Comment Cylance Endpoint Security regroupe les alertes Passer la navigation

Comment
Cylance Endpoint Security
regroupe les alertes

Cylance Endpoint Security
utilise les critères suivants pour regrouper les alertes de différents services, en automatisant le processus afin de définir et d'optimiser vos activités de recherche et de résolution des menaces en regroupements logiques d'alertes connexes. Créée et gérée par
BlackBerry
, la logique de regroupement est conçue de manière dynamique pour gérer les alertes provenant d'une gamme de services intégrés. Vous bénéficiez ainsi d'une expérience sans intervention qui automatise l'analyse de la fréquence et de la prévalence, ce qui vous permet de trier et de hiérarchiser plus facilement vos efforts en matière de cybersécurité.
Une nouvelle alerte est ajoutée à un groupe d'alertes existant lorsque toutes les conditions suivantes sont remplies :
  • La priorité, la classification, la sous-classification, la description, les indicateurs clés et la réponse de l'alerte correspondent à ce groupe.
  • L'alerte se produit dans les 24 heures suivant l'alerte la plus récente de ce groupe.
  • L'alerte est détectée dans les 7 jours (168 heures) suivant l'alerte la plus ancienne de ce groupe.
Un nouveau groupe d'alertes est créé lorsqu'une alerte qui ne remplit pas toutes ces conditions est détectée.
Attribut de l'alerte
Description
Priorité
La priorité d'une alerte, qui correspond à l'urgence du problème et son impact potentiel sur l'environnement de votre entreprise, est prise en compte dans le mode de regroupement des alertes. La vue Alertes regroupe les alertes prioritaires parmi les sources de télémétrie pour vous aider à afficher et à résoudre en premier lieu les alertes les plus urgentes.
Les facteurs qui déterminent la priorité d'une alerte varient selon le service :
  • Pour les alertes de menace
    CylancePROTECT Desktop
    , la priorité est toujours élevée dans la vue Alertes, même si la priorité de l'alerte est inférieure dans Protection > Menaces de la console de gestion. L'objectif de cette priorité élevée dans la vue Alertes est d'indiquer l'urgence de la détection des programmes malveillants.
  • Pour
    CylancePROTECT Mobile
    , les alertes utilisent une valeur de priorité correspondant à la gravité spécifiée dans la console de gestion et dans l'application CylancePROTECT Mobile.
  • Pour les alertes
    CylanceOPTICS
    , la priorité est déterminée par la configuration des règles de détection CylanceOPTICS.
  • Pour les alertes
    CylanceGATEWAY
    , la priorité est basée sur les paramètres de protection réseau que vous configurez ou sur la réputation d'une destination, telle qu'elle est déterminée par
    CylanceGATEWAY
    , avec un niveau de risque élevé. Par exemple,
    CylanceGATEWAY
    peut générer des alertes à afficher dans la vue Alertes dans les cas suivants :
    • Détections de réputation de destination :
      • Lorsque cette option est activée, les alertes sont générées en fonction du niveau de risque que vous avez défini. Par exemple, si vous définissez le niveau de risque sur « Moyen à élevé », des alertes sont générées pour toutes les détections avec des niveaux de risque moyen et élevé.
      • Lorsque cette option n'est pas activée, les alertes dont le niveau de risque est élevé sont générées par défaut.
    • Détections de signature :
      • Lorsque cette option est activée, des alertes sont générées pour les détections de signature bloquées et s'affichent avec un niveau de risque élevé.
      • Lorsque cette option n'est pas activée,
        CylanceGATEWAY
        ne génère pas d'alertes.
    • En ce qui concerne les détections Tunnellisation DNS et Jour zéro, des alertes sont générées si les détections présentent un niveau de risque élevé.
  • En ce qui concerne les alertes
    CylanceAVERT
    , la priorité est toujours élevée dans la vue Alertes.
Classification et sous-classification
La classification et la sous-classification des alertes identifient et cataloguent le type de détection sous-jacent pour fournir un contenu d'alerte structuré qui décrit plus précisément l'alerte détectée par un service donné. Chaque service définit un ensemble spécifique de classifications et de sous-classifications pour clarifier la nature de l'alerte.
Les données de classification et de sous-classification servent à identifier et à regrouper les alertes similaires.
Les facteurs qui déterminent la classification et la sous-classification d'une alerte varient selon le service :
  • Pour les alertes de menace
    CylancePROTECT Desktop
    , la classification et la sous-classification correspondent aux classifications de fichiers des alertes de menace CylancePROTECT Desktop.
