Proceso de detección de integraciones
-
El recorrido de telemetría y el proceso
Si ha llegado a esta página desde el recorrido de telemetría de una integración, esto es lo que debe saber.
- Recopilación de datos en el diario se refiere a la etapa "Ingerir y filtrar" aquí.
- Procesamiento de datos en el diario se refiere a las etapas "Limpiar", "Correlacionar" y "Derivar" aquí.
En esta página se explica cómo las integraciones de productos de Sophos ingieren, filtran, limpian, correlacionan y derivan las detecciones.
Paso 1: Ingerir y filtrar
Ingerimos la telemetría y filtramos el ruido no deseado.
Hacemos esto de una de las siguientes maneras:
- Localmente: un recopilador de registros en la red del cliente reenvía alertas a Sophos Central.
- En la nube: una API envía alertas a Sophos Central.
Nota
Para proteger la continuidad del servicio para todos los usuarios, Sophos a veces filtra o muestrea la entrada de datos de los clientes. Esto se muestra como diferencias temporales en el volumen de alertas en la etapa de ingesta y en la de procesamiento. También puede llevar a que vuelvan a ponerse en cola los datos para que puedan procesarse de nuevo a fin de dar al cliente una cobertura completa.
Paso 2: Limpiar
Los datos que ingerimos no están estandarizados, por lo que Sophos comienza a procesarlos en un esquema coherente y normalizado.
Paso 3: Correlacionar
Ahora comenzamos a agrupar las alertas sin procesar aparentemente no relacionadas en clústeres de alertas relacionadas.
Utilizamos los siguientes criterios para agrupar alertas:
- Nuestro objetivo es que cada clúster de alertas represente una actividad relacionada.
- Agrupamos las alertas a lo largo del tiempo, con base en la técnica MITRE ATT&CK e indicadores de peligro (IOC) o entidades similares.
- Utilizamos la plataforma MITRE para ayudarnos a agrupar eventos basados en casos de uso de amenazas específicos.
Paso 4: Derivar
La lógica decide ahora qué clústeres derivar a nuestros analistas para que sigan investigándolos.
Si es necesario, el analista investigará, e informaremos al cliente sobre la investigación.
Por lo general, proporcionamos la siguiente información:
- Una descripción del incidente.
- Detalles de alerta específicos que parecen indicar la amenaza más grave.
- Cualquier infraestructura específica que esté bajo amenaza.
- Cualquier momento específico en que ocurrieron los eventos.
- Veredicto sobre la gravedad de la amenaza (si es un problema grave o un falso positivo, o si se ha actuado sobre todas las alertas).
- Cualquier medida de mitigación.