Structures de données utilisées par

CylanceOPTICS

pour identifier les menaces

Les évènements, artefacts et facets sont les trois principales structures de données utilisées par

CylanceOPTICS

pour analyser, enregistrer et examiner les activités qui se produisent sur les terminaux. Les fonctionnalités

CylanceOPTICS

s'appuient sur ces structures de données, y compris les requêtes InstaQuery, les données détaillés et le moteur d'analyse de contexte (CAE).

Cette section fournit plus d'informations sur la manière dont

CylanceOPTICS

interprète et interagit avec les activités sur les terminaux, afin de vous aider à mieux comprendre et utiliser les détections, les requêtes et les données détaillées.

L'agent

CylanceOPTICS

utilise les sources de données suivantes :

OS	Sources de données
Windows	Pilote de noyau CyOpticsDrv Suivi des évènements Fichier journal d'audit de sécurité
macOS	Pilote de noyau CyOpticsDrvOSX
Linux	ZeroMQ

CylanceOPTICS est configuré par défaut pour exclure certains types de trafic réseau. Pour plus d'informations sur ces derniers, reportez-vous à la page à KB65604.

Les évènements sont les composants qui entraînent une modification ou une action observable sur un terminal. Les évènements comportent deux artefacts principaux : l'artefact instigateur qui déclenche une action et l'artefact cible sur lequel des mesures sont prises.

Les tableaux suivants fournissent des détails sur les types d'évènements pouvant être détectés par

CylanceOPTICS

et avec lesquels il peut interagir.

Type d'évènement	Description
Indifférent	Tous les évènements enregistrent le processus qui les a générés et l'utilisateur associé à l'action.

Type d'évènement	Description
Créer une liaison filtre-client	Un processus a utilisé la persistance WMI.
Créer un client temporaire	Un processus s'est abonné aux évènements WMI.
Exécuter l'opération	Un processus a effectué une opération WMI.

Type d'évènement	Description
CBT	L'API SetWindowsHookEx a installé un crochet pour recevoir des notifications utiles à une application CBT.
DebugProc	L'API SetWindowsHookEx a installé un crochet pour déboguer d'autres procédures de crochet.
Obtenir l'état de clé asynchrone	Un processus a appelé l'API Win32 GetAsyncKeyState.
JournalPlayback	L'API SetWindowsHookEx a installé un crochet pour surveiller les messages précédemment enregistrés par une procédure de crochet WH_JOURNALLECORD.
JournalRecord	L'API SetWindowsHookEx a installé un crochet pour surveiller les messages d'entrée publiés dans la file d'attente des messages système.
Clavier	L'API SetWindowsHookEx a installé un crochet pour surveiller les messages de frappe.
Clavier de bas niveau	L'API SetWindowsHookEx a installé un crochet pour surveiller les évènements de saisie clavier de bas niveau.
Souris de bas niveau	L'API SetWindowsHookEx a installé un crochet pour surveiller les évènements d'entrée de souris de bas niveau.
Message	L'API SetWindowsHookEx a installé un crochet pour surveiller les messages publiés dans une file d'attente de messages.
Souris	L'API SetWindowsHookEx a installé un crochet pour surveiller les messages de la souris.
Enregistrer les terminaux d'entrée brute	Un processus a appelé API Win32 RegisterRawInputDevices.
Définir le crochet d'évènement Windows	Un processus a appelé l'API Win32 SetWinEventHook.
Configurer le crochet Windows	L'API SetWindowsHookEx a installé une valeur de type de crochet non répertoriée.
ShellProc	L'API SetWindowsHookEx a installé un crochet pour recevoir des notifications utiles pour les applications de shell.
SysMsg	L'API SetWindowsHookEx a installé un crochet pour surveiller les messages générés à la suite d'un évènement d'entrée dans une boîte de dialogue, une boîte de message ou une barre de défilement.
WindowProc	L'API SetWindowsHookEx a installé un crochet pour surveiller les messages de procédure Windows .

Type d'évènement	Description
Fonction	Un appel de fonction remarquable a été effectué.

Type d'évènement	Description
Monter	Le terminal est connecté à une machine ou les dossiers sont montés sur des emplacements réseau spécifiques.

