Lorsque nous extrayons des événements de menace du backend de MVISION EDR à l'aide de n'importe quel outil d'intégration, par exemple
MVISION EDR - Activity Feed, la sortie contient les détails "Severity", "Rank" et "Score".
Exemple : "severity": "s4," "rank": 270, "score": 70
Dans la console MV-EDR, le même événement de détection est disponible sous "Faible", "Moyen" ou Catégorie "élevée". Dans la plupart des cas, les outils d'intégration transmettent les données au champ SIEM pour la corrélation avec d'autres sources de données. Cet article aide à comprendre comment mapper la sortie des outils de détection et d'intégration de la console EDR pour une détection spécifique.
Qu'est-ce que le score et le classement ?
Le score est associé à la règle qui est déclenchée sur un événement/une activité sur le client EDR.
Le classement indique le backend EDR qui est calculé en interne en fonction de la gravité et du score pour déterminer le classement le plus élevé associé à un processus.
Rang |
Console MVISION EDR |
Supérieur ou égal à 200 |
Elevée |
Entre 100 et 199 |
Moyenne |
En dessous de 100 |
Faible |
Exemple :
Si la sortie d'intégration affiche ""severity": "s4," "rank": 270, "score": 70", alors la gravité est "élevée" dans l'interface utilisateur EDR.