Passer la navigation

Structures de données utilisées par
CylanceOPTICS
pour identifier les menaces

Les évènements, artefacts et facets sont les trois principales structures de données utilisées par
CylanceOPTICS
pour analyser, enregistrer et examiner les activités qui se produisent sur les terminaux. Les fonctionnalités
CylanceOPTICS
s‘appuient sur ces structures de données, y compris les requêtes InstaQuery, les données détaillés et le moteur d‘analyse de contexte (CAE).
Cette section fournit plus d‘informations sur la manière dont
CylanceOPTICS
interprète et interagit avec les activités sur les terminaux, afin de vous aider à mieux comprendre et utiliser les détections, les requêtes et les données détaillées.

Sources de données en fonction du système d‘exploitation

L‘agent
CylanceOPTICS
utilise les sources de données suivantes :
OS
Sources de données
Windows
  • Pilote de noyau CyOpticsDrv
  • Suivi des évènements
  • Fichier journal d‘audit de sécurité
macOS
Pilote de noyau CyOpticsDrvOSX
Linux
ZeroMQ
Pour plus d‘informations sur les types de trafic réseau que
CylanceOPTICS
exclut par défaut, reportez-vous à l‘article KB65604.

Évènements

Les évènements sont les composants qui entraînent une modification ou une action observable sur un terminal. Les évènements comportent deux artefacts principaux : l‘artefact instigateur qui déclenche une action et l‘artefact cible sur lequel des mesures sont prises.
Les tableaux suivants fournissent des détails sur les types d‘évènements pouvant être détectés par
CylanceOPTICS
et avec lesquels il peut interagir.
Évènement : indifférent
  • Option de stratégie de terminal à activer : case à cocher
    CylanceOPTICS
  • Type d‘artefact : processus, utilisateur
  • Plateforme :
    Windows
    ,
    macOS
    ,
    Linux
Type d‘évènement
Description
Indifférent
Tous les évènements enregistrent le processus qui les a générés et l‘utilisateur associé à l‘action.
Évènement : application
  • Option de stratégie de terminal à activer : Visibilité WMI avancée
  • Type d‘artefact : suivi WMI
  • Plateforme :
    Windows
Type d‘évènement
Description
Créer une liaison filtre-client
Un processus a utilisé la persistance WMI.
Créer un client temporaire
Un processus s‘est abonné aux évènements WMI.
Exécuter l‘opération
Un processus a effectué une opération WMI.
  • Option de stratégie de terminal à activer : Visibilité améliorée des accrochages et des processus
  • Type d‘artefact : fichier
  • Plateforme :
    Windows
Type d‘évènement
Description
CBT
L‘API SetWindowsHookEx a installé un crochet pour recevoir des notifications utiles à une application CBT.
DebugProc
L‘API SetWindowsHookEx a installé un crochet pour déboguer d‘autres procédures de crochet.
Obtenir l‘état de clé asynchrone
Un processus a appelé l‘API Win32 GetAsyncKeyState.
JournalPlayback
L‘API SetWindowsHookEx a installé un crochet pour surveiller les messages précédemment enregistrés par une procédure de crochet WH_JOURNALLECORD.
JournalRecord
L‘API SetWindowsHookEx a installé un crochet pour surveiller les messages d‘entrée publiés dans la file d‘attente des messages système.
Clavier
L‘API SetWindowsHookEx a installé un crochet pour surveiller les messages de frappe.
Clavier de bas niveau
L‘API SetWindowsHookEx a installé un crochet pour surveiller les évènements de saisie clavier de bas niveau.
Souris de bas niveau
L‘API SetWindowsHookEx a installé un crochet pour surveiller les évènements d‘entrée de souris de bas niveau.
Message
L‘API SetWindowsHookEx a installé un crochet pour surveiller les messages publiés dans une file d‘attente de messages.
Souris
L‘API SetWindowsHookEx a installé un crochet pour surveiller les messages de la souris.
Enregistrer les terminaux d‘entrée brute
Un processus a appelé API Win32 RegisterRawInputDevices.
Définir le crochet d‘événement
Windows
Un processus a appelé l‘API Win32 SetWinEventHook.
Configurer le crochet
Windows
L‘API SetWindowsHookEx a installé une valeur de type de crochet non répertoriée.
ShellProc
