Passer la navigation
  1. BlackBerry Docs
  2. Cylance Endpoint Security
  3. Présentation et architecture de Cylance Endpoint Security
  4. Qu'est-ce que CylanceOPTICS ?
  5. Flux de données : détection et réponse aux événements et stockage des données d'événement (CylanceOPTICS 3.x et versions ultérieures)

Flux de données : détection et réponse aux événements et stockage des données d'événement (
CylanceOPTICS
 3.x et versions ultérieures)

Flux de données démontrant comment CylanceOPTICS détecte et répond aux événements, et stocke les événements dans le cloud
  1. Un administrateur utilise la console de gestion pour configurer les règles de détection et les attribue à une stratégie de terminal.
  2. Les services cloud
    CylanceOPTICS
     envoient les règles de détection via une connexion WebSocket sécurisée à un terminal avec l'agent
    CylanceOPTICS
    . Les données de règle incluent également les réponses configurées pour chaque événement (par exemple, déconnecter tous les utilisateurs, suspendre les processus, etc.).
  3. L'agent
    CylanceOPTICS
     prend en compte les règles de détection dans le moteur d'analyse de contexte (CAE) qu'il utilise pour analyser et mettre les événements en corrélation.
  4. Les capteurs
    CylanceOPTICS
     détectent un événement.
  5. Le CAE détermine si l'événement respecte une règle de détection. Si c'est le cas, effectuez l'une des opérations suivantes :
    • Si l'agent
      CylanceOPTICS
       est déjà configuré avec la réponse à l'événement, il exécute la réponse.
    • Si l'agent a besoin de données supplémentaires pour exécuter la réponse (par exemple, si la réponse nécessite un package de playbooks que le terminal ne possède pas encore), l'agent envoie les données de détection aux services cloud
      CylanceOPTICS
       via une connexion WebSocket sécurisée. Les services cloud
      CylanceOPTICS
       traitent la détection et fournissent les données dont l'agent a besoin pour exécuter la réponse.
  6. L'agent hiérarchise et envoie les données d'événement aux services cloud
    CylanceOPTICS
     via un canal d'événement dédié à l'aide d'une connexion TLS sécurisée. Les services cloud
    CylanceOPTICS
     reçoivent et traitent les données d'événement, les stockant dans la base de données cloud
    CylanceOPTICS
     sécurisée.
  7. Un administrateur utilise la console de gestion pour demander des données de détection ou pour lancer une requête InstaQuery, une requête avancée ou une requête Focus View. La console de gestion interagit avec les services cloud
    CylanceOPTICS
     via HTTP sur TLS.
  8. Les services Cloud
    CylanceOPTICS
     valident et traitent la demande, récupèrent les données demandées à partir de la base de données cloud
    CylanceOPTICS
     et renvoient les données à la console de gestion.
  9. Les données de détection, le résultat de la requête ou les données détaillées s'affichent dans la console de gestion.