CrowdStrike Falcon 統合
CrowdStrike Falcon を Sophos Central と統合して、ソフォスでの解析用にデータを送信することができます。
このページでは、統合の概要を説明します。
CrowdStrike Falcon 製品の概要
CrowdStrike Falcon は、リアルタイムの脅威インテリジェンスの力を活用するクラウドネイティブのエンドポイント保護プラットフォームです。独自のグラフテクノロジーを使用して、迅速な検出と対応を提供し、高度な攻撃に対してもエンドポイントが危険にさらされないようにします。
ソフォス製品ドキュメント
取り込まれる内容
ソフォスで表示される警告の例:
WinRMLateralMovement
Squiblydoo
WmicXSLFile
MalwareProcess
ObfCertutilCmd
MshtaDownload
CustomIOCDomainInformational
VolumeShadowSnapshotDeleted
A file written to the file-system meets the machine learning-based on-sensor AV protection's medium confidence threshold for malicious files.
A file written to the file-system surpassed a lowest-confidence adware detection threshold.
A file classified as Adware/PUP based on its SHA256 hash was written to the file-system.
IOCPolicySHA256Critical
IntelDomainMedium
MsiexecUnusualArgs
This file is classified as Adware/PUP based on its SHA256 hash.
完全に取り込まれる警告
ソフォスは、API エンドポイントを介して、CrowdStrike Falcon Platform からセキュリティ警告を取り込んでいます。
US-1 “api.crowdstrike.com”
US-2 “api.us-2.crowdstrike.com”
US-GOV-1 “api.laggar.gcw.crowdstrike.com”
EU-1 “api.eu-1.crowdstrike.com”
フィルタリング
メッセージは次のようにフィルタリングされます。
- 正しい形式であるメッセージのみを許可します。
- 正しい形式でないメッセージは拒否し、データをドロップしません。
脅威マッピングの例
警告の種類は次のように定義されます。
フィールド behaviours.display_name
が空の場合は、behaviours.description
の値を使用します。それ以外の場合は、behaviours.display_name
の値を使用します。
マッピングの例:
{CertutilRemoteFileCopythreatId: T1553.004threatName: Install Root Certificate}
{WinRMLateralMovementthreatId: TA0008 threatName: Lateral Movement}
{MaliciousInjection threatId: TA0002 threatName: Execution}