windows suivant s‘est produit : 4624 (valeur de type non répertoriée). |
Artefacts et facets
Les artefacts sont des éléments d‘information complexes pouvant être utilisés par
CylanceOPTICS
. Le moteur d‘analyse de contexte (CAE) peut identifier les artefacts sur les terminaux et les utiliser pour déclencher une réponse automatique aux incidents et des actions correctives. Les requêtes InstaQueries utilisent des artefacts comme base d‘une requête.Les facets sont les attributs d‘un artefact qui peuvent être utilisés pour identifier les traits d‘un artefact associé à un évènement. Les facets sont corrélés et combinés pendant l‘analyse pour identifier les activités potentiellement malveillantes. Par exemple, un fichier nommé « explorer.exe » peut ne pas être intrinsèquement suspect, mais si le fichier n‘est pas signé par
Microsoft
et qu‘il réside dans un répertoire temporaire, il peut être identifié comme suspect dans certains environnements.CylanceOPTICS
utilise les artefacts et facets suivants :Artefact | Facets |
---|---|
Appel d‘API |
|
DNS |
|
Évènement |
|
Fichier |
|
Réseau |
|
Suivi PowerShell |
|
Processus |
|
Registre |
|
Utilisateurs |
Les artefacts utilisateur peuvent contenir l‘une des valeurs suivantes. Cependant, les données ne sont pas disponibles sur la plupart des terminaux.
|
Évènement Windows |
|
Suivi WMI |
|
Valeurs et clés de registre
CylanceOPTICS
surveille les valeurs et les clés communes de persistance, de démarrage de processus et d‘escalade des privilèges, ainsi que les valeurs indiquées dans l‘article KB 66266.Pour en savoir plus sur la manière dont
CylanceOPTICS
surveille les points de persistance dans le registre, consultez l‘article KB 66357.