Utilisation des tableaux de bord
Gestion des alertes sur les services Cylance Endpoint Security
- Comment Cylance Endpoint Security regroupe les alertes
- Afficher et gérer les alertes agrégées
  - Changements d'état pour les alertes
Gestion d'utilisateurs, de terminaux et de groupes
Gestion des menaces détectées par CylancePROTECT Desktop
Gestion des menaces détectées par CylancePROTECT Mobile
- Afficher les alertes CylancePROTECT Mobile
- Menaces mobiles détectées par l'application CylancePROTECT Mobile
Gestion des listes sécurisées et dangereuses pour CylancePROTECT Desktop et CylancePROTECT Mobile
Analyse des données collectées par CylanceOPTICS
Utilisation de CylanceOPTICS pour détecter les évènements et y répondre
Surveillance des connexions réseau avec CylanceGATEWAY
- Affichage de l‘activité réseau
  - Afficher la page Détails de l‘évènement
Surveiller les fichiers sensibles avec CylanceAVERT
Afficher les vulnérabilités du SE mobile
Audit des actions de l'administrateur
Gestion des journaux
- Configurer la journalisation BlackBerry Connectivity Node
- Gérer les journaux de l'agent CylancePROTECT Desktop
  - Activer la journalisation détaillée sur un terminal CylancePROTECT Desktop
  - Journalisation Linux
    - Définir le niveau de journalisation
    - Collecter les fichiers journaux de l'agent à partir des terminaux Linux
Envoyer les événements à une solution SIEM ou à un serveur syslog
Activer l'accès à l'API utilisateur Cylance
Résolution des problèmes Cylance Endpoint Security

Utilisation des requêtes InstaQuery et avancées pour analyser les données d'artefact

Les requêtes InstaQuery et avancées sont des fonctionnalités d'

CylanceOPTICS

qui vous permettent d'analyser les données d' artefact pour découvrir les indicateurs de compromis et déterminer leur prévalence sur les terminaux de votre entreprise. Les résultats d'une requête ne vous indiqueront pas comment ou quand un artefact a été utilisé, mais ils indiqueront si un artefact a déjà été observé en termes techniques significatifs pouvant signaler une menace pour les terminaux et les données de votre organisation.

InstaQuery vous permet d'interroger un ensemble de terminaux sur un type spécifique d'artefact médico-légal et de déterminer si un artefact existe sur les terminaux et à quel point cet artefact est commun. La requête avancée est une évolution d'InstaQuery qui fournit des fonctionnalités de recherche plus granulaires à l'aide de la syntaxe EQL pour améliorer votre capacité à identifier les menaces.

Une fois l'agent

CylanceOPTICS

installé et activé sur un terminal, il collecte les artefacts et les stocke dans la base de données

CylanceOPTICS

. Avec l'agent

CylanceOPTICS

2.x et versions antérieures, la base de données est stockée localement sur le terminal. Avec l'agent

CylanceOPTICS

3.0 et versions ultérieures, l'agent charge et stocke automatiquement les données dans la base de données cloud

CylanceOPTICS

. Lorsque vous créez une requête, les données importantes au niveau technique sont récupérées de la base de données

CylanceOPTICS

. Vous pouvez afficher et examiner les résultats dans la console de gestion.

Pour les terminaux dotés de l'agent

CylanceOPTICS

2.x et versions antérieures, une requête ne peut s'exécuter correctement que lorsqu'un terminal est en ligne. Pour les terminaux dotés de l'agent 3.0 et versions ultérieures, il n'est pas nécessaire que le terminal soit en ligne, car la requête utilisera les données les plus récentes disponibles dans la base de données cloud

CylanceOPTICS

Une seule requête affiche et conserve un maximum de 10 000 résultats. Les résultats d'une requête sont conservés pendant 60 jours.

Notez les détails suivants sur les artefacts spécifiques que vous pouvez interroger :

Artefact	Détails
Fichiers	Vous pouvez interroger des fichiers spécifiques qui ont été créés, modifiés ou supprimés après l'installation de l'agent CylanceOPTICS sur le terminal. CylanceOPTICS se concentre sur les fichiers qui peuvent être utilisés pour exécuter du contenu (par exemple, des fichiers exécutables, des documents Microsoft Office , des PDF, etc.).
Connexions réseau	Vous pouvez effectuer des requêtes sur les adresses IP de destination IPv4 et IPv6. CylanceOPTICS ignore le trafic réseau privé, non routable, multicast, link-local et de bouclage.
Processus	Tous les processus sont indexés dans la base de données CylanceOPTICS , avec les restrictions suivantes : Les lignes de commande sont limitées à 1 Kio de données Les noms de processus ne doivent pas contenir plus de 256 caractères Les chemins d'accès aux fichiers d'image de processus ne doivent pas contenir plus de 512 caractères Les lignes de commande modifiées après le démarrage du processus ne sont pas surveillées
Clés de registre	CylanceOPTICS surveille uniquement les points de persistance et les points de suppression de fichiers. Il s'agit de zones généralement exploitées par des programmes malveillants. Pour obtenir la liste détaillée des clés de Registre et des valeurs surveillées par CylanceOPTICS , consultez l'article KB66266. Pour en savoir plus sur la manière dont CylanceOPTICS surveille les points de persistance dans le registre, consultez KB66357.

Section:

Analyse des données collectées par CylanceOPTICS

Créer une requête InstaQuery

Créer une requête avancée