- ダッシュボードの使用
- Cylance Endpoint Security サービスにわたるアラートの管理
- ユーザー、デバイスおよびグループの管理
- CylancePROTECT Desktop によって検出された脅威の管理
- CylancePROTECT Mobile によって検出された脅威の管理
- CylancePROTECT Desktop および CylancePROTECT Mobile のセーフリストと危険リストの管理
- CylanceOPTICS が収集したデータの分析
- CylanceOPTICS を使用したイベントの検出と対応
- CylanceGATEWAY によるネットワーク接続の監視
- CylanceAVERT での機密ファイルの監視
- モバイル OS の脆弱性の表示
- 管理者アクションの監査
- ログの管理
- SIEM ソリューションまたは syslog サーバーへのイベントの送信
- Cylance ユーザー API へのアクセスの有効化
- Cylance Endpoint Security のトラブルシューティング
パス
パスは、ルール内の複数の状態オブジェクトのフローを CAE が解釈する方法を定義します。パスは、ルールが複数の状態オブジェクトで構成される(複数状態ルールとも呼ばれる)場合に使用します。状態は CAE ルールのフローを定義し、デバイスで発生する一連のイベントを、
CylanceOPTICS
が状態を追って監視できるようにします。それぞれは、「1、次に2、次に3」という発生の可能性があるシナリオを表します。ルールに状態オブジェクトが 1 つしかない場合、Paths オブジェクトを使用する必要はありません。ルールは単一の状態オブジェクトで構成され、Paths オブジェクトの使用を明示的には必要としません。Paths オブジェクトを使用するルールは、明示的な定義のためにのみ Paths オブジェクトを必要とします(ルールの機能のためではありません)。
次の例では、2 つの状態オブジェクト(NewSuspiciousFile と CertUtilDecode)が使用されます。各状態には、それ自身のロジックセットがあります。
例 1
:次の設定では、CAE は NewSuspiciousFile 状態を満たすイベントを探します。この状態が満たされると、CAE は CertUtilDecode 状態を満たすイベントを探します。"Paths": [ { "StateNames": [ "NewSuspiciousFile", "CertUtilDecode" ] } ],
例 2
:次の設定では、CAE は CertUtilDecode 状態を満たすイベントを探し、続いて NewSuspiciousFile 状態を探します。"Paths": [ { "StateNames": [ "CertUtilDecode", "NewSuspiciousFile" ] } ],
例 3
:次の設定では、CAE は NewSuspiciousFile 状態か CertUtilDecodee 状態を満たすイベントを探します。これは、状態に異なるフィルターオブジェクトのセットがある場合に役立ちます。この例では、NewSuspiciousFile はファイル書き込みフィルターを使用し、CertUtilDecode はプロセス開始フィルターを使用します。"Paths": [ { "StateNames": [ "CertUtilDecode" ] }, { "StateNames": [ "NewSuspiciousFile" ] } ],