CrowdStrike Falcon 통합
CrowdStrike Falcon을 Sophos Central 과 통합하면 분석을 위해 Sophos 로 데이터를 전송할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
CrowdStrike Falcon 제품 개요
CrowdStrike Falcon은 실시간 위협 인텔리전스를 활용하는 클라우드 기반 엔드포인트 보호 플랫폼입니다. 이 제품은 자체 개발한 그래프 기술을 사용하여 신속한 감지 및 대응을 제공함으로써 정교한 공격에도 엔드포인트를 안전하게 보호합니다.
Sophos 문서
수집되는 것
Sophos에서 볼 수 있는 샘플 경고:
WinRMLateralMovementSquiblydooWmicXSLFileMalwareProcessObfCertutilCmdMshtaDownloadCustomIOCDomainInformationalVolumeShadowSnapshotDeleted파일 시스템에 기록된 파일이 머신 러닝 기반 센서 기반 안티바이러스 보호 기능의 악성 파일 판별 기준인 중간 수준의 신뢰도 임계값을 충족합니다.파일 시스템에 기록된 파일이 가장 낮은 신뢰도의 애드웨어 감지 임계값을 초과했습니다.SHA256 해시값을 기준으로 애드웨어/PUP로 분류된 파일이 파일 시스템에 기록되었습니다.IOCPolicySHA256CriticalIntelDomainMediumMsiexecUnusualArgs이 파일은 SHA256 해시값을 기준으로 애드웨어/PUP(잠재적으로 원치 않는 프로그램)로 분류됩니다.
완전히 수집되는 경고
우리는 API 엔드포인트를 통해 CrowdStrike Falcon 플랫폼에서 보안 경고를 수집합니다.
US-1 “api.crowdstrike.com”US-2 “api.us-2.crowdstrike.com”US-GOV-1 “api.laggar.gcw.crowdstrike.com”EU-1 “api.eu-1.crowdstrike.com”
필터링
저희는 다음과 같이 메시지를 필터링합니다.
- 올바른 형식의 메시지만 허용합니다.
- 형식이 올바르지 않은 메시지는 수신을 거부하지만, 데이터 자체는 삭제하지 않습니다.
샘플 위협 매핑
알림 유형은 다음과 같이 정의됩니다.
behaviours.display_name 필드가 비어 있으면 behaviours.description 값을 사용합니다. 그렇지 않으면 behaviours.display_name 값을 사용하십시오.
샘플 매핑:
{CertutilRemoteFileCopythreatId: T1553.004threatName: Install Root Certificate}
{WinRMLateralMovementthreatId: TA0008 threatName: Lateral Movement}
{MaliciousInjection threatId: TA0002 threatName: Execution}