  • Pour
    CylancePROTECT Mobile
    , la classification correspond à une catégorie globale d'alertes (par exemple, Sécurité du terminal ou Menaces réseau) et la sous-classification correspond au type d'alerte spécifique qui s'affiche dans la console de gestion et dans l'application (par exemple, Application malveillante, Application chargée latéralement,
    Wi-Fi
    non sécurisé, etc.).
  • Pour
    CylanceOPTICS
    , les règles de détection contiennent des tactiques, des techniques et des sous-techniques MITRE pour définir la classification et la sous-classification d'une alerte.
  • Pour
    CylanceGATEWAY
    , la classification correspond à la catégorie globale des alertes (par exemple, Contrôle d'accès réseau) et la sous-classification correspond au type d'alerte spécifique qui s'affiche dans la console de gestion (par exemple, Réputation, Tunnellisation DNS, Détection de signature et Détection du jour zéro).
Description
La description d'une alerte est une caractéristique qui fournit un court segment d'informations sur l'alerte. Les alertes avec des descriptions sont davantage susceptibles d'être regroupées.
Indicateurs clés
Les indicateurs clés d'une alerte sont les objets associés à cette alerte et les caractéristiques uniques de ces objets. Le processus d'agrégation compare les indicateurs clés des alertes pour déterminer si celles-ci doivent être regroupées. Les alertes comportant des indicateurs clés communs dont la priorité, la classification, la description et la réponse correspondent, et se produisant dans une période donnée, sont regroupées.
Les indicateurs clés d'une alerte varient selon le service :
  • Pour les alertes de menace
    CylancePROTECT Desktop
    , l'indicateur clé est le hachage SHA256.
  • Pour
    CylancePROTECT Mobile
    , les indicateurs clés correspondent aux caractéristiques uniques d'une alerte mobile donnée (par exemple, le nom de package d'une application chargée latéralement, le SSID d'un réseau
    Wi-Fi
    non sécurisé, le modèle d'un terminal non pris en charge, etc.).
  • Pour
    CylanceOPTICS
    , les indicateurs clés sont les facets des artéfacts d'identification unique associés à une alerte. Par exemple, pour les artéfacts de processus, les indicateurs clés sont les facets suivants : hachage SHA256, chemin d'accès au fichier et argument de ligne de commande. Ces facets établissent une signature unique pour le type d'artéfact de processus qui peut être comparé à d'autres alertes. Les facets d'indicateur clé d'un groupe d'alertes sont communs à toutes les alertes individuelles du groupe.
  • Pour
    CylanceGATEWAY
    , les indicateurs clés sont « Connexion réseau » et « Requête DNS ».
  • Pour
    CylanceAVERT
    , les indicateurs clés varient en fonction du type d'artéfact. Pour les artéfacts d'alerte par e-mail, l'indicateur clé est l'ID de conversation. Pour les artéfacts d'alerte d'exfiltration de fichiers et de navigateur, l'indicateur clé est le nom d'utilisateur.
Réponse
Pour les services qui exécutent des actions d'atténuation, il s'agit de l'action que vous avez configurée pour exécuter le service en réponse à la détection. Par exemple, pour les alertes de menace
CylancePROTECT Desktop
, la réponse peut être l'une des suivantes : ignorée, en quarantaine, dangereuse ou anormale.
Pour les services qui n'exécutent pas d'actions d'atténuation, des informations pertinentes sont collectées à partir du service intégré. Les alertes avec des réponses correspondantes sont davantage susceptibles d'être regroupées.
Heure
L'heure à laquelle une alerte se produit par rapport aux autres alertes est prise en compte dans le mode de regroupement des alertes. Une alerte est ajoutée à un groupe existant si la priorité, la classification, la sous-classification, la description, les indicateurs clés et la réponse de l'alerte correspondent à ce groupe, si l'alerte se produit dans les 24 heures suivant l'alerte la plus récente de ce groupe et si l'alerte se produit dans les 7 jours (168 heures) suivant l'alerte la plus ancienne de ce groupe. Si l'alerte correspond aux critères ci-dessus, mais ne se produit pas dans les 24 heures suivant l'alerte la plus récente du groupe, ou dans les 7 jours de l'alerte la plus ancienne du groupe, elle est ajoutée à un nouveau groupe.
Le délai de 7 jours garantit que les groupes d'alertes ont une période fixe et ne croissent pas indéfiniment.