Quando extraímos eventos de ameaça do back-end do MVISION EDR usando qualquer ferramenta de integração, por exemplo
MVISION EDR - Activity Feed, a saída contém os detalhes de "Gravidade", "Classificação" e "Pontuação".
Exemplo: "severity": "s4," "rank": 270, "score": 70
Enquanto estiver no console MV-EDR, o mesmo evento de detecção está disponível em "Baixo", "Médio" ou Categoria "alta". Na maioria dos casos, as ferramentas de integração passam os dados para o campo SIEM para correlação com outras fontes de dados. Este artigo ajuda a entender como mapear a saída das ferramentas de detecção e integração do console EDR para uma detecção específica.
O que é pontuação e classificação?
A pontuação está associada à regra que é acionada em um evento/atividade no cliente EDR.
A classificação indica o back-end de EDR calculado internamente com base na gravidade e na pontuação para determinar a classificação mais alta associada a um processo.
Classificar |
Consola MVISION EDR |
Maior ou igual a 200 |
Alta |
Entre 100 e 199 |
Média |
abaixo de 100 |
Baixa |
Exemplo:
Se a saída de integração mostrar '"gravidade": "s4," "classificação": 270, "pontuação": 70,' então ela será mostrada como gravidade "Alta" na IU do EDR.