Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=crowdstrike-overview

Integrazione CrowdStrike Falcon

API Endpoint

CrowdStrike Falcon può essere integrato con Sophos Central in modo da inviare dati a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto CrowdStrike Falcon

CrowdStrike Falcon è una piattaforma di protezione endpoint nativa del cloud che sfrutta tutta la potenza dei dati di intelligence sulle minacce generati in tempo reale. Grazie alla sua tecnologia esclusiva di compilazione di grafici, offre rilevamento e risposta immediati, per garantire la sicurezza degli endpoint, anche in presenza di attacchi estremamente sofisticati.

Documenti Sophos

Integrazione di CrowdStrike Falcon

I dati raccolti e inseriti

Esempi di avvisi visualizzati da Sophos:

  • WinRMLateralMovement
  • Squiblydoo
  • WmicXSLFile
  • MalwareProcess
  • ObfCertutilCmd
  • MshtaDownload
  • CustomIOCDomainInformational
  • VolumeShadowSnapshotDeleted
  • A file written to the file-system meets the machine learning-based on-sensor AV protection's medium confidence threshold for malicious files.
  • A file written to the file-system surpassed a lowest-confidence adware detection threshold.
  • A file classified as Adware/PUP based on its SHA256 hash was written to the file-system.
  • IOCPolicySHA256Critical
  • IntelDomainMedium
  • MsiexecUnusualArgs
  • This file is classified as Adware/PUP based on its SHA256 hash.

Avvisi inseriti per intero

Raccogliamo e inseriamo gli avvisi di sicurezza provenienti dalla piattaforma CrowdStrike Falcon attraverso gli endpoint API:

  • US-1 “api.crowdstrike.com”
  • US-2 “api.us-2.crowdstrike.com”
  • US-GOV-1 “api.laggar.gcw.crowdstrike.com”
  • EU-1 “api.eu-1.crowdstrike.com”

Filtraggio

Filtriamo i messaggi nel modo indicato di seguito:

  • Vengono AUTORIZZATI solo i messaggi nel formato corretto.
  • I messaggi che non sono nel formato corretto vengono NEGATI e i dati non vengono RILASCIATI.

Esempi di mapping delle minacce

Il tipo di avviso viene definito come segue:

se il campo behaviours.display_name è vuoto, utilizzare il valore di behaviours.description. In caso contrario, utilizzare il valore di behaviours.display_name.

Mapping di esempio:

{CertutilRemoteFileCopythreatId: T1553.004threatName: Install Root Certificate}
{WinRMLateralMovementthreatId: TA0008 threatName: Lateral Movement}
{MaliciousInjection threatId: TA0002 threatName: Execution}