Utilisation des tableaux de bord
Gestion des alertes sur les services Cylance Endpoint Security
- Comment Cylance Endpoint Security regroupe les alertes
- Afficher et gérer les alertes agrégées
  - Changements d'état pour les alertes
Gestion d'utilisateurs, de terminaux et de groupes
Gestion des menaces détectées par CylancePROTECT Desktop
Gestion des menaces détectées par CylancePROTECT Mobile
- Afficher les alertes CylancePROTECT Mobile
- Menaces mobiles détectées par l'application CylancePROTECT Mobile
Gestion des listes sécurisées et dangereuses pour CylancePROTECT Desktop et CylancePROTECT Mobile
Analyse des données collectées par CylanceOPTICS
Utilisation de CylanceOPTICS pour détecter les évènements et y répondre
Surveillance des connexions réseau avec CylanceGATEWAY
- Affichage de l‘activité réseau
  - Afficher la page Détails de l‘évènement
Surveiller les fichiers sensibles avec CylanceAVERT
Afficher les vulnérabilités du SE mobile
Audit des actions de l'administrateur
Gestion des journaux
- Configurer la journalisation BlackBerry Connectivity Node
- Gérer les journaux de l'agent CylancePROTECT Desktop
  - Activer la journalisation détaillée sur un terminal CylancePROTECT Desktop
  - Journalisation Linux
    - Définir le niveau de journalisation
    - Collecter les fichiers journaux de l'agent à partir des terminaux Linux
Envoyer les événements à une solution SIEM ou à un serveur syslog
Activer l'accès à l'API utilisateur Cylance
Résolution des problèmes Cylance Endpoint Security

Comment
Cylance Endpoint Security
regroupe les alertes

Cylance Endpoint Security

utilise les critères suivants pour regrouper les alertes de différents services, en automatisant le processus afin de définir et d‘optimiser vos activités de recherche et de résolution des menaces en regroupements logiques d‘alertes connexes. Créée et gérée par

BlackBerry

, la logique de regroupement est conçue de manière dynamique pour gérer les alertes provenant d‘une gamme de services intégrés. Vous bénéficiez ainsi d‘une expérience sans intervention qui automatise l‘analyse de la fréquence et de la prévalence, ce qui vous permet de trier et de hiérarchiser plus facilement vos efforts en matière de cybersécurité.

Une nouvelle alerte est ajoutée à un groupe d‘alertes existant lorsque toutes les conditions suivantes sont remplies :

La priorité, la classification, la sous-classification, la description, les indicateurs clés et la réponse de l‘alerte correspondent à ce groupe.

L‘alerte se produit dans les 24 heures suivant l‘alerte la plus récente de ce groupe.

L‘alerte est détectée dans les 7 jours (168 heures) suivant l‘alerte la plus ancienne de ce groupe.

Un nouveau groupe d‘alertes est créé lorsqu‘une alerte qui ne remplit pas toutes ces conditions est détectée.

Priorité

La priorité d‘une alerte, qui correspond à l‘urgence du problème et son impact potentiel sur l‘environnement de votre entreprise, est prise en compte dans le mode de regroupement des alertes. La vue Alertes regroupe les alertes prioritaires parmi les sources de télémétrie pour vous aider à afficher et à résoudre en premier lieu les alertes les plus urgentes.

Les facteurs qui déterminent la priorité d‘une alerte varient selon le service :

