Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=orca-overview

Integration von Orca Security – Übersicht

API Öffentliche Cloud

Warnung

Diese Integration wird derzeit nicht unterstützt. Dies liegt an Änderungen in der Software von Orca.

Sie können Orca Security in Sophos Central integrieren, sodass Warnmeldungen zur Analyse an Sophos gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Orca Security-Produktübersicht

Orca Security ist eine Cloud-native Sicherheitsplattform, die umfassende Transparenz und Schutz für öffentliche Cloud-Infrastrukturen bietet. Indem es direkt auf die Cloud-Umgebung zugreift, kann es Schwachstellen, Malware, Fehlkonfigurationen und Seitwärtsbewegungs-Risiken identifizieren. So wird sichergestellt, dass Ihre Cloud-Assets sicher und richtlinienkonform bleiben, ohne dass Agenten oder Netzwerkscanner benötigt werden.

Sophos-Dokumente

Orca Security integrieren

Was wir erfassen

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • "alertType": "aws_s3_risky_policy"
  • "alertType": "malware"
  • "alertType": "Expired ACM certificate"
  • "alertType": "The following vulnerabilities were found on Internet facing service: kernel VERSION"
  • "alertType": "Ensure 'Prohibit installation and configuration of Network Bridge on your DNS domain network' is set to 'VALUE' (Automated)"
  • "alertType": "The following vulnerabilities were found on service: amazon-ecs-volume-plugin VERSION"
  • "alertType": "The following vulnerabilities were found on software: golang.org/x/net-VERSION"

Filterung

Nachrichten werden wie folgt gefiltert:

  • Wir filtern nur, um zu bestätigen, dass die Nachrichten das richtige Format aufweisen.
  • Wir LÖSCHEN Alarme nicht.

Beispiele für Bedrohungszuordnungen

Wir definieren den Alert-Typ über das Feld description, wenn es nicht leer ist. Ansonsten verwenden wir das Feld type_string.

Beispielzuordnungen:

{"alertType": "aws_iam_old_role_with_policy", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "malware", "threatId": "T1587.001",  "threatName": "Malware"}
{"alertType": "Unencrypted web endpoint exposing password input field", "threatId": "T1056", "threatName": "Input Capture"}

Herstellerdokumentation