Integration von Thinkst Canary – Übersicht
Sie können Thinkst Canary in Sophos Central integrieren, sodass Warnmeldungen zur Analyse an Sophos gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Thinkst Canary-Produktübersicht
Thinkst Canary bietet Honeypots und Token für die Erkennung von Angreifern, die in Ihre Umgebung eindringen. Indem es echte Assets nachahmt, lockt Canary Angreifer an und löst bei Interaktion mit diesen Alerts aus. Diese realitätsnahen Alerts liefern Sicherheitsteams frühzeitig Warnungen vor potenziellen Sicherheitsverletzungen bei minimalen Fehlalarmen.
Sophos-Dokumente
Was wir erfassen
Beispiel für Warnmeldungen, die Sophos gesehen hat:
Host Port ScanCanarytoken triggeredCanary DisconnectedSSH Login AttemptShared File OpenedConsolidated Network Port ScanMultiple Canaries DisconnectedMSSQL Login AttemptFTP Login AttemptGit Repository Clone AttemptHTTP Page Load
Filterung
Nachrichten werden wie folgt gefiltert:
- Wir ERLAUBEN nur Nachrichten, die im richtigen Format vorliegen.
- Wir LEHNEN Nachrichten AB, die nicht im richtigen Format vorliegen, aber wir LÖSCHEN die Daten nicht.
Beispiele für Bedrohungszuordnungen
Wir definieren den Alert-Typ wie folgt:
Wenn das Feld description.events vorhanden ist, eine Länge größer als 0 hat und der erste Eintrag in description.events.type vorhanden ist, verknüpfen Sie das Feld summary mit dem ersten Eintrag in description.events.type.
Wenn das Feld description.events nicht vorhanden ist oder eine Länge von 0 hat, verwenden Sie stattdessen das Feld summary.
Beispielzuordnungen:
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}