Type d'évènement	Description
Créer	Un fichier a été créé.
Supprimer	Un fichier a été supprimé.
Écraser	Un fichier a été écrasé.
Renommer	Un fichier a été renommé.
Écrire	Un fichier a été modifié.

Type d'évènement	Description
Ouvrir	Un fichier a été ouvert.

Type d'évènement	Description
Mmap	Une région de mémoire a été mappée dans un but spécifique, généralement allouée à un processus.
MProtect	Les métadonnées ont été modifiées pour une région de mémoire, généralement pour modifier son état (par exemple, pour le rendre exécutable).

Type d'évènement	Description
Se connecter	Une connexion réseau a été établie. Par défaut, le trafic local n'est pas collecté.

Type d'évènement	Description
Se connecter	Les évènements de connexion incluent le trafic local.

Type d'évènement	Description
Demande	Un processus a effectué une requête DNS réseau qui n'était pas mise en cache.
Réponse	Un processus a reçu une réponse DNS.

Type d'évènement	Plateforme	Description
Sortie anormale	macOS Linux	Surveillé par le capteur de présélection, un processus s'est arrêté sans être terminé (par exemple, une exception a provoqué la fermeture d'un processus).
Quitter	Windows macOS Linux	Un processus a été arrêté.
Sortie forcée	macOS Linux	Surveillé par le capteur de présélection, un processus a été forcé de quitter le système par un autre processus.
PTrace	macOS Linux	Il s'agit d'un outil système Unix qui permet à un processus de surveiller et de contrôler un autre processus.
Démarrer	Windows macOS Linux	Un processus a démarré.
Suspendre	Linux	Surveillé par le capteur de présélection, un processus a été suspendu.
Évènement de processus Linux inconnu	macOS Linux	Surveillé par le capteur de présélection, un évènement inconnu s'est produit avec le processus comme cible. Cela peut indiquer qu'un logiciel malveillant masque son activité.

Type d'évènement	Description
SetThreadContext	Un processus a appelé l'API SetThreadContext.
Terminer	Un processus instigateur a mis fin à un autre processus cible.

Type d'évènement	Description
Clé créée	Une clé de registre a été créée.
Clé supprimée	Une clé de registre a été supprimée.
Valeur créée	Une valeur de clé de registre a été créée.
Valeur supprimée	Une valeur de clé de registre a été supprimée.
Valeur modifiée	Une valeur de clé de registre a été modifiée.

Type d'évènement	Description
Exécuter la commande	Windows PowerShell a exécuté une commande. Les paramètres sont inconnus.
Exécuter le script	Un résultat de ScanBuffer AMSI indique qu'un script a été exécuté.
Exécuter le bloc de script	Windows PowerShell a exécuté un bloc de script.
Appeler la commande	Windows PowerShell a appelé une commande avec des paramètres liés.
Empêcher le script	Un résultat de ScanBuffer AMSI indique qu'un script a été détecté ou bloqué par un administrateur.

Type d'évènement	Description
Déconnexion du lot	L'ID d'évènement Windows suivant s'est produit : 4634 (type 4).
Connexion au lot	L'ID d'évènement Windows suivant s'est produit : 4624 (type 4).
Déconnexion interactive en cache	L'ID d'évènement Windows suivant s'est produit : 4634 (type 11).
Connexion interactive en cache	L'ID d'évènement Windows suivant s'est produit : 4624 (type 11).
Déconnexion interactive	L'ID d'évènement Windows suivant s'est produit : 4634 (type 2).
Connexion interactive	L'ID d'évènement Windows suivant s'est produit : 4624 (type 2).
Déconnexion du réseau	L'ID d'évènement Windows suivant s'est produit : 4634 (type 3).
Connexion réseau	L'ID d'évènement Windows suivant s'est produit : 4624 (type 3).
Déconnexion du réseau en texte clair	L'ID d'évènement Windows suivant s'est produit : 4634 (type 8).
Connexion au réseau en texte clair	L'ID d'évènement Windows suivant s'est produit : 4624 (type 8).
Déconnexion des nouveaux identifiants	L'ID d'évènement Windows suivant s'est produit : 4634 (type 9).
Connexion aux nouveaux identifiants	L'ID d'évènement Windows suivant s'est produit : 4624 (type 9).
Déconnexion interactive à distance	L'ID d'évènement Windows suivant s'est produit : 4634 (type 10).
Connexion interactive à distance	L'ID d'évènement Windows suivant s'est produit : 4624 (type 10).
Déconnexion du service	L'ID d'évènement Windows suivant s'est produit : 4634 (type 5).
Connexion au service	L'ID d'évènement Windows suivant s'est produit : 4624 (type 5).
Déverrouiller la déconnexion	L'ID d'évènement Windows suivant s'est produit : 4634 (type 7).
Déverrouiller la connexion	L'ID d'évènement Windows suivant s'est produit : 4624 (type 7).
Déconnexion utilisateur	L'ID d'évènement Windows suivant s'est produit : 4634 (valeur de type non répertoriée).
Connexion utilisateur	L'ID d'évènement Windows suivant s'est produit : 4624 (valeur de type non répertoriée).

