InstaQuery と高度なクエリを使用したアーチファクトデータの分析
InstaQuery と高度なクエリは、アーチファクトデータを分析して侵害の指標を検出し、組織のデバイスでの出現率を判断するための
CylanceOPTICS
機能です。クエリの結果は、アーチファクトがいつどのように使用されたかを示すものではありませんが、組織のデバイスやデータに脅威を知らせる、フォレンジック的に重要な方法でアーチファクトが観察されたことがあるかどうかを示します。InstaQuery を使用すると、特定のタイプのフォレンジックアーチファクトについてデバイスセットを調査できます。また、デバイスにアーチファクトが存在するかどうか、およびそのアーチファクトがどの程度の頻度で発生するかを判断できます。高度なクエリは InstaQuery を進化させたものであり、EQL 構文を使用する詳細な検索機能で、脅威を特定する機能を強化します。
CylanceOPTICS
エージェントをデバイスにインストールして有効にすると、エージェントはアーチファクトを収集し、CylanceOPTICS
データベースに保存します。CylanceOPTICS
エージェント 2.x 以前のバージョンでは、データベースはデバイス上にローカルに保存されます。CylanceOPTICS
エージェント 3.0 以降では、エージェントは自動的にデータを CylanceOPTICS
クラウドデータベースにアップロードし、保存します。クエリを作成すると、フォレンジック的に重要なデータが CylanceOPTICS
データベースから取得されます。管理コンソールで結果を表示し、調査できます。CylanceOPTICS
エージェント 2.x 以前のデバイスでは、デバイスがオンラインの場合にのみクエリを正常に完了できます。エージェント 3.0 以降のデバイスでは、クエリは CylanceOPTICS
クラウドデータベースで使用可能な最新データを使用するため、デバイスをオンラインにする必要はありません。1 つのクエリで、最大 10,000 件の結果を表示し、保持できます。クエリの結果は 60 日間保持されます。
クエリ可能な特定のアーチファクトについて、次の詳細に注意してください。
アーチファクト | 詳細 |
---|---|
ファイル | CylanceOPTICS エージェントがデバイスにインストールされた後に作成、変更、または削除された特定のファイルをクエリできます。CylanceOPTICS では、コンテンツの実行に使用できるファイル(実行可能ファイル、Microsoft
Office ドキュメント、PDF など)に焦点を当てます。 |
ネットワーク接続 | IPv4 と IPv6 の両方の宛先 IP アドレスに対してクエリを実行できます。 CylanceOPTICS では、プライベート、ルーティング不能、マルチキャスト、リンクローカル、およびループバックネットワークトラフィックを破棄します。 |
処理 | すべてのプロセスが CylanceOPTICS データベース内でインデックス付けされますが、次の制限があります。
|