Présentation de l’intégration à la fonction EDR :
Insights utilise les flux de télémétrie de Endpoint Security (ENS) et Network Security Platform. Lors de la première phase de l’intégration de EDR, Insights démarre la réception du flux d’événements de traçage à partir de EDR.
Insights identifie la présence d’une campagne dans le flux d’événements de traçage et avertit l’utilisateur de la détection de la campagne. Grâce à l’intégration de EDR, les analyses étendent ses capacités d’identification de la campagne.
Remarque : Actuellement, la détection de campagnes par EDR est applicable uniquement aux clients américains de l’Ouest (USW). EDR les événements sont affichés dans Insights, uniquement si ENS et EDR sont installés sur le client.
Modifications apportées au filtre :
Ajout d’un nouveau filtre pour ENS/EDR
A quel emplacement ce filtre est-il ajouté ?
Le filtre est ajouté au filtre de la page de la
campagne . Si la détection de campagne ENS/EDR est mise en œuvre dans l’environnement utilisateur, le filtrage avec ENS/EDR ne répertorie que les campagnes ENS/[N (1] [K (2] EDR détectées dans l’environnement de l’utilisateur :
![Filter Detection Source by ENS or EDR](/library/MCAFEE/filters.JPG)
Scénario de détection de campagne :
- Insights reçoit la télémétrie à partir de EDR. Si la télémétrie EDR est dotée de l’IOC, une campagne est détectée et les informations à l’utilisateur envoient des alertes à l’utilisateur.
- Si ENS et EDR détectent un événement client et si l’événement est redétecté dans les 45 minutes, Insights n’envoie pas d’autres alertes à l’utilisateur.
Insights affiche les détails de l’événement détecté dans la page Détails de l' événement :
![Campaign detected by both the detection source ENS and EDR](/library/MCAFEE/ENS_EDR_event.PNG)
- Les informations ci-dessous s’affichent pour les utilisateurs dans le cadre des événements de campagne en commande EDR détectés :
- Nom de la campagne
- Etat (résolu/non résolu)
- MD5, SHA256, domaine, IP
- Nom du produit (ENS-en cas de détection ENS, EDR-en cas de détection, ENS/EDR-incassed si les deux détections de ENS/EDR)
- Version du produit
- Type d’événement (type d’événement pris en charge : accès réseau, requête DNS, processus créé, fichier créé, attribut de fichier modifié, fichier modifié, fichier supprimé, fichier déplacé, fichier lu, image chargée)
- Arguments de ligne de commande
![Event Details page](/library/MCAFEE/EDR_campaign.PNG)
- Vous pouvez consulter les événements de détection des événements dans les pages Evénements de l’équipement et environnement de la campagne .
Remarque : EDR les détails sont propres à la campagne et s’affichent dans la page Evénements Insights. Elles s’appliquent uniquement à la campagne détectée par EDR.
- L’utilisateur reçoit des notification pour les événements de détection de EDR :
![Alternate notification](/library/MCAFEE/EDR_notification.PNG)