- ダッシュボードの使用
- Cylance Endpoint Security サービスにわたるアラートの管理
- ユーザー、デバイスおよびグループの管理
- CylancePROTECT Desktop によって検出された脅威の管理
- CylancePROTECT Mobile によって検出された脅威の管理
- CylancePROTECT Desktop および CylancePROTECT Mobile のセーフリストと危険リストの管理
- CylanceOPTICS が収集したデータの分析
- CylanceOPTICS を使用したイベントの検出と対応
- CylanceGATEWAY によるネットワーク接続の監視
- CylanceAVERT での機密ファイルの監視
- モバイル OS の脆弱性の表示
- 管理者アクションの監査
- ログの管理
- SIEM ソリューションまたは syslog サーバーへのイベントの送信
- Cylance ユーザー API へのアクセスの有効化
- Cylance Endpoint Security のトラブルシューティング
CylanceOPTICS EQL クエリの例
CylanceOPTICS
EQL クエリの例URL を指定して DNS ルックアップをクエリします。
network where dns.questions.question_name == "<URL>"
WMI の名前空間を指定してクエリします。
application where event.subcategory == "wmi" and wmi_trace.namespace == "<namespace>"
指定した SHA256 値のいずれかを使用してファイルをクエリします。
file where file.sha256 in ("<value>", "<value>", "<value>")
プロセス名を指定してプロセスをクエリします。
process where process.name == "<name>"
コマンドラインに指定した文字列を含むプロセスをクエリします。
process where process.command_line like "<string>"
IP アドレスとポートを指定して、そこへのネットワーク接続に関する情報をクエリします。
network where network.destination.ip_address == "<IP>" and network.destination.port == "<port>"