L‘API SetWindowsHookEx a installé un crochet pour recevoir des notifications utiles pour les applications de shell.
SysMsg
L‘API SetWindowsHookEx a installé un crochet pour surveiller les messages générés à la suite d‘un évènement d‘entrée dans une boîte de dialogue, une boîte de message ou une barre de défilement.
WindowProc
L‘API SetWindowsHookEx a installé un crochet pour surveiller les messages de procédure
Windows
.
  • Option de stratégie de terminal à activer : Détecteur API
  • Type d‘artefact : Appel API
  • Plateforme :
    Windows
Type d‘évènement
Description
Fonction
Un appel de fonction remarquable a été effectué.
  • Option de stratégie de terminal à activer : Visibilité charge de module
  • Type d‘artefact : fichier
  • Plateforme :
    Windows
Type d‘évènement
Description
Charger
Une application a chargé un module.
  • Option de stratégie de terminal à activer : Visibilité objet COM
  • Plateforme :
    Windows
Type d‘évènement
Description
Créé
Un objet COM a été créé.
Évènement : terminal
  • Option de stratégie de terminal à activer : case à cocher
    CylanceOPTICS
  • Type d‘artefact : fichier
  • Plateforme :
    macOS
    ,
    Linux
Type d‘évènement
Description
Monter
Le terminal est connecté à une machine ou les dossiers sont montés sur des emplacements réseau spécifiques.
Évènement : fichier
  • Option de stratégie de terminal à activer : case à cocher
    CylanceOPTICS
  • Type d‘artefact : fichier
  • Plateforme :
    Windows
    ,
    macOS
    ,
    Linux
Type d‘évènement
Description
Créer
Un fichier a été créé.
Supprimer
Un fichier a été supprimé.
Écraser
Un fichier a été écrasé.
Renommer
Un fichier a été renommé.
Écrire
Un fichier a été modifié.
  • Option de stratégie de terminal à activer : Visibilité améliorée de lecture de fichier
  • Type d‘artefact : fichier
  • Plateforme :
    Windows
Type d‘évènement
Description
Ouvrir
Un fichier a été ouvert.
Évènement : mémoire
  • Option de stratégie de terminal à activer : case à cocher
    CylanceOPTICS
  • Type d‘artefact : processus
  • Plateforme :
    macOS
    ,
    Linux
Type d‘évènement
Description
Mmap
Une région de mémoire a été mappée dans un but spécifique, généralement allouée à un processus.
MProtect
Les métadonnées ont été modifiées pour une région de mémoire, généralement pour modifier son état (par exemple, pour le rendre exécutable).
Évènement : réseau
  • Option de stratégie de terminal à activer : case à cocher
    CylanceOPTICS
  • Type d‘artefact : réseau
  • Plateforme :
    Windows
    ,
    macOS
    ,
    Linux
Type d‘évènement
Description
Se connecter
Une connexion réseau a été établie. Par défaut, le trafic local n‘est pas collecté.
  • Option de stratégie de terminal à activer : Visibilité des adresses réseau privées
  • Type d‘artefact : réseau
  • Plateforme :
    Windows
Type d‘évènement
Description
Se connecter
Les évènements de connexion incluent le trafic local.
  • Option de stratégie de terminal à activer : Visibilité DNS
  • Type d‘artefact : requête DNS
  • Plateforme :
    Windows
    ,
    Linux
Type d‘évènement
Description
Demande
Un processus a effectué une requête DNS réseau qui n‘était pas mise en cache.
Réponse
Un processus a reçu une réponse DNS.
  • Option de stratégie de terminal à activer : Visibilité HTTP
  • Type d‘artefact : HTTP
  • Plateforme :
    Windows
Type d‘évènement
Description
Get
Windows
a utilisé WinINet ou WinHTTP pour créer une requête HTTP.
Post
Windows
a utilisé WinINet ou WinHTTP pour envoyer des données.
Évènement : processus
  • Option de stratégie de terminal à activer : case à cocher
    CylanceOPTICS
  • Type d‘artefact : processus
Type d‘évènement
Plateforme
Description
Sortie anormale
macOS
Linux
Surveillé par le capteur de présélection, un processus s‘est arrêté sans être terminé (par exemple, une exception a provoqué la fermeture d‘un processus).
Quitter
Windows
macOS
Linux
Un processus a été arrêté.
Sortie forcée
macOS
Linux
Surveillé par le capteur de présélection, un processus a été forcé de quitter le système par un autre processus.
