Scenario 1:
MVISION EDR pubblica le minacce e le minacce appena viste con una gravità aggiornata per il consumo da parte di strumenti di terze parti, incluso ESM, al feed di attività. Se una minaccia pubblicata in precedenza viene segnalata di nuovo senza aumentare la gravità, la minaccia non è & rsquo; t pubblicata nel feed di attività.

Per esempio:
Si dispone di una minaccia denominata malware. exe segnalata per la prima volta il 20 luglio 2021 a EDR dall' host a con una gravità media . Questo evento viene pubblicato in ESM. Tra il 20 luglio e il 30 luglio, lo stesso malware .exe minaccia viene generato su 10 host diversi senza alcun cambiamento di gravità (medio). In questo caso, nessuno degli eventi viene pubblicato in ESM.

Il 31 luglio, l'host B genera di nuovo la stessa minaccia e l'analisi post rileva che la minaccia è di gravità elevata . Se si seleziona malware. exe in potenziale minaccia nella console EDR, quindi si passa alla scheda Dettagli minaccia, si vedrà che host B segnala una minaccia elevata . Ma tutte le altre voci di host precedenti vengono visualizzate come medie . Poiché la gravità è cambiata da medio a alto , viene visualizzato questo evento presente nella console ESM.

Se lo stesso evento a gravità elevata viene generato più di una volta o se la gravità è diminuita all'interno di EDR da alto a medio , l'evento non è & rsquo; t segnalato a ESM. Questa funzionalità fornisce dati più precisi alla console ESM in modo che l'analista SOC disponga solo delle informazioni necessarie piuttosto che di più eventi ripetuti.

Scenario 2:
MVISION EDR Business eventi quali EDR .UI -Dashboard sono eventi operativi che aren & rsquo; t segnalati nel dashboard di monitoraggio EDR. Ma, & rsquo; re pubblicato nel feed di attività EDR e raccolti in ESM.