Flussi di lavoro di Endpoint Detection and Response (EDR)

Sono disponibili sei flussi di lavoro EDR predefiniti che è possibile configurare in base alle proprie esigenze:

  • Minaccia in quarantena (quando viene creato un problema EDR)
  • Minaccia in quarantena (quando viene aggiornato un problema EDR)
  • Isolamento del workload (quando viene creato un problema EDR)
  • Isolamento del workload (quando viene aggiornato un problema EDR)
  • Problema malware che richiede attenzione
  • Problema che richiede attenzione

La tabella seguente descrive le condizioni, le azioni e gli attivatori predefiniti applicabili a ciascun flusso di lavoro. Per ulteriori informazioni su come modificare queste condizioni e azioni, consultare Configurazione di un flusso di lavoro automatizzato di Endpoint Detection and Response (EDR).

Flusso di lavoro Attivatore Condizioni Azioni
Minaccia in quarantena Problema EDR creato

Stato della minaccia = "Non mitigata"

E

Stato del problema = "Non avviato"

E

Gravità = "Alta"

E

Tipo di problema = "Processo rilevato" O "Malware rilevato"

  1. Arresto del processo.

  2. Processo in quarantena.

  3. Aggiungere un commento. Il testo predefinito del commento è "<Workflow name> - Minaccia con gravità alta messa in quarantena".

  4. Chiusura del problema.
Minaccia in quarantena Problema EDR aggiornato
Isolamento del workload Problema EDR creato

Stato della minaccia = "Non mitigata"

E

Stato del problema = "Non avviato"

E

Gravità = "Critica"

E

Risultato = "Pericoloso"

E

Livello di positività > 9

E

Tipo di problema = "Processo rilevato" O "Malware rilevato"

  1. Arresto del processo.

  2. Processo in quarantena.

  3. Isolamento del workload.

  4. Aggiungere un commento. Il testo predefinito del commento è "<Workflow name> - workload <Workload name> è stato isolato dopo il rilevamento di malware critico".

  5. Invio di un'e-mail agli utenti della console di Cyber Protect selezionati.
Isolamento del workload Problema EDR aggiornato
Problema malware che richiede attenzione Problema EDR creato

Stato della minaccia = "Non mitigata"

E

Stato del problema = "Non avviato"

E

Età dell'incidente > 8 ore

E

Gravità = "Alta" O "Critica"

E

Risultato = "Pericoloso"

E

Tipo di incidente = "Rilevamento malware"

  1. Arresto del processo.

  2. Processo in quarantena.

  3. Aggiungere un commento. Il testo predefinito del commento è "<Workflow name> - Minaccia con gravità alta/critica messa in quarantena perché nessuna indagine è stata avviata nelle ultime 8 ore".

  4. Invio di un'e-mail agli utenti della console di Cyber Protect selezionati.
Problema che richiede attenzione Problema EDR creato

Stato della minaccia = "Non mitigata"

E

Stato del problema = "Non avviato"

E

Età dell'incidente > 24 ore

E

Gravità = "Alta" O "Critica"

E

Risultato = "Pericoloso"

  1. Arresto del processo.

  2. Processo in quarantena.

  3. Aggiungere un commento. Il testo predefinito del commento è "<Workflow name> - Minaccia con gravità alta/critica messa in quarantena perché nessuna indagine è stata avviata nelle ultime 24 ore".

  4. Invio di un'e-mail agli utenti della console di Cyber Protect selezionati.