CrowdStrike Falcon 集成
您可以將 CrowdStrike Falcon 與 Sophos Central 整合,以便其將資料傳送到 Sophos 進行分析。
本頁面提供此整合功能的概覽。
CrowdStrike Falcon 產品概覽
CrowdStrike Falcon 是一個雲端原生端點保護平台,利用即時威脅情報的力量。利用其專有的圖技術,它能夠快速偵測和回應,確保終端即使面對複雜的攻擊也能保持安全。
Sophos 說明文件
我們擷取的內容
Sophos 可擷取的範例警示包括:
WinRM側向移動SquiblydooWmicXSL文件惡意軟體流程ObfCertutilCmdMshta下載自訂IOCDomain信息VolumeShadowSnapshotDeleted寫入檔案系統的檔案符合基於機器學習的感測器端防毒保護對惡意檔案的中等置信度閾值。寫入檔案系統的檔案超過了最低置信度的廣告軟體偵測閾值。根據 SHA256 雜湊值,一個被歸類為廣告軟體/潛在有害程式的檔案被寫入檔案系統。IOCPolicySHA256關鍵IntelDomainMediumMsiexecUnusualArgs根據 SHA256 雜湊值,該檔案被歸類為廣告軟體/潛在有害程式。
完整擷取警示
我們透過 API 端點從 CrowdStrike Falcon 平台接收安全警報:
US-1 “api.crowdstrike.com”US-2 “api.us-2.crowdstrike.com”US-GOV-1 “api.laggar.gcw.crowdstrike.com”EU-1“api.eu-1.crowdstrike.com”
資料篩選
We filter messages as follows:
- 我們只允許發送格式正確的訊息。
- 我們會拒絕格式不正確的訊息,但不會丟棄資料。
威脅對應範例
警報類型定義如下:
如果欄位 behaviours.display_name 為空,則使用 behaviours.description的值。否則,使用 behaviours.display_name的值。
範例對應項目如下:
{CertutilRemoteFileCopythreatId:T1553.004threatName:Install Root Certificate}
{WinRMLateralMovementthreatId:TA0008 threatName:Lateral Movement}
{MaliciousInjection threatId:TA0002 threatName:Execution}