Überblick über die Darktrace DETECT-Integration
Sie können Darktrace DETECT in Sophos Central integrieren, sodass Alerts zur Analyse an Sophos gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Darktrace DETECT-Produktübersicht
Darktrace Detect verwendet künstliche Intelligenz, um Cyber-Bedrohungen autonom in Echtzeit zu erkennen, zu untersuchen und darauf zu reagieren. Es erlernt das einzigartige „Verhaltensmuster“ für jedes Netzwerk, jedes Gerät und jeden Benutzer und identifiziert Anomalien, die auf potenzielle Bedrohungen hinweisen. Durch die kontinuierliche Überwachung aller digitalen Interaktionen bietet es eine frühzeitige Erkennung von Bedrohungen und autonome Reaktionsfunktionen zum Schutz der digitalen Umgebung.
Sophos-Dokumente
Was wir erfassen
Beispiel für Warnmeldungen, die Sophos gesehen hat:
System/Device Modelling ChangeAnomalous Connection/Active Remote Desktop TunnelCompromise/Repeating Connections Over 4 DaysSaaS/Admin/Anomalous M365 Device ChangesExtensive Unusual WinRM Connections
Alarme werden vollständig erfasst
Es wird empfohlen, so viele Alerts wie möglich an Sophos weiterzuleiten. Legen Sie Minimum AI Analyst Incident Event Score und Minimum AI Analyst Incident Score auf 0 fest. Siehe Darktrace DETECT integrieren.
Filterung
Wir erlauben nur Nachrichten im CEF-Standardformat.
Beispiele für Bedrohungszuordnungen
Für den Alert-Typ bereinigen wir das Feld cef.name.
Beispielzuordnungen:
{"alertType": "System/System", "threatId": "T1542.001", "threatName": "System Firmware"}
{"alertType": "System/Internal Domain Name Change", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "Anomalous Connection/High DGA Low DNS TTL", "threatId": "T1568.002", "threatName": "Domain Generation Algorithms"}