Cenário 1:
MVISION EDR publica ameaças e ameaças recentemente vistas, com uma gravidade atualizada para o consumo de ferramentas de terceiros, incluindo o ESM, para o feed de atividades. Se uma ameaça publicada anteriormente for relatada sem um aumento na gravidade, a ameaça não será & a publicada no feed de atividades.

Por exemplo:
Você tem uma ameaça denominada malware. exe , primeiro relatada em 20 de julho de 2021 a EDR do host a com uma gravidade de médio . Esse evento é publicado no ESM. Entre 20 de julho e 30 de julho, a mesma ameaça de malware .exe é gerada em 10 hosts diferentes sem qualquer alteração de gravidade (média). Nesse caso, nenhum dos eventos é publicado no ESM.

Em 31 de julho, o host B gera a mesma ameaça novamente e a análise de post descobre que a ameaça é de alta gravidade. Se você selecionar malware. exe em potencial Threat no console do EDR e, em seguida, ir para a guia detalhes da ameaça, verá que o host B relata alta ameaça. No entanto, todas as outras entradas do host anterior são exibidas como médias . Como a gravidade mudou de médio para alto , você verá esse evento presente no console do ESM.

Se o mesmo evento de alta gravidade for gerado mais de uma vez, ou se a gravidade diminuir em EDR de alto para médio , o evento não será & relatado ao ESM. Essa funcionalidade fornece dados mais precisos para o console do ESM, de modo que o analista do SOC apenas as informações necessárias, em vez de vários eventos repetidos.

Cenário 2:
MVISION EDR eventos de Negócios como EDR .UI -Dashboard são eventos operacionais que destinam-se a & na Dashboard de monitoramento do EDR. No entanto, eles & são publicados no feed de atividades do EDR e coletados no ESM.