Panoramica dell’integrazione Thinkst Canary
Thinkst Canary può essere integrato con Sophos Central in modo da inviare avvisi a Sophos, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica del prodotto Thinkst Canary
Thinkst Canary fornisce honeypot e token progettati per rilevare gli intrusi nel tuo ambiente. Imitando risorse legittime, i Canary fungono da esca per gli hacker e fanno scattare avvisi alla prima interazione. Questi avvisi ad alta affidabilità offrono ai team di sicurezza una prima segnalazione di potenziali tentativi di violazione, con una quantità minima di falsi positivi.
Documenti Sophos
Integrazione di Thinkst Canary
I dati raccolti e inseriti
Esempi di avvisi visualizzati da Sophos:
Host Port ScanCanarytoken triggeredCanary DisconnectedSSH Login AttemptShared File OpenedConsolidated Network Port ScanMultiple Canaries DisconnectedMSSQL Login AttemptFTP Login AttemptGit Repository Clone AttemptHTTP Page Load
Filtraggio
Filtriamo i messaggi nel modo indicato di seguito:
- Vengono AUTORIZZATI solo i messaggi nel formato corretto.
- I messaggi che non sono nel formato corretto vengono NEGATI, ma i dati non vengono RILASCIATI.
Esempi di mapping delle minacce
Il tipo di avviso viene definito come segue:
Se il campo description.events esiste e ha una lunghezza superiore a 0, e se la prima voce in description.events.type esiste, concatenare il campo summary con la prima voce in description.events.type.
Se il campo description.events non esiste o se ha una lunghezza superiore a 0, utilizzare il campo summary.
Mapping di esempio:
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}