Проверка работы алертов

Проверка ниже описана на примере EDR Windows.

Чтобы проверить работу алертов:

  1. Создайте источник данных monitor.csql.

    Файл можно запросить у команды BI.ZONE EDR.

  2. Создайте задачу EDR, выбрав этот источник данных и указав топики для телеметрии и алертов:

  3. Запустите задачу на агенте версии не ниже 2.16.0, модуле EDR Windows не ниже 1.4.0.

  4. На агенте запустите следующие команды:

    hostname specificRequest
reg save HKLM\SAM test.key
hostname mimikatz

  5. Проверьте раздел Алерты на предмет новых событий. События не приходят моментально, так как модулю требуется время на обработку событий.