Darktrace DETECT 통합 개요
Darktrace DETECT를 Sophos Central 과 통합하면 Sophos 에서 분석을 위해 알림을 보낼 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Darktrace DETECT 제품 개요
Darktrace Detect는 인공 지능을 활용하여 사이버 위협을 자체적으로 실시간 감지, 조사 및 대응합니다. 각 네트워크, 장치 및 사용자의 고유한 '생활 패턴'을 학습하여 잠재적인 위협을 나타내는 이상 현상을 식별합니다. 모든 디지털 상호 작용을 지속적으로 모니터링하여 조기 위협 감지 및 자율 대응 기능을 제공하여 디지털 환경을 보호합니다.
Sophos 문서
수집되는 것
Sophos에서 볼 수 있는 샘플 경고:
System/Device Modelling ChangeAnomalous Connection/Active Remote Desktop TunnelCompromise/Repeating Connections Over 4 DaysSaaS/Admin/Anomalous M365 Device ChangesExtensive Unusual WinRM Connections
완전히 수집되는 경고
Sophos 로 전달되는 알림 수를 최대한 늘리는 것을 권장합니다. 최소 AI Analyst 인시던트 이벤트 점수와 최소 AI Analyst 인시던트 점수를 0으로 설정합니다. Darktrace DETECT 통합을 참조하십시오.
필터링
저희는 표준 CEF 형식의 메시지만 허용합니다.
샘플 위협 매핑
경고 유형의 경우 cef.name 필드를 검증합니다.
샘플 매핑:
{"alertType": "System/System", "threatId": "T1542.001", "threatName": "System Firmware"}
{"alertType": "System/Internal Domain Name Change", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "비정상적인 연결/높은 DGA, 낮은 DNS TTL", "위협 ID": "T1568.002", "threatName": "도메인 생성 알고리즘"