Utilisation des tableaux de bord
Gestion des alertes sur les services Cylance Endpoint Security
- Comment Cylance Endpoint Security regroupe les alertes
- Afficher et gérer les alertes agrégées
  - Changements d'état pour les alertes
Gestion d'utilisateurs, de terminaux et de groupes
Gestion des menaces détectées par CylancePROTECT Desktop
Gestion des menaces détectées par CylancePROTECT Mobile
- Afficher les alertes CylancePROTECT Mobile
- Menaces mobiles détectées par l'application CylancePROTECT Mobile
Gestion des listes sécurisées et dangereuses pour CylancePROTECT Desktop et CylancePROTECT Mobile
Analyse des données collectées par CylanceOPTICS
Utilisation de CylanceOPTICS pour détecter les évènements et y répondre
Surveillance des connexions réseau avec CylanceGATEWAY
- Affichage de l‘activité réseau
  - Afficher la page Détails de l‘évènement
Surveiller les fichiers sensibles avec CylanceAVERT
Afficher les vulnérabilités du SE mobile
Audit des actions de l'administrateur
Gestion des journaux
- Configurer la journalisation BlackBerry Connectivity Node
- Gérer les journaux de l'agent CylancePROTECT Desktop
  - Activer la journalisation détaillée sur un terminal CylancePROTECT Desktop
  - Journalisation Linux
    - Définir le niveau de journalisation
    - Collecter les fichiers journaux de l'agent à partir des terminaux Linux
Envoyer les événements à une solution SIEM ou à un serveur syslog
Activer l'accès à l'API utilisateur Cylance
Résolution des problèmes Cylance Endpoint Security

Artefacts d'intérêt

Vous pouvez utiliser les artefacts d'intérêt (AOI) dans le champ des actions pour définir une liste d'artefacts pour lesquels

CylanceOPTICS

peut effectuer des actions de réponse automatisées. L'AOI suit la même syntaxe que les opérandes. Tout artefact associé à un évènement ou à un ensemble d'évènements satisfaisant à un état peut être marqué comme un AOI. L'AOI n'a pas besoin d'être défini comme opérande pour être considéré comme AOI.

Si un filtre est appliqué à un état, notez que certains AOI ne seront pas disponibles pour prendre des mesures de réponse automatiques. Par exemple, si un filtre de création de fichier est appliqué à un état, l'AOI lié au fichier et au processus est disponible, mais n'a pas d'AOI lié au registre ou au réseau. Si un AOI non pertinent est fourni dans un état, l'agent

CylanceOPTICS

se charge de son exclusion de la manière appropriée. Le tableau ci-dessous décrit le filtre applicable aux relations d'AOI.

Catégorie	Sous-catégorie	Type	AOI applicable
Fichier	—	Créer	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner
Fichier	—	Supprimer	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner
Fichier	—	Renommer	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner
Fichier	—	Écrire	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetFile TargetFileOwner
Réseau	IPv4	Se connecter	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection
Réseau	IPv6	Se connecter	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection
Réseau	TCP	Se connecter	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection
Réseau	UDP	Se connecter	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetNetworkConnection
Processus	—	Quitter	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner
Processus	—	Démarrer	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner
Processus	CylancePROTECT Desktop	AbnormalExit	TargetProcess TargetProcessImageFile TargetProcessOwner
Registre	—	PersistencePoint : KeyCreating	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registre	—	PersistencePoint : KeyCreated	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registre	—	PersistencePoint : KeyDeleting	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registre	—	PersistencePoint : KeyDeleted	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registre	—	PersistencePoint : KeyRenaming	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registre	—	PersistencePoint : KeyRenamed	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registre	—	PersistencePoint : ValueChanging	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registre	—	PersistencePoint : ValueChanged	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registre	—	PersistencePoint : ValueDeleting	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Registre	—	PersistencePoint : ValueDeleted	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetRegistryKey
Thread	—	Créer	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner
Thread	—	Injecter	InstigatingProcess InstigatingProcessImageFile InstigatingProcessOwner TargetProcess TargetProcessImageFile TargetProcessOwner

Exemple :

"Actions": [
    {
        "Type": "AOI",
        "ItemName": "InstigatingProcess",
        "Position": "PostActivation"
    },
    {
        "Type": "AOI",
        "ItemName": "TargetProcess",
        "Position": "PostActivation"
    },
    {
        "Type": "AOI",
        "ItemName": "InstigatingProcessOwner",
        "Position": "PostActivation"
    }
],

Section:

Créer et gérer des règles et des exclusions de détection