Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=crowdstrike-overview

Integración de CrowdStrike Falcon

API Endpoint

Puede integrar CrowdStrike Falcon con Sophos Central para que envíe datos a Sophos para analizarlos.

Esta página presenta una visión general de la integración.

Presentación del producto de CrowdStrike Falcon

CrowdStrike Falcon es una plataforma de protección para endpoints nativa en la nube que aprovecha el poder de la información sobre amenazas en tiempo real. Gracias a su tecnología gráfica patentada, ofrece una detección y una respuesta rápidas, lo que garantiza que las estaciones de trabajo permanezcan protegidas incluso frente a ataques sofisticados.

Documentos de Sophos

Integrar CrowdStrike Falcon

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

  • WinRMLateralMovement
  • Squiblydoo
  • WmicXSLFile
  • MalwareProcess
  • ObfCertutilCmd
  • MshtaDownload
  • CustomIOCDomainInformational
  • VolumeShadowSnapshotDeleted
  • A file written to the file-system meets the machine learning-based on-sensor AV protection's medium confidence threshold for malicious files.
  • A file written to the file-system surpassed a lowest-confidence adware detection threshold.
  • A file classified as Adware/PUP based on its SHA256 hash was written to the file-system.
  • IOCPolicySHA256Critical
  • IntelDomainMedium
  • MsiexecUnusualArgs
  • This file is classified as Adware/PUP based on its SHA256 hash.

Alertas ingeridas en su totalidad

Ingerimos alertas de seguridad de la plataforma CrowdStrike Falcon a través de los endpoints de API:

  • US-1 “api.crowdstrike.com”
  • US-2 “api.us-2.crowdstrike.com”
  • US-GOV-1 “api.laggar.gcw.crowdstrike.com”
  • EU-1 “api.eu-1.crowdstrike.com”

Filtrado

Filtramos los mensajes de la siguiente manera:

  • Solo ACEPTAMOS mensajes que tienen el formato correcto.
  • RECHAZAMOS los mensajes que no tienen el formato correcto y no DESCARTAMOS los datos.

Muestra de asignaciones de amenazas

El tipo de alerta se define de la siguiente manera:

Si el campo behaviours.display_name está vacío, utilice el valor de behaviours.description. De lo contrario, utilice el valor de behaviours.display_name.

Asignaciones de ejemplo:

{CertutilRemoteFileCopythreatId: T1553.004threatName: Install Root Certificate}
{WinRMLateralMovementthreatId: TA0008 threatName: Lateral Movement}
{MaliciousInjection threatId: TA0002 threatName: Execution}