Flux de données : détection et réponse aux événements, et stockage des données d'événement (Aurora Focus 3.x et versions ultérieures)


Flux de données démontrant comment CylanceOPTICS détecte et répond aux événements, et stocke les événements dans le cloud

  1. Un administrateur utilise la console de gestion pour configurer les règles de détection et les attribue à une stratégie de terminal.
  2. Les services cloud Aurora Focus envoient les règles de détection via une connexion WebSocket sécurisée à un terminal avec l'agent Aurora Focus. Les données de règle incluent également les réponses configurées pour chaque événement (par exemple, déconnecter tous les utilisateurs, suspendre les processus, etc.).
  3. L'agent Aurora Focus prend en compte les règles de détection dans le moteur d'analyse de contexte (CAE) qu'il utilise pour analyser et mettre les événements en corrélation.
  4. Les capteurs Aurora Focus détectent un événement.
  5. Le CAE détermine si l'événement respecte une règle de détection. Si c'est le cas, effectuez l'une des opérations suivantes :
    • If theAurora Focusagent is already configured with the event response, the agent executes the response.
    • Si l'agent a besoin de données supplémentaires pour exécuter la réponse (par exemple, si la réponse nécessite un package de playbooks que le terminal ne possède pas encore), l'agent envoie les données de détection aux services cloud Aurora Focus via une connexion WebSocket sécurisée. Les services cloud Aurora Focus traitent la détection et fournissent les données dont l'agent a besoin pour exécuter la réponse.
  6. L'agent hiérarchise et envoie les données d'événement aux services cloud Aurora Focus via un canal d'événement dédié à l'aide d'une connexion TLS sécurisée. Les services cloud Aurora Focus reçoivent et traitent les données d'événement, les stockant dans la base de données cloud Aurora Focus sécurisée.
  7. Un administrateur utilise la console de gestion pour demander des données de détection ou pour lancer une requête InstaQuery, une requête avancée ou une requête Focus View. La console de gestion interagit avec les services cloud Aurora Focus via HTTP sur TLS.
  8. Les services cloud Aurora Focus valident et traitent la demande, récupèrent les données demandées à partir de la base de données cloud Aurora Focus et renvoient les données à la console de gestion.
  9. Les données de détection, le résultat de la requête ou les données détaillées s'affichent dans la console de gestion.