Panoramica dell’integrazione Orca Security
Orca Security può essere integrato con Sophos Central in modo da inviare avvisi a Sophos, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica del prodotto Orca Security
Orca Security è una piattaforma di sicurezza nativa del cloud che fornisce visibilità e protezione sull’intero stack di rete per le infrastrutture cloud pubbliche. Poiché attinge informazioni direttamente dagli ambienti cloud, è in grado di identificare vulnerabilità, malware, errori di configurazione e rischi di movimenti laterali, garantendo così la sicurezza e la conformità delle risorse cloud, senza bisogno di agenti o scanner di rete.
Documenti Sophos
I dati raccolti e inseriti
Esempi di avvisi visualizzati da Sophos:
"alertType": "aws_s3_risky_policy""alertType": "malware""alertType": "Expired ACM certificate""alertType": "The following vulnerabilities were found on Internet facing service: kernel VERSION""alertType": "Ensure 'Prohibit installation and configuration of Network Bridge on your DNS domain network' is set to 'VALUE' (Automated)""alertType": "The following vulnerabilities were found on service: amazon-ecs-volume-plugin VERSION""alertType": "The following vulnerabilities were found on software: golang.org/x/net-VERSION"
Filtraggio
Filtriamo i messaggi nel modo indicato di seguito:
- I filtri vengono applicati solo per confermare che i messaggi siano nel formato corretto.
- Nessun avviso viene ELIMINATO.
Esempi di mapping delle minacce
Il tipo di avviso viene definito in base al campo description, se non è vuoto. In caso contrario, utilizziamo il campo type_string.
Mapping di esempio:
{"alertType": "aws_iam_old_role_with_policy", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "malware", "threatId": "T1587.001", "threatName": "Malware"}
{"alertType": "Unencrypted web endpoint exposing password input field", "threatId": "T1056", "threatName": "Input Capture"}