CylanceOPTICS
センサ

CylanceOPTICS

センサのいずれかを有効にすることにより、標準のプロセス、ファイル、ネットワーク、レジストリの各イベント以外の追加データを収集できます。オプションのセンサを有効にすると、デバイスのパフォーマンスとリソース使用率、および

CylanceOPTICS

データベースに保存されるデータ量に影響が及ぶ可能性があります。

BlackBerry

では、最初に少数のデバイスでオプションのセンサを有効にして影響を評価することをお勧めします。

オプションのセンサは、特に記載のない限り、64 ビットオペレーティングシステムでのみサポートされています。

センサ	説明	ベストプラクティス	注
高度なスクリプトの可視性	この CylanceOPTICS エージェントは、JScript、PowerShell（コンソールおよび統合スクリプト環境）、VBScript、および VBA マクロスクリプト実行からのコマンド、引数、スクリプト、およびコンテンツを記録します。信号対雑音比：高データの保持とパフォーマンスへの影響の可能性：低から中程度	推奨環境：デスクトップノートパソコンサーバー非推奨環境： Exchange サーバーおよび E メールサーバー	Microsoft またはその他のサードパーティ製ソリューションが提供するツールの操作実行は、PowerShell に大きく依存している場合があります。データの保持期間を長くするため、 BlackBerry では、PowerShell を頻繁に使用する信頼済みツールに対し、検出例外を設定することをお勧めします。
高度な WMI の可視性	この CylanceOPTICS エージェントは、追加の WMI 属性とパラメーターを記録します。信号対雑音比：高データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	一部の Windows のバックグラウンドやメンテナンスのプロセスは、タスクのスケジューリングやコマンドの実行に WMI を使用します。その結果、WMI のアクティビティが短時間急増することがあります。 BlackBerry は、このセンサを有効にする前に、お使いの環境での WMI 使用状況を分析することをお勧めします。
API センサ	CylanceOPTICS エージェントは、指定された一連の Windows API 呼び出しを監視します。信号対雑音比：中程度データ保持とパフォーマンスに影響する可能性：このセンサを有効にすると、デバイスの CPU パフォーマンスに影響を与える可能性があります	推奨環境：デスクトップノートパソコンサーバー	x86 または x64 Windows オペレーティングシステムでサポートされています。 CylancePROTECT Desktop エージェントのバージョン 3.0.1003 以降が必要です。 CylanceOPTICS エージェントのバージョン 3.2 以降が必要です。
クリプトジャッキング検出	この CylanceOPTICS エージェントは、 Intel CPU のアクティビティをハードウェアレジスタの使用により処理し、クリプトマイニングやクリプトハッキングのアクティビティの可能性を検出します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	サポート対象： Windows 10 x64 Intel 第 6 世代以降の CPU	仮想マシンではサポートされていません。
DNS の可視性	この CylanceOPTICS エージェントは、DNS 要求と応答、およびドメイン名、解決済みアドレス、レコードタイプなどの関連データフィールドを記録します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：中程度	推奨環境：デスクトップノートパソコン非推奨環境： DNSサーバー	このセンサは大量のデータを収集することもありますが、他のツールでは記録が困難なデータを可視化することもできます。データの保持期間を長くするため、 BlackBerry では、クラウドベースのサービスを大量に利用する信頼済みツールに対し、検出例外を設定することをお勧めします。
