Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=crowdstrike-overview

Intégration CrowdStrike Falcon

Vous pouvez intégrer CrowdStrike Falcon à Sophos Central afin de lui permettre d’envoyer des données à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Vue générale du produit CrowdStrike Falcon

CrowdStrike Falcon est une plate-forme Cloud de protection des terminaux qui exploite la puissance du collecte de renseignements sur les menaces en temps réel. Grâce à sa technologie graphique propriétaire, elle offre une détection et une réponse rapide, garantissant que les terminaux restent sécurisés même contre les attaques sophistiquées.

Documents Sophos

Intégrer CrowdStrike Falcon

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

  • WinRMLateralMovement
  • Squiblydoo
  • WmicXSLFile
  • MalwareProcess
  • ObfCertutilCmd
  • MshtaDownload
  • CustomIOCDomainInformational
  • VolumeShadowSnapshotDeleted
  • A file written to the file-system meets the machine learning-based on-sensor AV protection's medium confidence threshold for malicious files.
  • A file written to the file-system surpassed a lowest-confidence adware detection threshold.
  • A file classified as Adware/PUP based on its SHA256 hash was written to the file-system.
  • IOCPolicySHA256Critical
  • IntelDomainMedium
  • MsiexecUnusualArgs
  • This file is classified as Adware/PUP based on its SHA256 hash.

Alertes ingérées dans leur intégralité

Nous ingérons les alertes de sécurité de la plate-forme CrowdStrike Falcon via les points d’accès API :

  • US-1 “api.crowdstrike.com”
  • US-2 “api.us-2.crowdstrike.com”
  • US-GOV-1 “api.laggar.gcw.crowdstrike.com”
  • EU-1 “api.eu-1.crowdstrike.com”

Filtrage

Nous filtrons les messages comme suit :

  • Nous AUTORISONS uniquement les messages qui sont au bon format.
  • Nous REFUSONS les messages qui ne sont pas au format correct et ne SUPPRIMONS pas les données.

Exemples de mappages de menaces

Le type d’alerte est défini comme suit :

Si le champ behaviours.display_name est vide, utiliser la valeur de behaviours.description. Sinon, utiliser la valeur de behaviours.display_name.

Exemples de mappages :

{CertutilRemoteFileCopythreatId: T1553.004threatName: Install Root Certificate}
{WinRMLateralMovementthreatId: TA0008 threatName: Lateral Movement}
{MaliciousInjection threatId: TA0002 threatName: Execution}