Darktrace DETECT 整合的概述
您可以將 Darktrace DETECT 與 Sophos Central 整合,以便其將警示傳送到 Sophos 進行分析。
本頁面提供此整合功能的概覽。
Darktrace DETECT 產品概述
Darktrace DETECT 利用人工智慧即時自主偵測、調查和回應網路威脅。它瞭解每個網路、裝置和使用者的獨特「生活模式」,從而識別表明存在潛在威脅的異常情況。它可持續監控所有數位互動,提供早期威脅偵測和自主回應能力,從而保護數位環境。
Sophos 說明文件
我們擷取的內容
Sophos 可擷取的範例警示包括:
系統/裝置建模變更異常連接/活動遠端桌面隧道妥協/在 4 天內重複連接SaaS/管理/異常 M365 裝置變更廣泛的異常 WinRM 連接
完整擷取警示
我們建議您最大化轉發到 Sophos 的警示。將最低 AI Analyst 事件分數和最低 AI Analyst 安全事件分數設定為 0。請參見 整合 Darktrace DETECT。
資料篩選
我們僅允許標準 CEF 格式的消息。
威脅對應範例
對於警示類型,我們會清理字段 cef.name。
範例對應項目如下:
{"alertType":"System/System", "threatId":"T1542.001", "threatName":"System Firmware"}
{"alertType":"System/Internal Domain Name Change", "threatId":"T1484.001", "threatName":"Group Policy Modification"}
{"alertType":"Anomalous Connection/High DGA Low DNS TTL", "threatId":"T1568.002", "threatName":"Domain Generation Algorithms"}