Passer la navigation

Capteurs
CylanceOPTICS
en option

Vous pouvez activer l‘un des capteurs
CylanceOPTICS
suivants pour collecter des données supplémentaires, outre les évènements de processus, de fichiers, de réseau et des évènements de registre. L‘activation de capteurs facultatifs peut avoir un impact sur les performances et l‘utilisation des ressources sur les terminaux, ainsi que sur la quantité de données stockées dans la base de données
CylanceOPTICS
.
BlackBerry
recommande d‘activer les capteurs facultatifs sur un petit nombre de terminaux pour évaluer l‘impact.
Les capteurs facultatifs sont pris en charge pour les systèmes d‘exploitation 64 bits uniquement, sauf mention contraire.
Capteur
Description
Bonnes pratiques
Notes
Visibilité avancée des scripts
L‘agent
CylanceOPTICS
enregistre les commandes, les arguments, les scripts et le contenu à partir de JScript, PowerShell (console et environnement de script intégré), VBScript et l‘exécution de script de macro VBA.
Ratio signal/bruit : Élevé
Impact potentiel sur la conservation des données et les performances : Faible à modéré
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
Non recommandé pour
Microsoft Exchange
et les serveurs de messagerie.
  • Les outils fournis par
    Microsoft
    ou d‘autres solutions tierces peuvent considérablement dépendre de PowerShell pour réaliser les opérations.
  • Pour améliorer la conservation des données,
    BlackBerry
    vous recommande de configurer des exceptions de détection pour les outils fiables qui utilisent beaucoup PowerShell.
Visibilité WMI avancée
L‘agent
CylanceOPTICS
enregistre les attributs et paramètres WMI supplémentaires.
Ratio signal/bruit : Élevé
Impact potentiel sur la conservation des données et les performances : Faible
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
  • Certains processus d‘arrière-plan et de maintenance
    Windows
    utilisent WMI pour planifier des tâches ou exécuter des commandes, ce qui peut entrainer des pics d‘activité WMI élevée.
  • BlackBerry
    recommande d‘analyser l‘utilisation WMI dans votre environnement avant d‘activer ce capteur.
Capteur API
L‘agent
CylanceOPTICS
surveille un ensemble identifié d‘appels d‘API
Windows
.
Ratio signal/bruit : Modéré
Impact potentiel sur la rétention des données et les performances : l‘activation de ce capteur peut avoir un impact sur les performances du processeur d‘un terminal
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
  • Pris en charge sur les systèmes d‘exploitation
    Windows
     x86 ou x64.
  • Nécessite l‘agent
    CylancePROTECT Desktop
     3.0.1003 ou une version ultérieure.
  • Nécessite l‘agent
    CylanceOPTICS
     3.2 ou une version ultérieure.
Visibilité de l‘objet COM
L‘agent
CylanceOPTICS
surveille les appels d‘API et d‘interface COM pour détecter les comportements malveillants tels que la création de tâches planifiées.
Ratio signal/bruit : Élevé
Impact potentiel sur la rétention des données et les performances : l‘activation de ce capteur peut avoir un impact sur les performances du processeur.
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
Non recommandé pour les serveurs.
  • Windows
    uniquement.
  • Nécessite l‘agent
    CylancePROTECT Desktop
     3.2 ou une version ultérieure.
  • Nécessite l‘agent
    CylanceOPTICS
     3.3 ou une version ultérieure.
Détection de cryptojacking
L‘agent
CylanceOPTICS
traite l‘activité de l‘UC
Intel
à l‘aide de registres matériels à la recherche d‘activités potentielles de minage de cryptomonnaie et de cryptojacking.
Ratio signal/bruit : Modéré
Impact potentiel sur la conservation des données et les performances : Faible
Système d‘exploitation pris en charge :
  • Windows
     10 x64
  • Intel
    génération 6 à 10
BlackBerry
recommande de désactiver ce capteur, car nous étudions actuellement les problèmes de stabilité que ce capteur peut causer avec le système d‘exploitation du terminal.
  • Non pris en charge pour les machines virtuelles.
  • Non pris en charge pour les processeurs
    Intel
    de génération 11 ou ultérieure.
    BlackBerry
    ne recommande pas l‘activation de ce capteur pour la génération 11 ou ultérieure.
Visibilité DNS
L‘agent
CylanceOPTICS
enregistre les requêtes DNS, les réponses et les champs de données associés tels que Nom de domaine, Adresses résolues et Type d‘enregistrement.
Ratio signal/bruit : Modéré
Impact potentiel sur la conservation des données et les performances : Modéré
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
Non recommandé pour les serveurs DNS.
  • Notez que ce capteur peut collecter une quantité importante de données, mais peut également fournir une visibilité sur les données que d‘autres outils peinent à enregistrer.
  • Pour améliorer la conservation des données,
    BlackBerry
    vous recommande de configurer des exceptions de détection pour les outils fiables qui utilisent beaucoup les services cloud.
Visibilité améliorée de la lecture des fichiers
L‘agent
CylanceOPTICS
surveille les lectures de fichiers dans un ensemble identifié de répertoires.
