Cuando extraemos eventos de amenazas del backend de MVISION EDR mediante cualquier herramienta de integración, por ejemplo
, MVISION EDR - Fuente de actividad, el resultado contiene los detalles de "Gravedad", "Clasificación" y "Puntuación".
Ejemplo: "gravedad": "s4", "rango": 270, "puntuación": 70
En la consola MV-EDR, el mismo evento de detección está disponible en "Bajo", "Medio" o Categoría "Alta". En la mayoría de los casos, las herramientas de integración pasan los datos al campo SIEM para su correlación con otras fuentes de datos. Este artículo ayuda a entender cómo mapear la salida de las herramientas de detección e integración de la consola EDR para una detección específica.
¿Qué es la puntuación y el rango?
La puntuación está asociada con la regla que se activa en un evento/actividad en el cliente EDR.
La clasificación indica el backend de EDR que se calcula internamente en función de la gravedad y la puntuación para determinar la clasificación más alta asociada con un proceso.
Clasificación |
Consola MVISION EDR |
mayor o igual a 200 |
Alta |
Entre 100 y 199 |
Media |
Por debajo de 100 |
Baja |
Ejemplo:
Si el resultado de la integración muestra '"gravedad": "s4", "rango": 270, "puntuación": 70', entonces se muestra como gravedad "Alta" en la interfaz de usuario de EDR.