Обнаружение – это событие в ИТ-инфраструктуре организации, отмеченное решением Kaspersky EDR Expert как необычное или подозрительное и, возможно, представляющее угрозу безопасности для ИТ-инфраструктуры организации.
Kaspersky EDR Expert формирует обнаружения, когда EPP-программа (например, Kaspersky Endpoint Security для Windows) обнаруживает в инфраструктуре определенную активность, соответствующую условиям, заданным в правилах обнаружения. Обнаружение всегда регистрируется и создается автоматически, его нельзя создать вручную.
Существуют следующие типы обнаружений: IOC (индикаторы компрометации) и IOA (индикаторы атак).
Kaspersky EDR Expert добавляет обнаружения в таблицу обнаружений как рабочие элементы, которые должны обрабатываться аналитиками. Обнаружения нельзя удалять, их можно только закрыть.
Обнаружения могут быть назначены только аналитикам, имеющим право на чтение и изменение обнаружений и инцидентов.
Вы можете управлять обнаружениями как рабочими элементами, используя следующие их свойства:
Обнаружения можно объединять и связывать с более крупными рабочими элементами – инцидентами. Вы можете связать обнаружения с инцидентами вручную или включить правила для автоматического создания инцидентов и привязки к ним обнаружений. Инциденты позволяют аналитикам исследовать несколько обнаружений в виде единой проблемы. Когда вы связываете текущее несвязанное обнаружение с инцидентом, оно меняет свой текущий статус на статус Связано с инцидентом. Вы можете связать текущее связанное обнаружение с другим инцидентом. В этом случае обнаружение сохраняет статус Связано с инцидентом. К инциденту можно привязать до 200 обнаружений.
Для каждого обнаружения есть раздел информации об обнаружении, содержащий все сведения, относящиеся к обнаружению. Вы можете использовать эту информацию для расследования обнаружения, отслеживания событий, предшествующих обнаружению, просмотра артефактов обнаружения, затронутых активов, а также для связи обнаружения с инцидентом.