Quando estraiamo eventi di minaccia dal back-end di MVISION EDR utilizzando qualsiasi strumento di integrazione, ad esempio
MVISION EDR - Activity Feed, l'output contiene i dettagli "Gravità", "Rank" e "Punteggio".
Esempio: "gravità": "s4", "grado": 270, "punteggio": 70
Nella console MV-EDR, lo stesso evento di rilevamento è disponibile in "Basso", "Medio" o Categoria "alta". Nella maggior parte dei casi, gli strumenti di integrazione passano i dati al campo SIEM per la correlazione con altre origini dati. Questo articolo aiuta a comprendere come mappare l'output degli strumenti di rilevamento e integrazione della console EDR per un rilevamento specifico.
Cosa sono Punteggio e Classifica?
Il punteggio è associato alla regola che viene attivata su un evento/attività sul client EDR.
Rank indica il backend EDR che viene calcolato internamente in base a Severity e Score per determinare il ranking più alto associato a un processo.
Rango |
Console MVISION EDR |
Maggiore o uguale a 200 |
Alta |
Tra 100 e 199 |
Media |
Sotto i 100 |
Bassa |
Esempio:
Se l'output dell'integrazione mostra '"gravità": "s4", "grado": 270, "punteggio": 70', viene visualizzato come gravità "Alta" nell'interfaccia utente EDR.