Scénario 1 :
MVISION EDR publie les menaces et menaces récemment consultées avec une gravité mise à jour pour la consommation par des outils tiers, y compris ESM, vers le flux d’activités. Si une menace précédemment publiée est signalée à nouveau sans gravité accrue, la & menace n’est pas publiée dans le flux d’activités.

Par exemple :
Vous avez une menace nommée Malware. exe signalée initialement le 20 juillet 2021 à EDR à partir de l’hôte a dont la gravité est moyenne . Cet événement est publié dans ESM. Entre le 20 juillet et le 30 juillet, la même menace de logiciels malveillants (Malware .exe ) est générée sur 10 hôtes différents, sans aucune modification de gravité (moyenne). Dans ce cas, aucun des événements n’est publié dans ESM.

Le 31 juillet, l’hôte B génère de nouveau la même menace et l’analyse post détecte que la menace est de gravité élevée . Si vous sélectionnez Malware. exe sous menace potentielle dans la console EDR, puis que vous accédez à l’onglet Détails de la menace, vous constatez que l’hôte B signale une menace élevée . Cependant, toutes les autres entrées d’hôte précédentes apparaissent comme moyennes . Etant donné que la gravité est passée de moyen à élevé , vous voyez que cet événement se trouve dans votre console ESM.

Si le même événement de gravité élevée est généré plusieurs fois, ou si la gravité est tombée à EDR de élevé à moyen , l’événement n’est pas & à ESM. Cette fonctionnalité fournit des données plus précises à la console ESM, de sorte que votre SOC Analyst ne dispose que des informations requises et non de plusieurs événements répétés.

Scénario 2 :
MVISION EDR Business événements, tels que EDR .UI -Dashboard , sont des événements opérationnels & qui ne sont pas signalés dans le tableau de bord de surveillance EDR. En revanche, ils & à nouveau publiés dans le flux d’activités EDR et collectés dans ESM.