Descripción general de la integración de EDR:
La información sobre este funcionamiento se realiza mediante las fuentes de telemetría de Endpoint Security (ENS) y de Network Security Platform. En la primera fase de la integración de la EDR, la información comienza a recibir la fuente de eventos de rastreo de EDR.
Insights identifica la presencia de una campaña en la fuente de eventos de rastreo y notifica al usuario sobre la detección de campañas. Con la integración de EDR, los conocimientos están ampliando su capacidad de identificación de la campaña.
Nota: Actualmente, la detección de campañas de EDR solo es de aplicación para los clientes de Estados Unidos (USW). Los eventos de EDR se muestran en información solo si el cliente tiene instalados tanto ENS como EDR.
Cambios en el filtro:
Nuevo filtro agregado para ENS/EDR
¿Dónde se agrega este filtro?
El filtro se agregará al filtro de la
Página campaña . Si se implementa la detección de campañas de ENS/EDR en el entorno del usuario, el filtrado con ENS/EDR solo muestra las campañas ENS/[N (1] [K (2] EDR detectadas en el entorno del usuario:
Escenario de detección de campañas:
- Información detallada recibe telemetría de EDR. Si la telemetría de EDR tiene IOC, se detecta una campaña y se envían alertas al usuario.
- Si ENS y EDR detectan un evento de cliente y el evento se vuelve a detectar en 45 minutos, la información no envía más alertas al usuario.
La información muestra los detalles del evento detectado en la página detalles del evento :
- La siguiente información se muestra a los usuarios como parte de los eventos de la campaña de EDR detectados:
- Nombre de la campaña
- Estado (resuelto/sin resolver)
- MD5, SHA256, dominio, IP
- Nombre del producto (ENS-en caso de detección de ENS, EDR en caso de detección de EDR, ENS/EDR-en caso de que tanto la detección de ENS/EDR)
- Versión del producto
- Tipo de evento (tipo de evento compatible): acceso a red, consulta DNS, proceso creado, archivo creado, atributo de archivo cambiado, archivo modificado, archivo eliminado, archivo movido, lectura de archivo, imagen cargada)
- Argumentos de la línea de comandos
- Puede ver los eventos de EDR detectados en las páginas eventos de dispositivo y entorno de campaña .
Nota: Los detalles de EDR son específicos de la campaña de EDR y se muestran en la página de eventos de información. Solo se aplican a la campaña detectada por EDR.
- El usuario recibe una notificación para los eventos de EDR detectados: