Utilisation des tableaux de bord
Gestion des alertes sur les services Cylance Endpoint Security
- Comment Cylance Endpoint Security regroupe les alertes
- Afficher et gérer les alertes agrégées
  - Changements d'état pour les alertes
Gestion d'utilisateurs, de terminaux et de groupes
Gestion des menaces détectées par CylancePROTECT Desktop
Gestion des menaces détectées par CylancePROTECT Mobile
- Afficher les alertes CylancePROTECT Mobile
- Menaces mobiles détectées par l'application CylancePROTECT Mobile
Gestion des listes sécurisées et dangereuses pour CylancePROTECT Desktop et CylancePROTECT Mobile
Analyse des données collectées par CylanceOPTICS
Utilisation de CylanceOPTICS pour détecter les évènements et y répondre
Surveillance des connexions réseau avec CylanceGATEWAY
- Affichage de l‘activité réseau
  - Afficher la page Détails de l‘évènement
Surveiller les fichiers sensibles avec CylanceAVERT
Afficher les vulnérabilités du SE mobile
Audit des actions de l'administrateur
Gestion des journaux
- Configurer la journalisation BlackBerry Connectivity Node
- Gérer les journaux de l'agent CylancePROTECT Desktop
  - Activer la journalisation détaillée sur un terminal CylancePROTECT Desktop
  - Journalisation Linux
    - Définir le niveau de journalisation
    - Collecter les fichiers journaux de l'agent à partir des terminaux Linux
Envoyer les événements à une solution SIEM ou à un serveur syslog
Activer l'accès à l'API utilisateur Cylance
Résolution des problèmes Cylance Endpoint Security

Création de règles de détection personnalisées

Pour répondre aux besoins et exigences de sécurité de votre organisation, vous pouvez utiliser l'éditeur de règles

CylanceOPTICS

pour cloner et modifier les règles de détection disponibles dans la console de gestion, ou vous pouvez créer vos propres règles de détection personnalisées. Vous pouvez utiliser la flexibilité et la logique du moteur d'analyse de contexte (CAE) pour détecter les activités suspectes ou malveillantes, y compris pour surveiller des caractéristiques de comportement générales (par exemple, des fichiers qui utilisent certains modèles de dénomination) ou une série d'événements ciblée (par exemple, un processus avec une empreinte de signature de fichier spécifique qui crée des fichiers et initie des connexions réseau). Les règles de détection personnalisées utilisent le même flux de travail que les règles de détection fournies par

BlackBerry

et vous pouvez configurer des actions de réponse automatisées, des notifications utilisateur et des Playbooks de package pour vos règles personnalisées.

L'éditeur de règles utilise JSON et fournit des outils de validation intégrés. Lorsque vous validez une règle, l'éditeur vérifie la syntaxe pour identifier les éventuels problèmes. Si la règle réussit la vérification de la syntaxe,

CylanceOPTICS

utilise un service CAE pour vérifier qu'elle pourra être compilée et s'exécuter sur un terminal. Si l'un des processus de validation détecte un problème, il fournit des informations sur les erreurs à corriger. Lorsqu'une règle réussit les deux vérifications de validation, vous pouvez la publier et l'ajouter aux jeux de règles de détection.

Cette section fournit des conseils et des informations de référence pour créer vos propres règles CAE. Les règles CAE prennent en charge les données et les filtres suivants :

Élément	Description
États	Les états définissent le flux d'une règle CAE, ce qui permet à CylanceOPTICS d'observer en termes d'état une série d'événements pouvant se produire sur un terminal. Ces états représentent un scénario de type « 1, puis 2, puis 3 » qui peut se produire.
Fonctions	Les fonctions définissent la logique requise pour remplir un état. Cette logique s'applique directement aux opérateurs de champ définis et représente les attributs d'un événement qui se produit sur un terminal (par exemple, « A, et B, et C » ou « A, et B, mais pas C »).
Opérateurs de champ	Les opérateurs de champ définissent la méthode d'évaluation des opérandes (extracteurs de valeur de facette). Les opérateurs de champ incluent des actions telles que Égal à, Contient et Est vrai.
Opérandes (Extracteurs de valeur de facette)	Les opérandes sont les valeurs que CylanceOPTICS compare. Les opérandes permettent d'extraire des données spécifiques concernant un événement (par exemple, chemins d'accès aux fichiers, hachage des fichiers et noms de processus) et de les comparer à des valeurs littérales (par exemple, chaines, nombres décimaux, valeurs booléennes et nombres entiers).
Artefacts d'intérêt	Les artefacts d'intérêt définissent les artefacts que CylanceOPTICS peut cibler lorsqu'il exécute des actions de réponse automatisées (par exemple, l'arrêt de processus, la déconnexion d'utilisateurs ou la suppression de fichiers).
Chemins d'accès	Les chemins d'accès définissent la façon dont le CAE interprète le flux de plusieurs objets d'état dans une règle.
Filtres	Les filtres réduisent ou étendent la portée d'un état avec un nombre plus ou moins important d'événements à analyser.

Pour résoudre les problèmes de performances dans les environnements qui génèrent un nombre anormalement élevé d'événements (par exemple, des systèmes de serveurs ou des systèmes d'ingénierie logicielle), le CAE prend en charge des règles d'exclusion que vous pouvez utiliser pour exclure certains événements du pipeline de données

CylanceOPTICS

n'analyse pas les événements exclus et ne les enregistre pas. Vous pouvez utiliser les règles d'exclusion préconfigurées disponibles dans la console de gestion, ou utiliser l'éditeur de règles pour créer vos propres règles d'exclusion à l'aide de la même structure JSON que les règles de détection. L'objectif d'une règle d'exclusion est de la satisfaire en fonction des processus que vous souhaitez exclure.

Après avoir publié une règle d'exclusion, vous pouvez l'associer à l'action de réponse aux processus autorisés dans un jeu de règles de détection. Avec cette action de réponse, le CAE exclut automatiquement tous les événements et processus qui correspondent à la logique de la règle associée. Faites preuve de prudence lorsque vous utilisez des règles d'exclusion, car elles peuvent réduire la sécurité globale des terminaux

CylanceOPTICS

Section:

Utilisation de CylanceOPTICS pour détecter les évènements et y répondre

Exemple de règle de détection

Créer et gérer des règles et des exclusions de détection