Passer la navigation

Flux de données : détection et réponse aux événements et stockage des données d'événement (
CylanceOPTICS
3.x et versions ultérieures)

Flux de données démontrant comment CylanceOPTICS détecte et répond aux événements, et stocke les événements dans le cloud
  1. Un administrateur utilise la console de gestion pour configurer les règles de détection et les attribue à une stratégie de terminal.
  2. Les services cloud
    CylanceOPTICS
    envoient les règles de détection via une connexion WebSocket sécurisée à un terminal avec l'agent
    CylanceOPTICS
    . Les données de règle incluent également les réponses configurées pour chaque événement (par exemple, déconnecter tous les utilisateurs, suspendre les processus, etc.).
  3. L'agent
    CylanceOPTICS
    prend en compte les règles de détection dans le moteur d'analyse de contexte (CAE) qu'il utilise pour analyser et mettre les événements en corrélation.
  4. Les capteurs
    CylanceOPTICS
    détectent un événement.
  5. Le CAE détermine si l'événement respecte une règle de détection. Si c'est le cas, effectuez l'une des opérations suivantes :
    • Si l'agent
      CylanceOPTICS
      est déjà configuré avec la réponse à l'événement, il exécute la réponse.
    • Si l'agent a besoin de données supplémentaires pour exécuter la réponse (par exemple, si la réponse nécessite un package de playbooks que le terminal ne possède pas encore), l'agent envoie les données de détection aux services cloud
      CylanceOPTICS
      via une connexion WebSocket sécurisée. Les services cloud
      CylanceOPTICS
      traitent la détection et fournissent les données dont l'agent a besoin pour exécuter la réponse.
  6. L'agent hiérarchise et envoie les données d'événement aux services cloud
    CylanceOPTICS
    via un canal d'événement dédié à l'aide d'une connexion TLS sécurisée. Les services cloud
    CylanceOPTICS
    reçoivent et traitent les données d'événement, les stockant dans la base de données cloud
    CylanceOPTICS
    sécurisée.
  7. Un administrateur utilise la console de gestion pour demander des données de détection ou pour lancer une requête InstaQuery, une requête avancée ou une requête Focus View. La console de gestion interagit avec les services cloud
    CylanceOPTICS
    via HTTP sur TLS.
  8. Les services Cloud
    CylanceOPTICS
    valident et traitent la demande, récupèrent les données demandées à partir de la base de données cloud
    CylanceOPTICS
    et renvoient les données à la console de gestion.
  9. Les données de détection, le résultat de la requête ou les données détaillées s'affichent dans la console de gestion.