Les artefacts sont des éléments d'information complexes pouvant être utilisés par

CylanceOPTICS

. Le moteur d'analyse de contexte (CAE) peut identifier les artefacts sur les terminaux et les utiliser pour déclencher une réponse automatique aux incidents et des actions correctives. Les requêtes InstaQueries utilisent des artefacts comme base d'une requête.

Les facets sont les attributs d'un artefact qui peuvent être utilisés pour identifier les traits d'un artefact associé à un évènement. Les facets sont corrélés et combinés pendant l'analyse pour identifier les activités potentiellement malveillantes. Par exemple, un fichier nommé « explorer.exe » peut ne pas être intrinsèquement suspect, mais si le fichier n'est pas signé par

Microsoft

et qu'il réside dans un répertoire temporaire, il peut être identifié comme suspect dans certains environnements.

CylanceOPTICS

utilise les artefacts et facets suivants :

Artefact	Facets
Appel d'API	Fonction DLL Paramètres
DNS	Connexion IsRecursionDesired IsUnsolicitedResponse Opcode RequestId Résolution ResponseOriginatedFromThisDevice Questions
Évènement	Heure d'occurrence Heure d'enregistrement
Fichier	Enregistrement de fichier exécutable (fichiers binaires uniquement) Heure de création du fichier (signalée par le système d'exploitation) Chemin du fichier Signature de fichier (fichiers binaires uniquement) Taille du fichier Heure de la dernière modification (signalée par le système d'exploitation) Hachage md5 (fichiers binaires uniquement) Emplacement d'écriture récent Hachage sha256 (fichiers binaires uniquement) Type de fichier suspecté Utilisateur
Réseau	Adresse locale Port local Protocole Adresse distante Port distant
Suivi PowerShell	EventId Charge utile PayloadAnalysis ScriptBlockText ScriptBlockTextAnalysis
Processus	Ligne de commande Fichier à partir duquel l'exécutable a été exécuté Processus parent ID de processus Heure de début Utilisateur
Registre	Si la valeur fait référence à un fichier sur le système Chemin de registre Valeur
Utilisateurs	Domaine Identifiant spécifique au système d'exploitation (par exemple, SID) Nom d'utilisateur Les artefacts utilisateur peuvent contenir l'une des valeurs suivantes. Cependant, les données ne sont pas disponibles sur la plupart des terminaux. AccountType BadPasswordCount Commentaire CountryCode FullName HasPasswordExpired HomeDirectory IsAccountDisabled IsLocalAccount IsLockedOut IsPasswordRequired LanguageCodePage LogonServer PasswordAge PasswordDoesNotExpire ProfilePath ScriptPath UserPrivilege Workstations
Évènement Windows	Classe ID d'évènement Fournisseur
Suivi WMI	ConsumerText ConsumerTextAnalysis EventId Espace de noms Opération OperationAnalysis OriginatingMachineName

CylanceOPTICS

surveille les valeurs et les clés communes de persistance, de démarrage de processus et d'escalade des privilèges, ainsi que les valeurs indiquées dans KB66266.

Pour en savoir plus sur la manière dont

CylanceOPTICS

surveille les points de persistance dans le registre, consultez KB66357.