強化されたファイル読み取りの可視性	CylanceOPTICS エージェントは、指定されたディレクトリセット内のファイル読み取りを監視します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	サードパーティ製のセキュリティツールの中には、このセンサがデータを収集する Windows API を使用するものがあります。場合によっては、この CylanceOPTICS が、無関係なデータや既に信頼済みのデータを記録することがあります。データの保持期間を長くし、信号対雑音比を向上させるため、 BlackBerry では、信頼できるセキュリティツールに対し、検出例外を設定することをお勧めします。
ポータブル実行可能ファイル解析強化	この CylanceOPTICS エージェントは、ファイルバージョン、インポート機能、パッカータイプなど、移植可能な実行可能ファイルに関連付けられたデータフィールドを記録します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	このセンサによって収集されたデータは、拡張実行可能ファイル分析を支援するためにコンテキスト分析エンジンに渡され、 CylanceOPTICS データベースには保存されません。このセンサを有効にしても、 CylanceOPTICS のデータ保持にはほとんど影響しません。文字列リソースを分析する検出ルールを追加して有効にすると、 CylanceOPTICS エージェントが CPU とメモリのリソースを大量に消費する可能性があります。
強化されたプロセスとフッキングの可視性	この CylanceOPTICS エージェントは、Win32 API およびカーネル監査メッセージからのプロセス情報を記録して、プロセスフックと注入の形式を検出します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	サードパーティ製のセキュリティツールの中には、このセンサがデータを収集する Windows API を使用するものがあります。場合によっては、この CylanceOPTICS が、無関係なデータや既に信頼済みのデータを記録することがあります。データの保持期間を長くし、信号対雑音比を向上させるため、 BlackBerry では、信頼できるセキュリティツールに対し、検出例外を設定することをお勧めします。
プライベートネットワークアドレスの可視性	この CylanceOPTICS エージェントは、RFC 1918 および RFC 4193 アドレス空間内でのネットワーク接続を記録します。信号対雑音比：低データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップ非推奨環境： DNSサーバーリソースが不足しているシステム RDP またはその他のリモートアクセスソフトウェアを使用するシステム	このセンサは大量のデータを収集するため、データが CylanceOPTICS データベースに保存される時間に影響が及ぶ可能性があります。 BlackBerry では、プライベートネットワークアドレス通信を完全に可視化する必要がある環境でのみ、このセンサを有効にすることをお勧めします。
Windows の高度な監査の可視性	この CylanceOPTICS エージェントは、 Windows の追加のイベントタイプとカテゴリを監視します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	—	このセンサは、次のイベント ID の監視を有効にします。 4769 Kerberos チケットの要求 4662 Active Directory オブジェクトの操作 4624 ログオンに成功 4702 スケジュールされたタスクの作成
Windows イベントログの可視性	この CylanceOPTICS エージェントは、 Windows のセキュリティイベントとその関連属性を記録します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：中程度	推奨環境：デスクトップノートパソコンサーバー非推奨環境：ドメインコントローラ Exchange サーバーおよび E メールサーバー	このセンサが収集したデータ元の Windows イベントログは、通常のシステム使用中に頻繁に生成されます。重複するデータを減らし、データの保持期間を長くするため、 Windows イベントログからデータを収集するツールが組織に既に存在しているかどうかを確認してください。

