Panoramica sull'integrazione EDR:
Insights opera utilizzando feed di telemetria da Endpoint Security (ENS) e Network Security Platform. Nella prima fase dell'integrazione EDR, Insights inizia a ricevere feed di eventi di traccia da EDR.
Insights identifica la presenza di una campagna nel feed degli eventi di traccia e notifica all'utente il rilevamento della campagna. Con l'integrazione di EDR, Insights sta espandendo la sua capacità di identificazione della campagna.
Nota: Attualmente, il rilevamento delle campagne da parte di EDR è applicabile solo ai clienti US West (USW). Gli eventi EDR sono mostrati in approfondimenti, solo se il client ha installato sia ENS che EDR.
Modifiche nel filtro:
Aggiunto nuovo filtro per ENS/EDR
Dove è stato aggiunto questo filtro?
Il filtro viene aggiunto al filtro della
pagina della campagna . Se l'individuazione della campagna ENS/EDR viene implementata nell'ambiente dell'utente, il filtraggio con ENS/EDR elenca solo le campagne ENS/[N (1] [K (2] EDR rilevate nell'ambiente utente:
![Filter Detection Source by ENS or EDR](/library/MCAFEE/filters.JPG)
Scenario di rilevamento della campagna:
- Insights riceve la telemetria da EDR. Se la telemetria EDR dispone di IOC, viene rilevata una campagna e gli approfondimenti inviano avvisi all'utente.
- Se ENS e EDR rilevano entrambi un evento client e l'evento viene ririlevato entro 45 minuti, Insights non invia ulteriori avvisi all'utente.
Insights Mostra i dettagli dell'evento rilevato nella pagina Dettagli evento :
![Campaign detected by both the detection source ENS and EDR](/library/MCAFEE/ENS_EDR_event.PNG)
- Le informazioni riportate di seguito vengono mostrate agli utenti come parte degli eventi della campagna EDR rilevati:
- Nome campagna
- Stato (risolto/non risolto)
- MD5, SHA256, dominio, IP
- Nome del prodotto (ENS-in caso di rilevamento ENS, EDR-in caso di rilevamento EDR, ENS/EDR-Incase se sia il rilevamento ENS/EDR)
- Versione del prodotto
- Tipo di evento (tipo di evento supportato: accesso alla rete, query DNS, processo creato, file creato, attributo file modificato, file modificato, file eliminato, file spostato, lettura file, immagine caricata)
- Soggetti command-line
![Event Details page](/library/MCAFEE/EDR_campaign.PNG)
- È possibile osservare gli eventi rilevati da EDR nelle pagine degli eventi del dispositivo e dell' ambiente della campagna .
Nota: I dettagli dell'EDR sono specifici per la campagna EDR e vengono visualizzati nella pagina eventi di approfondimento. Si applicano solo alla campagna rilevata da EDR.
- L'utente riceve una notifica per gli eventi rilevati da EDR:
![Alternate notification](/library/MCAFEE/EDR_notification.PNG)