PTrace
macOS
Linux
Il s‘agit d‘un outil système Unix qui permet à un processus de surveiller et de contrôler un autre processus.
Démarrer
Windows
macOS
Linux
Un processus a démarré.
Suspendre
Linux
Surveillé par le capteur de présélection, un processus a été suspendu.
Évènement de processus
Linux
inconnu
macOS
Linux
Surveillé par le capteur de présélection, un évènement inconnu s‘est produit avec le processus comme cible. Cela peut indiquer qu‘un logiciel malveillant masque son activité.
  • Option de stratégie de terminal à activer : Visibilité améliorée des accrochages et des processus
  • Type d‘artefact : processus
  • Plateforme :
    Windows
Type d‘évènement
Description
SetThreadContext
Un processus a appelé l‘API SetThreadContext.
Terminer
Un processus instigateur a mis fin à un autre processus cible.
Évènement : registre
  • Option de stratégie de terminal à activer : case à cocher
    CylanceOPTICS
  • Type d‘artefact : registre, fichier (si la clé de registre fait référence à un fichier spécifique)
  • Plateforme :
    Windows
Type d‘évènement
Description
KeyCreated
Une clé de registre a été créée.
KeyDeleting
Une clé de registre a été supprimée.
ValueChanging
La valeur de clé de registre a été modifiée.
ValueDeleting
Une valeur de clé de registre a été supprimée.
Évènement : scripts
  • Option de stratégie de terminal à activer : Visibilité avancée des scripts
  • Type d‘artefact : suivi PowerShell
  • Plateforme :
    Windows
Type d‘évènement
Description
Exécuter la commande
Windows PowerShell
a exécuté une commande. Les paramètres sont inconnus.
Exécuter le script
Windows PowerShell
a exécuté un script.
Exécuter le bloc de script
Windows PowerShell
a exécuté un bloc de script.
Appeler la commande
Windows PowerShell
a appelé une commande avec des paramètres liés.
Empêcher le script
Un résultat de ScanBuffer AMSI indique qu‘un script a été détecté ou bloqué par un administrateur.
Évènement : utilisateur
  • Option de stratégie de terminal à activer : Visibilité avancée des scripts
  • Type d‘artefact : événement
    Windows
  • Plateforme :
    Windows
Type d‘évènement
Description
Déconnexion du lot
L‘ID d‘évènement
Windows
suivant s‘est produit : 4634 (type 4).
Connexion au lot
L‘ID d‘évènement
Windows
suivant s‘est produit : 4624 (type 4).
Déconnexion interactive en cache
L‘ID d‘évènement
Windows
suivant s‘est produit : 4634 (type 11).
Connexion interactive en cache
L‘ID d‘évènement
Windows
suivant s‘est produit : 4624 (type 11).
Déconnexion interactive
L‘ID d‘évènement
Windows
suivant s‘est produit : 4634 (type 2).
Connexion interactive
L‘ID d‘évènement
Windows
suivant s‘est produit : 4624 (type 2).
Déconnexion du réseau
L‘ID d‘évènement
Windows
suivant s‘est produit : 4634 (type 3).
Connexion réseau
L‘ID d‘évènement
Windows
suivant s‘est produit : 4624 (type 3).
Déconnexion au réseau en texte clair
L‘ID d‘évènement
Windows
suivant s‘est produit : 4634 (type 8).
Connexion au réseau en texte clair
L‘ID d‘évènement
Windows
suivant s‘est produit : 4624 (type 8).
Déconnexion des nouveaux identifiants
L‘ID d‘évènement
Windows
suivant s‘est produit : 4634 (type 9).
Connexion aux nouveaux identifiants
L‘ID d‘évènement
Windows
suivant s‘est produit : 4624 (type 9).
Déconnexion interactive à distance
L‘ID d‘évènement
Windows
suivant s‘est produit : 4634 (type 10).
Connexion interactive à distance
L‘ID d‘évènement
Windows
suivant s‘est produit : 4624 (type 10).
Déconnexion du service
L‘ID d‘évènement
Windows
suivant s‘est produit : 4634 (type 5).
Connexion au service
L‘ID d‘évènement
Windows
suivant s‘est produit : 4624 (type 5).
Déverrouiller la déconnexion
L‘ID d‘évènement
Windows
suivant s‘est produit : 4634 (type 7).
Déverrouiller la connexion
L‘ID d‘évènement
Windows
suivant s‘est produit : 4624 (type 7).
Déconnexion utilisateur
L‘ID d‘évènement
Windows
suivant s‘est produit : 4634 (valeur de type non répertoriée).
Connexion utilisateur
L‘ID d‘évènement
Windows
suivant s‘est produit : 4624 (valeur de type non répertoriée).

