跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

集成檢測管道

  • 遙測之旅和管道


    如果您從 **** 集成遙測之旅訪問此頁面,以下是您需要了解的內容。

    • **** 日誌中的數據收集在此處指的是“Ingest & Filter”階段。
    • **** 日誌中的數據處理指的是"乾淨","關聯"和"升級"階段。

本頁介紹Sophos產品集成如何獲取,過濾,清理,關聯和升級檢測。

Sophos MDR和XDR檢測管線圖。

步驟 1:攝取和過濾

我們攝取遙測並過濾掉不必要的噪音。

我們通過以下方式之一來實現此目的:

  • 內部部署:客戶網路上的日誌收集器將警報轉發到Sophos Central。
  • 在雲中:API向Sophos Central發送警報。

注意

為了保護所有用戶的服務連續性,Sophos有時會過濾或取樣客戶的數據輸入。這會顯示為擷取階段和處理階段警示音量之間的暫時差異。它還可能導致數據重新排隊,以便重新處理數據,從而為客戶提供全面的覆蓋範圍。

步驟 2:未含病毒

我們攝取的數據未標準化,因此Sophos開始將其處理為一致且標準化的架構。

步驟 3:關聯

我們現在開始將看似不相關的原始警報分組到相關的警報群集。

我們使用以下條件對警報進行分組:

  • 我們的目標是讓每個警報群集代表一個相關活動。
  • 我們根據MITRE ATT&CK技術和類似的危害指標(IOC)或實體,按時間對警報進行分組。
  • 我們使用MITRE框架來幫助我們根據特定威脅使用案例對事件進行分組。

步驟 4:上報

現在,邏輯決定了哪些群集應上報給我們的分析師進行進一步調查。

如有必要,分析師將進行調查,我們將通知客戶調查。

我們通常提供以下資訊:

  • 事件的說明。
  • 顯示最嚴重威脅的特定警示詳細資料。
  • 受到威脅的任何特定基礎設施。
  • 事件發生的任何特定時間。
  • 判斷威脅的嚴重性(是嚴重問題還是誤報,是否已對所有警報採取行動)。
  • 任何緩解步驟。