Datenfluss: Erkennen und Reagieren auf Ereignisse und Speichern von Ereignisdaten (Aurora Focus 3.x und höher)


Datenfluss, der zeigt, wie CylanceOPTICS Ereignisse erkennt und darauf reagiert und Ereignisse in der Cloud speichert

  1. Ein Administrator verwendet die Verwaltungskonsole, um Erkennungsregeln zu konfigurieren und die Regeln einer Geräterichtlinie zuzuweisen.
  2. Die Aurora Focus-Cloud-Dienste senden die Erkennungsregeln über eine sichere WebSocket-Verbindung an ein Gerät mit dem Aurora Focus-Agenten. Die Regeldaten enthalten auch die für das jeweilige Ereignis konfigurierten Reaktionen (z. B. Abmelden aller Benutzer, Aussetzen von Prozessen usw.).
  3. Der Aurora Focus-Agent bezieht die Erkennungsregeln in die Context Analysis Engine (CAE) mit ein, die zur Analyse und Korrelation von Ereignissen verwendet wird.
  4. Die Aurora Focus-Sensoren erkennen ein Ereignis.
  5. Die CAE bestimmt, ob das Ereignis eine Erkennungsregel erfüllt. Falls ja, passiert Folgendes:
    • If theAurora Focusagent is already configured with the event response, the agent executes the response.
    • Wenn der Agent zusätzliche Daten für die Reaktion benötigt (z. B. ein Playbook-Paket erforderlich ist, das das Gerät noch nicht hat), sendet der Agent die Erkennungsdaten über eine sichere WebSocket-Verbindung an die Aurora Focus-Cloud-Dienste. Die Aurora Focus-Cloud-Dienste verarbeiten die Erkennung und stellen die Daten bereit, die der Agent zur Ausführung der Antwort benötigt.
  6. Der Agent priorisiert die Ereignisdaten und sendet sie über einen dedizierten Ereigniskanal mithilfe einer sicheren TLS-Verbindung an die Aurora Focus-Cloud-Dienste. Die Aurora Focus-Cloud-Dienste empfangen und verarbeiten die Ereignisdaten und speichern sie in der sicheren Aurora Focus-Cloud-Datenbank.
  7. Ein Administrator kann mithilfe der Verwaltungskonsole Nachweisdaten anfordern oder eine InstaQuery-, erweiterte Abfrage- oder Fokusansicht-Anforderung initiieren. Die Verwaltungskonsole interagiert mit den Aurora Focus-Cloud-Diensten mithilfe von HTTP über TLS.
  8. Die Aurora Focus-Cloud-Dienste validieren und verarbeiten die Anforderung, rufen die angeforderten Daten aus der Aurora Focus-Cloud-Datenbank ab und senden die Daten an die Verwaltungskonsole zurück.
  9. Die Erkennungsdaten, das Abfrageergebnis oder die Fokusdaten werden in der Verwaltungskonsole angezeigt.