Artefacts et facets

Les artefacts sont des éléments d‘information complexes pouvant être utilisés par
CylanceOPTICS
. Le moteur d‘analyse de contexte (CAE) peut identifier les artefacts sur les terminaux et les utiliser pour déclencher une réponse automatique aux incidents et des actions correctives. Les requêtes InstaQueries utilisent des artefacts comme base d‘une requête.
Les facets sont les attributs d‘un artefact qui peuvent être utilisés pour identifier les traits d‘un artefact associé à un évènement. Les facets sont corrélés et combinés pendant l‘analyse pour identifier les activités potentiellement malveillantes. Par exemple, un fichier nommé « explorer.exe » peut ne pas être intrinsèquement suspect, mais si le fichier n‘est pas signé par
Microsoft
et qu‘il réside dans un répertoire temporaire, il peut être identifié comme suspect dans certains environnements.
CylanceOPTICS
utilise les artefacts et facets suivants :
Artefact
Facets
Appel d‘API
  • Fonction
  • DLL
  • Paramètres
DNS
  • Connexion
  • IsRecursionDesired
  • IsUnsolicitedResponse
  • Opcode
  • RequestId
  • Résolution
  • ResponseOriginatedFromThisDevice
  • Questions
Évènement
  • Heure d‘occurrence
  • Heure d‘enregistrement
Fichier
  • Enregistrement de fichier exécutable (fichiers binaires uniquement)
  • Heure de création du fichier (signalée par le système d‘exploitation)
  • Chemin du fichier
  • Signature de fichier (fichiers binaires uniquement)
  • Taille du fichier
  • Heure de la dernière modification (signalée par le système d‘exploitation)
  • Hachage md5 (fichiers binaires uniquement)
  • Emplacement d‘écriture récent
  • Hachage sha256 (fichiers binaires uniquement)
  • Type de fichier suspecté
  • Utilisateur
Réseau
  • Adresse locale
  • Port local
  • Protocole
  • Adresse distante
  • Port distant
Suivi PowerShell
  • EventId
  • Charge utile
  • PayloadAnalysis
  • ScriptBlockText
  • ScriptBlockTextAnalysis
Processus
  • Ligne de commande
  • Fichier à partir duquel l‘exécutable a été exécuté
  • Processus parent
  • ID de processus
  • Heure de début
  • Utilisateur
Registre
  • Si la valeur fait référence à un fichier sur le système
  • Chemin de registre
  • Valeur
Utilisateurs
  • Domaine
  • Identifiant spécifique au système d‘exploitation (par exemple, SID)
  • Nom d‘utilisateur
Les artefacts utilisateur peuvent contenir l‘une des valeurs suivantes. Cependant, les données ne sont pas disponibles sur la plupart des terminaux.
  • AccountType
  • BadPasswordCount
  • Commentaire
  • CountryCode
  • FullName
  • HasPasswordExpired
  • HomeDirectory
  • IsAccountDisabled
  • IsLocalAccount
  • IsLockedOut
  • IsPasswordRequired
  • LanguageCodePage
  • LogonServer
  • PasswordAge
  • PasswordDoesNotExpire
  • ProfilePath
  • ScriptPath
  • UserPrivilege
  • Workstations
Évènement
Windows
  • Classe
  • ID d‘évènement
  • Serveur objet
  • Liste de privilèges
  • ID de processus
  • Nom du processus
  • Nom du fournisseur
  • Service
  • Nom du domaine objet
  • ID de connexion objet
  • Nom d‘utilisateur objet
  • Sid d‘utilisateur objet
Suivi WMI
  • ConsumerText
  • ConsumerTextAnalysis
  • EventId
  • Espace de noms
  • Opération
  • OperationAnalysis
  • OriginatingMachineName

Valeurs et clés de registre

CylanceOPTICS
surveille les valeurs et les clés communes de persistance, de démarrage de processus et d‘escalade des privilèges, ainsi que les valeurs indiquées dans l‘article KB 66266.
Pour en savoir plus sur la manière dont
CylanceOPTICS
surveille les points de persistance dans le registre, consultez l‘article KB 66357.