Utilisation des requêtes InstaQuery et avancées pour analyser les données d'artefact Passer la navigation

Utilisation des requêtes InstaQuery et avancées pour analyser les données d'artefact

Les requêtes InstaQuery et avancées sont des fonctionnalités d'
CylanceOPTICS
qui vous permettent d'analyser les données d' artefact pour découvrir les indicateurs de compromis et déterminer leur prévalence sur les terminaux de votre entreprise. Les résultats d'une requête ne vous indiqueront pas comment ou quand un artefact a été utilisé, mais ils indiqueront si un artefact a déjà été observé en termes techniques significatifs pouvant signaler une menace pour les terminaux et les données de votre organisation.
InstaQuery vous permet d'interroger un ensemble de terminaux sur un type spécifique d'artefact médico-légal et de déterminer si un artefact existe sur les terminaux et à quel point cet artefact est commun. La requête avancée est une évolution d'InstaQuery qui fournit des fonctionnalités de recherche plus granulaires à l'aide de la syntaxe EQL pour améliorer votre capacité à identifier les menaces.
Une fois l'agent
CylanceOPTICS
installé et activé sur un terminal, il collecte les artefacts et les stocke dans la base de données
CylanceOPTICS
. Avec l'agent
CylanceOPTICS
 2.x et versions antérieures, la base de données est stockée localement sur le terminal. Avec l'agent
CylanceOPTICS
 3.0 et versions ultérieures, l'agent charge et stocke automatiquement les données dans la base de données cloud
CylanceOPTICS
. Lorsque vous créez une requête, les données importantes au niveau technique sont récupérées de la base de données
CylanceOPTICS
. Vous pouvez afficher et examiner les résultats dans la console de gestion.
Pour les terminaux dotés de l'agent
CylanceOPTICS
 2.x et versions antérieures, une requête ne peut s'exécuter correctement que lorsqu'un terminal est en ligne. Pour les terminaux dotés de l'agent 3.0 et versions ultérieures, il n'est pas nécessaire que le terminal soit en ligne, car la requête utilisera les données les plus récentes disponibles dans la base de données cloud
CylanceOPTICS
.
Une seule requête affiche et conserve un maximum de 10 000 résultats. Les résultats d'une requête sont conservés pendant 60 jours.
Notez les détails suivants sur les artefacts spécifiques que vous pouvez interroger :
Artefact
Détails
Fichiers
Vous pouvez interroger des fichiers spécifiques qui ont été créés, modifiés ou supprimés après l'installation de l'agent
CylanceOPTICS
sur le terminal.
CylanceOPTICS
se concentre sur les fichiers qui peuvent être utilisés pour exécuter du contenu (par exemple, des fichiers exécutables, des documents
Microsoft Office
, des PDF, etc.).
Connexions réseau
Vous pouvez effectuer des requêtes sur les adresses IP de destination IPv4 et IPv6.
CylanceOPTICS
ignore le trafic réseau privé, non routable, multicast, link-local et de bouclage.
Processus
Tous les processus sont indexés dans la base de données
CylanceOPTICS
, avec les restrictions suivantes :
  • Les lignes de commande sont limitées à 1 Kio de données
  • Les noms de processus ne doivent pas contenir plus de 256 caractères
  • Les chemins d'accès aux fichiers d'image de processus ne doivent pas contenir plus de 512 caractères
  • Les lignes de commande modifiées après le démarrage du processus ne sont pas surveillées
Clés de registre
CylanceOPTICS
surveille uniquement les points de persistance et les points de suppression de fichiers. Il s'agit de zones généralement exploitées par des programmes malveillants.
Pour obtenir la liste détaillée des clés de Registre et des valeurs surveillées par
CylanceOPTICS
, consultez l'article KB66266.
Pour en savoir plus sur la manière dont
CylanceOPTICS
surveille les points de persistance dans le registre, consultez KB66357.