Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=crowdstrike-overview

Integração CrowdStrike Falcon

API Endpoint

Você pode integrar o CrowdStrike Falcon ao Sophos Central para o envio de dados à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Visão geral do produto CrowdStrike Falcon

CrowdStrike Falcon é uma plataforma de proteção de endpoint nativa da nuvem que aplica o poder da inteligência de ameaças em tempo real. Com sua tecnologia gráfica proprietária, oferece detecção e resposta aceleradas, assegurando que os endpoints permanecem protegidos mesmo contra as ameaças mais sofisticadas.

Documentação da Sophos

Integrar CrowdStrike Falcon

O que ingerimos

Exemplos de alertas vistos pela Sophos:

  • WinRMLateralMovement
  • Squiblydoo
  • WmicXSLFile
  • MalwareProcess
  • ObfCertutilCmd
  • MshtaDownload
  • CustomIOCDomainInformational
  • VolumeShadowSnapshotDeleted
  • A file written to the file-system meets the machine learning-based on-sensor AV protection's medium confidence threshold for malicious files.
  • A file written to the file-system surpassed a lowest-confidence adware detection threshold.
  • A file classified as Adware/PUP based on its SHA256 hash was written to the file-system.
  • IOCPolicySHA256Critical
  • IntelDomainMedium
  • MsiexecUnusualArgs
  • This file is classified as Adware/PUP based on its SHA256 hash.

Alertas ingeridos na íntegra

Ingerimos alertas de segurança do CrowdStrike Falcon Platform por meio de endpoints de API:

  • US-1 “api.crowdstrike.com”
  • US-2 “api.us-2.crowdstrike.com”
  • US-GOV-1 “api.laggar.gcw.crowdstrike.com”
  • EU-1 “api.eu-1.crowdstrike.com”

Filtragem

Filtramos mensagens da seguinte forma:

  • PERMITIMOS apenas mensagens no formato correto.
  • RECUSAMOS mensagens que não estão no formato correto e não DESCARTAMOS os dados.

Amostra de mapeamentos de ameaças

O tipo de alerta é definido como se segue:

Se o campo behaviours.display_name estiver vazio, use o valor de behaviours.description. Caso contrário, use o valor de behaviours.display_name.

Exemplos de mapeamentos:

{CertutilRemoteFileCopythreatId: T1553.004threatName: Install Root Certificate}
{WinRMLateralMovementthreatId: TA0008 threatName: Lateral Movement}
{MaliciousInjection threatId: TA0002 threatName: Execution}