Service	Facteurs
CylancePROTECT Desktop	Pour les alertes de menace, la priorité est toujours élevée dans la vue Alertes, même si la priorité de l‘alerte est inférieure dans Protection > Menaces de la console de gestion. L‘objectif de cette priorité élevée dans la vue Alertes est d‘indiquer l‘urgence de la détection des programmes malveillants. Pour les alertes de protection de la mémoire, la priorité est déterminée par la nature de l‘évènement de protection de la mémoire, telle qu‘elle est configurée par les analystes de cybersécurité BlackBerry . La priorité des évènements dépend de la gravité globale et de la pertinence de l‘enquête.
CylancePROTECT Mobile	Les alertes utilisent une valeur de priorité correspondant à la gravité spécifiée dans la console de gestion et dans l‘application CylancePROTECT Mobile.
CylanceOPTICS	La priorité est déterminée par la configuration des règles de détection CylanceOPTICS.
CylanceGATEWAY	La priorité est basée sur les paramètres de protection réseau que vous configurez ou sur la réputation d‘une destination, telle qu‘elle est déterminée par CylanceGATEWAY , avec un niveau de risque élevé. Par exemple, CylanceGATEWAY peut générer des alertes à afficher dans la vue Alertes dans les cas suivants : Détections de réputation de destination : Lorsque cette option est activée, les alertes sont générées en fonction du niveau de risque que vous avez défini. Par exemple, si vous définissez le niveau de risque sur « Moyen à élevé », des alertes sont générées pour toutes les détections avec des niveaux de risque moyen et élevé. Lorsque cette option n‘est pas activée, les alertes dont le niveau de risque est élevé sont générées par défaut. Détections de signature : Lorsque cette option est activée, des alertes sont générées pour les détections de signature bloquées et s‘affichent avec un niveau de risque élevé. Lorsque cette option n‘est pas activée, CylanceGATEWAY ne génère pas d‘alertes. En ce qui concerne les détections Tunnellisation DNS et Jour zéro, des alertes sont générées si les détections présentent un niveau de risque élevé.
CylanceAVERT	La priorité est toujours élevée dans la vue Alertes.
Mimecast	La priorité est déterminée par l‘évaluation des risques liés aux pièces jointes Mimecast .
Okta	La priorité est configurée par des analystes de cybersécurité BlackBerry .

Classification et sous-classification

La classification et la sous-classification des alertes identifient et cataloguent le type de détection sous-jacent pour fournir un contenu d‘alerte structuré qui décrit plus précisément l‘alerte détectée par un service donné. Chaque service définit un ensemble spécifique de classifications et de sous-classifications pour clarifier la nature de l‘alerte.

Les données de classification et de sous-classification servent à identifier et à regrouper les alertes similaires.

Les facteurs qui déterminent la classification et la sous-classification d‘une alerte varient selon le service :

Service	Facteurs
CylancePROTECT Desktop	Pour les alertes de menace, la classification et la sous-classification correspondent aux classifications de fichiers des alertes de menace CylancePROTECT Desktop. Pour les alertes de protection de la mémoire, la classification et la sous-classification correspondent aux types de violations de protection de la mémoire.
CylancePROTECT Mobile	La classification correspond à une catégorie globale d‘alertes (par exemple, Sécurité du terminal ou Menaces réseau) et la sous-classification correspond au type d‘alerte spécifique qui s‘affiche dans la console de gestion et dans l‘application (par exemple, Application malveillante, Application chargée latéralement, Wi-Fi non sécurisé, etc.).
CylanceOPTICS	Les règles de détection contiennent des tactiques, des techniques et des sous-techniques MITRE pour définir la classification et la sous-classification d‘une alerte.
CylanceGATEWAY	La classification correspond à la catégorie globale des alertes (par exemple, Contrôle d‘accès réseau) et la sous-classification correspond au type d‘alerte spécifique qui s‘affiche dans la console de gestion (par exemple, Réputation, Tunnellisation DNS, Détection de signature et Détection du jour zéro).
CylanceAVERT	La classification est déterminée par l‘évènement d‘exfiltration.
Mimecast	La classification d‘une alerte est la tactique MITRE d‘accès initial (TA0001). La sous-classification de la même alerte est la technique MITRE d‘hameçonnage (T1566).
Okta	La classification d‘une alerte est soit le contrôle d‘accès utilisateur (par exemple, si le nombre maximal de tentatives de connexion est dépassé), soit le contrôle d‘accès réseau (par exemple, si la demande IP est bloquée en raison d‘une règle de liste de blocage). Si la classification d‘alerte est le contrôle d‘accès utilisateur, la sous-classification sera le verrouillage utilisateur. Si la classification d‘alerte est le contrôle d‘accès réseau, la sous-classification sera le blocage de l‘adresse IP.

Description

La description d‘une alerte est une caractéristique qui fournit un court segment d‘informations sur l‘alerte. Les alertes avec des descriptions sont davantage susceptibles d‘être regroupées.

