Resumen de la integración de Thinkst Canary
Puede integrar Thinkst Canary con Sophos Central para que envíe alertas a Sophos para analizarlas.
Esta página presenta una visión general de la integración.
Presentación del producto de Thinkst Canary
Thinkst Canary ofrece señuelos (honeypots) y tokens diseñados para detectar intrusos en su entorno. Al imitar recursos reales, los señuelos de Thinkst Canary atraen a los atacantes y activan alertas cuando interactúan con ellos. Estas alertas de alta fiabilidad ofrecen a los equipos de seguridad una advertencia temprana de posibles vulnerabilidades con un mínimo de falsos positivos.
Documentos de Sophos
Datos que ingerimos
Ejemplos de alertas vistas por Sophos:
Host Port ScanCanarytoken triggeredCanary DisconnectedSSH Login AttemptShared File OpenedConsolidated Network Port ScanMultiple Canaries DisconnectedMSSQL Login AttemptFTP Login AttemptGit Repository Clone AttemptHTTP Page Load
Filtrado
Filtramos los mensajes de la siguiente manera:
- Solo ACEPTAMOS los mensajes que tienen el formato correcto.
- RECHAZAMOS los mensajes que no tienen el formato correcto, pero no DESCARTAMOS los datos.
Muestra de asignaciones de amenazas
Definimos el tipo de alerta de la siguiente manera:
Si el campo description.events existe y tiene una longitud superior a 0, y la primera entrada de description.events.type existe, concatene el campo summary con la primera entrada de description.events.type.
Si el campo description.events no existe o tiene una longitud de 0, utilice en su lugar el campo summary.
Asignaciones de ejemplo:
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}