CrowdStrike Falcon 통합
Sophos Central에 Armis을 통합하면 Sophos로 데이터를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
CrowdStrike Falcon 제품 개요
CrowdStrike Falcon은 실시간 위협 인텔리전스를 활용하는 클라우드 기반 엔드포인트 보호 플랫폼입니다. 이는 독자적인 그래프 기술을 사용해 신속한 감지 및 대응을 제공하여 정교한 공격에도 엔드포인트가 손상되지 않도록 보장합니다.
Sophos 문서
수집되는 것
Sophos에서 볼 수 있는 샘플 경고:
WinRMLateralMovementSquiblydooWmicXSLFileMalwareProcessObfCertutilCmdMshtaDownloadCustomIOCDomainInformationalVolumeShadowSnapshotDeletedA file written to the file-system meets the machine learning-based on-sensor AV protection's medium confidence threshold for malicious files.A file written to the file-system surpassed a lowest-confidence adware detection threshold.A file classified as Adware/PUP based on its SHA256 hash was written to the file-system.IOCPolicySHA256CriticalIntelDomainMediumMsiexecUnusualArgsThis file is classified as Adware/PUP based on its SHA256 hash.
완전히 수집되는 경고
우리는 API 엔드포인트를 통해 CrowdStrike Falcon Platform에서 보안 경보를 수신합니다.
US-1 “api.crowdstrike.com”US-2 “api.us-2.crowdstrike.com”US-GOV-1 “api.laggar.gcw.crowdstrike.com”EU-1 “api.eu-1.crowdstrike.com”
필터링
경고는 다음과 같이 필터링됩니다.
- 올바른 형식의 메시지만 허용됩니다.
- 올바른 형식이 아닌 메시지는 거부하고 데이터를 삭제하지 않습니다.
샘플 위협 매핑
경고 유형은 다음과 같이 정의됩니다.
behaviours.display_name 필드가 비어 있으면 behaviours.description 값을 사용하십시오. 그렇지 않으면 behaviours.display_name의 값을 사용하십시오.
샘플 매핑:
{CertutilRemoteFileCopythreatId: T1553.004threatName: Install Root Certificate}
{WinRMLateralMovementthreatId: TA0008 threatName: Lateral Movement}
{MaliciousInjection threatId: TA0002 threatName: Execution}