Indicateurs clés

Les indicateurs clés sont le contenu de détection commun à chaque alerte spécifique d‘un groupe d‘alertes. Le processus d‘agrégation compare les indicateurs clés des alertes pour déterminer si celles-ci doivent être regroupées. Par exemple, si un fichier contient un hachage SHA256 d‘indicateur clé, la valeur de hachage est identique dans chaque alerte comprise dans un groupe d‘alertes.

Les indicateurs clés d‘une alerte varient selon le service :

Service	Facteurs
CylancePROTECT Desktop	Pour les alertes de menace, l‘indicateur clé est le hachage SHA256. Pour les alertes de protection de la mémoire, les indicateurs clés sont les caractéristiques uniques de l‘évènement (par exemple, les données de fichier telles que le hachage SHA256 et la valeur de risque).
CylancePROTECT Mobile	Les indicateurs clés correspondent aux caractéristiques uniques d‘une alerte mobile donnée (par exemple, le nom de package d‘une application chargée latéralement, le SSID d‘un réseau Wi-Fi non sécurisé, le modèle d‘un terminal non pris en charge, etc.).
CylanceOPTICS	Les indicateurs clés sont les facettes des artéfacts d‘identification unique associés à une alerte. Par exemple, pour les artéfacts de processus, les indicateurs clés sont les facets suivants : hachage SHA256, chemin d‘accès au fichier et argument de ligne de commande. Ces facets établissent une signature unique pour le type d‘artéfact de processus qui peut être comparé à d‘autres alertes. Les facets d‘indicateur clé d‘un groupe d‘alertes sont communs à toutes les alertes individuelles du groupe.
CylanceGATEWAY	Les indicateurs clés sont Connexion réseau et Demande DNS.
CylanceAVERT	Les indicateurs clés varient en fonction du type d‘artéfact. Pour les artéfacts d‘alerte par e-mail, l‘indicateur clé est l‘ID de conversation. Pour les artéfacts d‘alerte d‘exfiltration de fichiers et de navigateur, l‘indicateur clé est le nom d‘utilisateur.
Mimecast	Les indicateurs clés sont les facettes des artéfacts associés à une alerte. Par exemple, pour les artéfacts de pièces jointes d‘e-mail, les indicateurs clés sont le hachage SHA256 de la pièce jointe d‘e-mail.
Okta	Les indicateurs clés sont les comptes associés aux demandes de connexion des utilisateurs et l‘adresse IP associée aux tentatives de connexion bloquées.

Réponse

Pour les services qui exécutent des actions d‘atténuation, il s‘agit de l‘action que vous avez configurée pour exécuter le service en réponse à la détection. Par exemple, pour les alertes de menace

CylancePROTECT Desktop

, la réponse peut être l‘une des suivantes : ignorée, en quarantaine, dangereuse ou anormale.

Pour les services qui n‘exécutent pas d‘actions d‘atténuation, des informations pertinentes sont collectées à partir du service intégré. Les alertes avec des réponses correspondantes sont davantage susceptibles d‘être regroupées.

Heure

L‘heure à laquelle une alerte se produit par rapport aux autres alertes est prise en compte dans le mode de regroupement des alertes. Une alerte est ajoutée à un groupe existant si la priorité, la classification, la sous-classification, la description, les indicateurs clés et la réponse de l‘alerte correspondent à ce groupe, si l‘alerte se produit dans les 24 heures suivant l‘alerte la plus récente de ce groupe et si l‘alerte se produit dans les 7 jours (168 heures) suivant l‘alerte la plus ancienne de ce groupe. Si l‘alerte correspond aux critères ci-dessus, mais ne se produit pas dans les 24 heures suivant l‘alerte la plus récente du groupe, ou dans les 7 jours de l‘alerte la plus ancienne du groupe, elle est ajoutée à un nouveau groupe.

Le délai de 7 jours garantit que les groupes d‘alertes ont une période fixe et ne croissent pas indéfiniment.

Section:

Gestion des alertes sur les services Cylance Endpoint Security

Comment Cylance Endpoint Security regroupe les alertes