跳至主内容

EDR 事件中的 ConnectWise 与Automate集成 GravityZone

ConnectWise GravityZone 自动化集成时,可针对 端点检测与响应 ( EDR )事件启用告警功能,这些事件会显示在 GravityZone 控制台中。基于这些告警, Bitdefender 插件会在 ConnectWise Automate及后续的 ConnectWise PSA(原 ConnectWise Manage)中生成工单。

当前威胁与已拦截威胁

EDR 事件是持续演变的复杂安全事件, Bitdefender 会通过 GravityZone 持续监控、报告并采取处置措施。通常,事件管理涉及 Bitdefender EDR 模块外的多重防护层和技术。

Bitdefender 插件将有关 EDR 事件的信息转发至 ConnectWise Automate,采用相同的常规方式。因此,启用 EDR 警报时,您无法单独选择当前和已拦截的威胁,因为某个特定时刻被 Bitdefender 模块拦截的威胁可能是仍在持续中的更大 EDR 事件的一部分。

要启用 端点检测与响应 警报,在 ConnectWise Automate集成中,您需要前往 工具 > Bitdefender GravityZone > 警报设置 并勾选相应复选框。此外,您还可以编辑即将创建的工单的严重性,具体操作将在本文后续部分说明。

cw-automate_edr_slider_p_144471_en.png

有关在 ConnectWise Automate集成中启用警报的详细信息,请参阅 配置集成 .

EDR 严重性级别及 ConnectWise Automate分类

GravityZone 中,每个 EDR 事件根据 EDR 技术提供的参数设有严重级别,该技术由 Bitdefender 开发。创建工单时, Bitdefender 插件默认将严重级别映射至 ConnectWise Automate中的现有分类。

GravityZone

EDR 的默认严重性分数区间 GravityZone

中的严重级别 ConnectWise Automate中的工单分类

0-39

40-75

76-100

但您可以通过修改严重性分数区间,在 ConnectWise Automate中编辑工单类别。

要更改严重性分数区间,请前往 警报设置 页面,在 端点检测与响应 部分,左右移动滑块或在对应框中输入所需数值。

例如,若将滑块分别移至88和94数值处,则工单严重性类别如下:

  • 低 - 分数87及以下的工单。

  • 中 - 分数介于88至93之间的工单。

  • 高 - 分数94及以上的工单。

这意味着与使用默认 GravityZone 阈值相比,生成的中高严重性工单将减少。

cw_automate_edr_slider_p_144471_en.png

ConnectWise Automate中的工单会在 工单数据 标签页 > 类别 部分显示根据您设置计算的严重性类别。若您已按上述示例修改严重性阈值,工单类别将显示为"低"。 作为参考,您可在

cw-automate_custom_severity_ticket_p_144471_en.png

阅读视图 中查看基于默认 Bitdefender 阈值计算的 GravityZone 严重级别。 选项卡。对于严重性评分为62的工单, GravityZone 会将该区域的严重级别标记为"中"。但生成工单时会忽略此严重级别,因为您的自定义设置具有优先权。

cw-automate_default_severity_ticket_p_144471_en.png

Bitdefender 插件会为每个 EDR 事件创建工单。随着事件发展, Bitdefender 插件会相应更新工单,并根据情况修改严重性类别。

cw_automate_ticket_severity_changed_p_144471_en.png

ConnectWise PSA中创建工单

在集成 ConnectWise PSA(原 ConnectWise Manage)的环境中, EDR 事件会同时在 ConnectWise Automate和 ConnectWise PSA中生成对应工单。

要生成 ConnectWise PSA工单,您需要在 ConnectWise PSA插件中进行特定配置。具体而言,您需要将 GravityZone 严重级别(低、中、高)映射至 ConnectWise PSA中您所使用的服务板所支持的优先级。

按以下步骤映射严重级别:

  1. ConnectWise PSA插件中,前往 工单管理 > 工单分类 .

  2. 在网格中,为每个 Bitdefender GravityZone 严重级别选择以下元素:

    • 服务板

    • 优先级

    • 服务类型

  3. 保存配置。

cw_manage_psa_plugin_severity_p_144471_en.png

ConnectWise PSA的优先级列表中可能包含三个以上的值。 GravityZone 严重级别选择特定优先级完全取决于您的偏好。

注意

为确保工单正常生成,请同时检查以下部分的设置:

  • 服务器连接

  • 公司/站点同步

  • 工单同步

ConnectWise 工单包含的内容

ConnectWise 工单在 ConnectWise Automate与 ConnectWise PSA中显示的信息与通过Event Push Service API从 GravityZone 接收到的内容一致,具体包括:

  • 客户端名称

  • 计算机名称

  • 事件ID

  • 攻击入口(标识攻击起始节点的字符串)

  • 针对该事件采取的主要措施

  • 检测名称

  • 严重性评分(0至100之间的数值)

  • 严重等级(三级制:低、中、高)

  • 文件哈希值(MD5和SHA256)

  • 检测到威胁的访问端口

  • 检测到威胁的进程PID

  • 进程路径

  • 进程命令行

  • 父进程PID

  • 父进程路径

  • 攻击类型

  • MITRE ATT&CK技术编号

  • 登录用户名

  • 登录用户SID

随着事件发展,工单会相应更新。后续更新内容会附加到初始数据中,并标明变更的细节(包括严重性变化及 Bitdefender 采取的措施)。各次更新的共同标识是 事件ID ,该标识始终保持不变。

图1. 一个 ConnectWise Automate工单。更新内容显示在初始负载下方。
A ConnectWise Automate ticket. Updates are displayed under the initial payload.

图2. 一个 ConnectWise PSA工单。更新内容显示在讨论区(该区域可配置)
A ConnectWise PSA ticket. Updates are displayed under Discussion (the area is configurable)

本节内容 :