Thinkst Canary 整合的概覽
您可以將 Thinkst Canary 與 Sophos Central 整合,讓其將警示傳送至 Sophos 進行分析。
本頁面提供此整合功能的概覽。
Thinkst Canary 產品簡介
Thinkst Canary 提供蜜罐和權杖,旨在偵測您環境中的入侵者。Canaries 透過模仿真實資產吸引攻擊者,並在與之互動時觸發警示。這些高保真警示可以為安全團隊提供潛在漏洞的早期預警,並將誤報率降至最低。
Sophos 說明文件
我們擷取的內容
Sophos 可擷取的範例警示包括:
主機連接埠掃描Canarytoken 被觸發Canary 斷開連接SSH 登入嘗試共享檔案已開啟綜合網路連接埠掃描多個 Canary 斷開連接MSSQL 登入嘗試FTP 登入嘗試Git 倉庫克隆嘗試HTTP 頁面加載
資料篩選
We filter messages as follows:
- 我們僅允許格式正確的消息。
- 我們拒絕格式不正確的消息,但不會丟棄數據。
威脅對應範例
我們定義警示類型如下:
如果字段 description.events 存在且長度大於 0,並且 description.events.type 中的第一個條目存在,則將字段 summary 與 description.events.type 中的第一個條目連接。
如果字段 description.events 不存在或長度為 0,則使用字段 summary。
範例對應項目如下:
{"alertType":"MySQL Login Attempt", "threatId":"TA0008", "threatName":"Lateral Movement"}
{"alertType":"TFTP request", "threatId":"T1046", "threatName":"Network Service Scanning"}
{"alertType":"Canary Disconnected", "threatId":"T1489", "threatName":"Service Stop"}