CrowdStrike Falcon 統合
CrowdStrike Falcon を Sophos Central と統合して、ソフォスでの解析用にデータを送信することができます。
このページでは、統合の概要を説明します。
CrowdStrike Falcon 製品の概要
CrowdStrike Falcon は、リアルタイムの脅威インテリジェンスの力を活用するクラウドネイティブのエンドポイント保護プラットフォームです。独自のグラフテクノロジーを使用して、迅速な検出と対応を提供し、高度な攻撃に対してもエンドポイントが危険にさらされないようにします。
ソフォス製品ドキュメント
取り込まれる内容
ソフォスで表示される警告の例:
WinRMLateralMovementSquiblydooWmicXSLFileMalwareProcessObfCertutilCmdMshtaDownloadCustomIOCDomainInformationalVolumeShadowSnapshotDeletedA file written to the file-system meets the machine learning-based on-sensor AV protection's medium confidence threshold for malicious files.A file written to the file-system surpassed a lowest-confidence adware detection threshold.A file classified as Adware/PUP based on its SHA256 hash was written to the file-system.IOCPolicySHA256CriticalIntelDomainMediumMsiexecUnusualArgsThis file is classified as Adware/PUP based on its SHA256 hash.
完全に取り込まれる警告
ソフォスは、API エンドポイントを介して、CrowdStrike Falcon Platform からセキュリティ警告を取り込んでいます。
US-1 “api.crowdstrike.com”US-2 “api.us-2.crowdstrike.com”US-GOV-1 “api.laggar.gcw.crowdstrike.com”EU-1 “api.eu-1.crowdstrike.com”
フィルタリング
メッセージは次のようにフィルタリングされます。
- 正しい形式であるメッセージのみを許可します。
- 正しい形式でないメッセージは拒否し、データをドロップしません。
脅威マッピングの例
警告の種類は次のように定義されます。
フィールド behaviours.display_name が空の場合は、behaviours.description の値を使用します。それ以外の場合は、behaviours.display_name の値を使用します。
マッピングの例:
{CertutilRemoteFileCopythreatId: T1553.004threatName: Install Root Certificate}
{WinRMLateralMovementthreatId: TA0008 threatName: Lateral Movement}
{MaliciousInjection threatId: TA0002 threatName: Execution}