Section:

CylanceOPTICS の有効化と設定

センサ	説明	ベストプラクティス	注
高度なスクリプトの可視性	この CylanceOPTICS エージェントは、JScript、PowerShell（コンソールおよび統合スクリプト環境）、VBScript、および VBA マクロスクリプト実行からのコマンド、引数、スクリプト、およびコンテンツを記録します。信号対雑音比：高データの保持とパフォーマンスへの影響の可能性：低から中程度	推奨環境：デスクトップノートパソコンサーバー非推奨環境： Exchange サーバーおよび E メールサーバー	Microsoft またはその他のサードパーティ製ソリューションが提供するツールの操作実行は、PowerShell に大きく依存している場合があります。データの保持期間を長くするため、 BlackBerry では、PowerShell を頻繁に使用する信頼済みツールに対し、検出例外を設定することをお勧めします。
高度な WMI の可視性	この CylanceOPTICS エージェントは、追加の WMI 属性とパラメーターを記録します。信号対雑音比：高データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	一部の Windows のバックグラウンドやメンテナンスのプロセスは、タスクのスケジューリングやコマンドの実行に WMI を使用します。その結果、WMI のアクティビティが短時間急増することがあります。 BlackBerry は、このセンサを有効にする前に、お使いの環境での WMI 使用状況を分析することをお勧めします。
API センサ	CylanceOPTICS エージェントは、指定された一連の Windows API 呼び出しを監視します。信号対雑音比：中程度データ保持とパフォーマンスに影響する可能性：このセンサを有効にすると、デバイスの CPU パフォーマンスに影響を与える可能性があります	推奨環境：デスクトップノートパソコンサーバー	x86 または x64 Windows オペレーティングシステムでサポートされています。 CylancePROTECT Desktop エージェントのバージョン 3.0.1003 以降が必要です。 CylanceOPTICS エージェントのバージョン 3.2 以降が必要です。
クリプトジャッキング検出	この CylanceOPTICS エージェントは、 Intel CPU のアクティビティをハードウェアレジスタの使用により処理し、クリプトマイニングやクリプトハッキングのアクティビティの可能性を検出します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	サポート対象： Windows 10 x64 Intel 第 6 世代以降の CPU	仮想マシンではサポートされていません。
DNS の可視性	この CylanceOPTICS エージェントは、DNS 要求と応答、およびドメイン名、解決済みアドレス、レコードタイプなどの関連データフィールドを記録します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：中程度	推奨環境：デスクトップノートパソコン非推奨環境： DNSサーバー	このセンサは大量のデータを収集することもありますが、他のツールでは記録が困難なデータを可視化することもできます。データの保持期間を長くするため、 BlackBerry では、クラウドベースのサービスを大量に利用する信頼済みツールに対し、検出例外を設定することをお勧めします。
強化されたファイル読み取りの可視性	CylanceOPTICS エージェントは、指定されたディレクトリセット内のファイル読み取りを監視します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	サードパーティ製のセキュリティツールの中には、このセンサがデータを収集する Windows API を使用するものがあります。場合によっては、この CylanceOPTICS が、無関係なデータや既に信頼済みのデータを記録することがあります。データの保持期間を長くし、信号対雑音比を向上させるため、 BlackBerry では、信頼できるセキュリティツールに対し、検出例外を設定することをお勧めします。
ポータブル実行可能ファイル解析強化	この CylanceOPTICS エージェントは、ファイルバージョン、インポート機能、パッカータイプなど、移植可能な実行可能ファイルに関連付けられたデータフィールドを記録します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	このセンサによって収集されたデータは、拡張実行可能ファイル分析を支援するためにコンテキスト分析エンジンに渡され、 CylanceOPTICS データベースには保存されません。このセンサを有効にしても、 CylanceOPTICS のデータ保持にはほとんど影響しません。文字列リソースを分析する検出ルールを追加して有効にすると、 CylanceOPTICS エージェントが CPU とメモリのリソースを大量に消費する可能性があります。
強化されたプロセスとフッキングの可視性	この CylanceOPTICS エージェントは、Win32 API およびカーネル監査メッセージからのプロセス情報を記録して、プロセスフックと注入の形式を検出します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップノートパソコンサーバー	サードパーティ製のセキュリティツールの中には、このセンサがデータを収集する Windows API を使用するものがあります。場合によっては、この CylanceOPTICS が、無関係なデータや既に信頼済みのデータを記録することがあります。データの保持期間を長くし、信号対雑音比を向上させるため、 BlackBerry では、信頼できるセキュリティツールに対し、検出例外を設定することをお勧めします。
プライベートネットワークアドレスの可視性	この CylanceOPTICS エージェントは、RFC 1918 および RFC 4193 アドレス空間内でのネットワーク接続を記録します。信号対雑音比：低データの保持とパフォーマンスへの影響の可能性：低	推奨環境：デスクトップ非推奨環境： DNSサーバーリソースが不足しているシステム RDP またはその他のリモートアクセスソフトウェアを使用するシステム	このセンサは大量のデータを収集するため、データが CylanceOPTICS データベースに保存される時間に影響が及ぶ可能性があります。 BlackBerry では、プライベートネットワークアドレス通信を完全に可視化する必要がある環境でのみ、このセンサを有効にすることをお勧めします。
Windows の高度な監査の可視性	この CylanceOPTICS エージェントは、 Windows の追加のイベントタイプとカテゴリを監視します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：低	—	このセンサは、次のイベント ID の監視を有効にします。 4769 Kerberos チケットの要求 4662 Active Directory オブジェクトの操作 4624 ログオンに成功 4702 スケジュールされたタスクの作成
Windows イベントログの可視性	この CylanceOPTICS エージェントは、 Windows のセキュリティイベントとその関連属性を記録します。信号対雑音比：中程度データの保持とパフォーマンスへの影響の可能性：中程度	推奨環境：デスクトップノートパソコンサーバー非推奨環境：ドメインコントローラ Exchange サーバーおよび E メールサーバー	このセンサが収集したデータ元の Windows イベントログは、通常のシステム使用中に頻繁に生成されます。重複するデータを減らし、データの保持期間を長くするため、 Windows イベントログからデータを収集するツールが組織に既に存在しているかどうかを確認してください。