ダッシュボードの使用
Cylance Endpoint Security サービスにわたるアラートの管理
- Cylance Endpoint Security がアラートをグループ化する方法
- 集約されたアラートの表示と管理
  - アラートのステータス変更
ユーザー、デバイスおよびグループの管理
CylancePROTECT Desktop によって検出された脅威の管理
CylancePROTECT Mobile によって検出された脅威の管理
- CylancePROTECT Mobile アラートの表示
- CylancePROTECT Mobile アプリで検出されたモバイルの脅威
CylancePROTECT Desktop および CylancePROTECT Mobile のセーフリストと危険リストの管理
CylanceOPTICS が収集したデータの分析
CylanceOPTICS を使用したイベントの検出と対応
CylanceGATEWAY によるネットワーク接続の監視
- ネットワークアクティビティの表示
  - イベント詳細ページの表示
CylanceAVERT での機密ファイルの監視
モバイル OS の脆弱性の表示
管理者アクションの監査
ログの管理
- BlackBerry Connectivity Node ログの設定
- CylancePROTECT Desktop エージェントのログの管理
  - CylancePROTECT Desktop デバイスでの詳細ログの有効化
  - Linux のログ
    - ロギングレベルの設定
    - Linux デバイスからのエージェントログファイルの収集
SIEM ソリューションまたは syslog サーバーへのイベントの送信
Cylance ユーザー API へのアクセスの有効化
Cylance Endpoint Security のトラブルシューティング

CylanceOPTICS
EQL クエリの例

URL を指定して DNS ルックアップをクエリします。

network where dns.questions.question_name == "<URL>"

WMI の名前空間を指定してクエリします。

application where event.subcategory == "wmi" and wmi_trace.namespace == "<namespace>"

指定した SHA256 値のいずれかを使用してファイルをクエリします。

file where file.sha256 in ("<value>", "<value>", "<value>")

プロセス名を指定してプロセスをクエリします。

process where process.name == "<name>"

コマンドラインに指定した文字列を含むプロセスをクエリします。

process where process.command_line like "<string>"

IP アドレスとポートを指定して、そこへのネットワーク接続に関する情報をクエリします。

network where network.destination.ip_address == "<IP>" and network.destination.port == "<port>"

Section:

高度なクエリの作成

CylanceOPTICS EQL クエリの例

CylanceOPTICS
EQL クエリの例