集成檢測管道
-
遙測之旅和管道
如果您從 **** 集成遙測之旅訪問此頁面,以下是您需要了解的內容。
- **** 日誌中的數據收集在此處指的是“Ingest & Filter”階段。
- **** 日誌中的數據處理指的是"乾淨","關聯"和"升級"階段。
本頁介紹Sophos產品集成如何獲取,過濾,清理,關聯和升級檢測。
步驟 1:攝取和過濾
我們攝取遙測並過濾掉不必要的噪音。
我們通過以下方式之一來實現此目的:
- 內部部署:客戶網路上的日誌收集器將警報轉發到Sophos Central。
- 在雲中:API向Sophos Central發送警報。
注意
為了保護所有用戶的服務連續性,Sophos有時會過濾或取樣客戶的數據輸入。這會顯示為擷取階段和處理階段警示音量之間的暫時差異。它還可能導致數據重新排隊,以便重新處理數據,從而為客戶提供全面的覆蓋範圍。
步驟 2:未含病毒
我們攝取的數據未標準化,因此Sophos開始將其處理為一致且標準化的架構。
步驟 3:關聯
我們現在開始將看似不相關的原始警報分組到相關的警報群集。
我們使用以下條件對警報進行分組:
- 我們的目標是讓每個警報群集代表一個相關活動。
- 我們根據MITRE ATT&CK技術和類似的危害指標(IOC)或實體,按時間對警報進行分組。
- 我們使用MITRE框架來幫助我們根據特定威脅使用案例對事件進行分組。
步驟 4:上報
現在,邏輯決定了哪些群集應上報給我們的分析師進行進一步調查。
如有必要,分析師將進行調查,我們將通知客戶調查。
我們通常提供以下資訊:
- 事件的說明。
- 顯示最嚴重威脅的特定警示詳細資料。
- 受到威脅的任何特定基礎設施。
- 事件發生的任何特定時間。
- 判斷威脅的嚴重性(是嚴重問題還是誤報,是否已對所有警報採取行動)。
- 任何緩解步驟。