Ratio signal/bruit : Modéré
Impact potentiel sur la conservation des données et les performances : Faible
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
  • Certains outils de sécurité tiers peuvent utiliser les API
    Windows
    à partir desquelles ce capteur collecte des données. Dans certains cas,
    CylanceOPTICS
    peut enregistrer des données non pertinentes ou fiables.
  • Pour améliorer la conversation des données et obtenir un ratio signal/bruit plus élevé,
    BlackBerry
    recommande de configurer des exceptions de détection pour des outils de sécurité fiables.
Analyse améliorée de fichiers exécutables portables
L‘agent
CylanceOPTICS
enregistre les champs de données associés aux fichiers exécutables portables, tels que la version de fichier, les fonctions d‘importation et les types d‘outils Packer.
Ratio signal/bruit : Modéré
Impact potentiel sur la conservation des données et les performances : Faible
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
  • Les données collectées par ce capteur sont transmises au moteur d‘analyse de contexte pour faciliter l‘analyse avancée des fichiers exécutables et ne sont pas stockées dans la base de données
    CylanceOPTICS
    .
  • L‘activation de ce capteur aura peu ou pas d‘impact sur la conservation des données
    CylanceOPTICS
    .
  • Si vous ajoutez et activez une règle de détection qui analyse les ressources de chaîne, l‘agent
    CylanceOPTICS
    peut consommer d‘importantes ressources de processeur et de mémoire.
Visibilité Améliorée des processus et de l‘accrochage
L‘agent
CylanceOPTICS
enregistre les informations de processus à partir des messages d‘API Win32 et d‘audit de noyau pour détecter les formes d‘accrochage et d‘injection de processus.
Ratio signal/bruit : Modéré
Impact potentiel sur la conservation des données et les performances : Faible
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
  • Certains outils de sécurité tiers peuvent utiliser les API
    Windows
    à partir desquelles ce capteur collecte des données. Dans certains cas,
    CylanceOPTICS
    peut enregistrer des données non pertinentes ou fiables.
  • Pour améliorer la conversation des données et obtenir un ratio signal/bruit plus élevé,
    BlackBerry
    recommande de configurer des exceptions de détection pour des outils de sécurité fiables.
Visibilité HTTP
L‘agent
CylanceOPTICS
suit les transactions HTTP Windows, y compris le suivi des événements pour Windows, les API WinINet et les API WinHTTP.
Ratio signal/bruit : Élevé
Impact potentiel sur la rétention des données et les performances : l‘activation de ce capteur peut avoir un impact sur les performances du processeur.
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
Non recommandé pour les serveurs.
  • Windows
    uniquement.
  • Nécessite l‘agent
    CylancePROTECT Desktop
     3.2 ou une version ultérieure.
  • Nécessite l‘agent
    CylanceOPTICS
     3.3 ou une version ultérieure.
Visibilité de la charge du module
L‘agent
CylanceOPTICS
surveille les charges du module.
Ratio signal/bruit : Élevé
Impact potentiel sur la rétention des données et les performances : l‘activation de ce capteur peut avoir un impact sur les performances du processeur.
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
  • Windows
    uniquement.
  • Nécessite l‘agent
    CylancePROTECT Desktop
     3.2 ou une version ultérieure.
  • Nécessite l‘agent
    CylanceOPTICS
     3.3 ou une version ultérieure.
Visibilité des adresses de réseau privé
L‘agent
CylanceOPTICS
enregistre les connexions réseau comprises dans les espaces d‘adresse RFC 1918 et RFC 4193.
Ratio signal/bruit : Faible
Impact potentiel sur la conservation des données et les performances : Faible
Recommandé pour les ordinateurs de bureau.
Déconseillé pour :
  • Serveurs DNS
  • Systèmes avec peu ou sans ressources
  • Systèmes qui utilisent RDP ou un autre logiciel d‘accès à distance
  • Ce capteur collecte une quantité importante de données et peut avoir un impact sur la durée pendant laquelle les données sont stockées dans la base de données
    CylanceOPTICS
    .
  • BlackBerry
    recommande d‘activer ce capteur uniquement dans les environnements dans lesquelles une visibilité complète de la communication d‘adresse de réseau privé est requise.
Visibilité avancée de l‘audit sous Windows
L‘agent
CylanceOPTICS
surveille les types et catégories d‘événements
Windows
supplémentaires.
Ratio signal/bruit : Modéré
Impact potentiel sur la conservation des données et les performances : Faible
Ce capteur permet de surveiller les ID d‘événement suivants :
  • 4769 - demande de ticket kerberos
  • 4662 - opération sur un objet active directory
  • 4624 connexion réussie
  • 4702 création de tâches planifiées
Visibilité du journal des événements Windows
L‘agent
CylanceOPTICS
enregistre les événements de sécurité
Windows
et leurs attributs associés.
Ratio signal/bruit : Modéré
Impact potentiel sur la conservation des données et les performances : Modéré
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
Déconseillé pour :
  • Contrôleurs de domaine
  • Microsoft Exchange
    et serveurs de messagerie
  • Les journaux d‘événements
    Windows
    à partir desquels ce capteur collecte des données sont fréquemment générés lors d‘une utilisation normale du système.
  • Pour réduire les doublons et améliorer la conservation des données, déterminez si votre organisation dispose déjà d‘outils de collecte des données à partir des journaux d‘événements
    Windows
    .