Visão geral da integração com o EDR:
As insights operam usando alimentações de telemetria do Endpoint Security (ENS) e da plataforma de segurança de rede. Na primeira fase da integração do EDR, as insights começam a receber feeds de eventos de rastreamento do EDR.
O insights identifica a presença de uma campanha no feed de eventos de rastreamento e notifica o usuário sobre a detecção da campanha. Com a integração com o EDR, o insights está expandindo sua capacidade de identificação de campanha.
Nota: Atualmente, a detecção de campanha por EDR é aplicável somente para clientes West (USW) EUA. Os eventos do EDR são mostrados em insights, somente se o cliente tiver o ENS e o EDR instalados.
Alterações no filtro:
Novo filtro adicionado para o ENS/EDR
Onde está adicionado o filtro?
O filtro é adicionado ao filtro
da página da campanha . Se a detecção de campanha ENS/EDR for implementada no ambiente do usuário, a filtragem com o ENS/EDR listará somente os ENS/[N (1] [K (2] campanhas de EDR detectadas no ambiente do usuário:
![Filter Detection Source by ENS or EDR](/library/MCAFEE/filters.JPG)
Cenário de detecção de campanha:
- As insights recebem telemetria do EDR. Se a telemetria do EDR tiver IOC, uma campanha será detectada e as idéias enviarão alertas para o usuário.
- Se ENS e EDR detectarem um evento de cliente e o evento for detectado novamente dentro de 45 minutos, as insights não enviarão mais alertas para o usuário.
O insights mostra os detalhes do evento detectado na página detalhes do evento :
![Campaign detected by both the detection source ENS and EDR](/library/MCAFEE/ENS_EDR_event.PNG)
- As informações a seguir são mostradas aos usuários como parte dos eventos detectados da campanha do EDR:
- Nome da campanha
- Status (resolvido/não resolvido)
- MD5, SHA256, domínio, IP
- Nome do produto (ENS-no caso de detecção de ENS, EDR-no caso de EDR detecção, ENS/EDR-Incase se a detecção ENS/EDR)
- Versão do produto
- Tipo de evento (tipo de evento com suporte: rede acessada, consulta DNS, processo criado, arquivo criado, alteração de atributo de arquivo, arquivo modificado, arquivo excluído, arquivo movido, leitura de arquivo, imagem carregada)
- Argumentos da linha de comando
![Event Details page](/library/MCAFEE/EDR_campaign.PNG)
- Você pode ver os eventos detectados do EDR nas páginas eventos do dispositivo e ambiente de campanha .
Nota: Os detalhes do EDR são EDR específicos da campanha e exibidos na página evento do insights. Eles se aplicam somente à campanha detectada pelo EDR.
- O usuário recebe uma notificação para os eventos detectados do EDR:
![Alternate notification](/library/MCAFEE/EDR_notification.PNG)