Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=crowdstrike-overview

CrowdStrike Falcon-Integration

API Endpoint

Sie können CrowdStrike Falcon in Sophos Central integrieren, sodass Daten an Sophos zur Analyse gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

CrowdStrike Falcon-Produktübersicht

CrowdStrike Falcon ist eine Cloud-native Plattform für den Endpoint-Schutz, welche die Leistungsfähigkeit von Echtzeit-Bedrohungsinformationen nutzt. Mithilfe der proprietären Graphtechnologie ermöglicht die Lösung eine schnelle Erkennung und Reaktion und stellt sicher, dass Endpoints sicher bleiben, auch bei komplexen Angriffen.

Sophos-Dokumente

CrowdStrike Falcon integrieren

Was wir erfassen

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • WinRMLateralMovement
  • Squiblydoo
  • WmicXSLFile
  • MalwareProcess
  • ObfCertutilCmd
  • MshtaDownload
  • CustomIOCDomainInformational
  • VolumeShadowSnapshotDeleted
  • A file written to the file-system meets the machine learning-based on-sensor AV protection's medium confidence threshold for malicious files.
  • A file written to the file-system surpassed a lowest-confidence adware detection threshold.
  • A file classified as Adware/PUP based on its SHA256 hash was written to the file-system.
  • IOCPolicySHA256Critical
  • IntelDomainMedium
  • MsiexecUnusualArgs
  • This file is classified as Adware/PUP based on its SHA256 hash.

Alarme werden vollständig erfasst

Wir nehmen Sicherheits-Alerts von der CrowdStrike Falcon Platform über die API-Endpoints auf:

  • US-1 “api.crowdstrike.com”
  • US-2 “api.us-2.crowdstrike.com”
  • US-GOV-1 “api.laggar.gcw.crowdstrike.com”
  • EU-1 “api.eu-1.crowdstrike.com”

Filterung

Nachrichten werden wie folgt gefiltert:

  • Wir ERLAUBEN nur Nachrichten im korrekten Format.
  • Wir LEHNEN Nachrichten AB, die nicht im richtigen Format vorliegen, und LÖSCHEN die Daten nicht.

Beispiele für Bedrohungszuordnungen

Der Alert-Typ wird wie folgt definiert:

Wenn das Feld behaviours.display_name leer ist, verwenden Sie den Wert behaviours.description. Andernfalls verwenden Sie den Wert von behaviours.display_name.

Beispielzuordnungen:

{CertutilRemoteFileCopythreatId: T1553.004threatName: Install Root Certificate}
{WinRMLateralMovementthreatId: TA0008 threatName: Lateral Movement}
{MaliciousInjection threatId: TA0002 threatName: Execution}