Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=vision-one-overview

Integration von Trend Micro Vision One

API Endpoint

Sie können Trend Micro Vision One in Sophos Central integrieren, sodass Daten an Sophos zur Analyse gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Produktübersicht zu Trend Micro Vision One

Trend Micro Vision One ist eine cloudbasierte Security-Operations-Plattform, die ASM und XDR zur Verwaltung von Cyberrisiken in Cloud-, Hybrid- und lokalen Umgebungen in einer Konsole kombiniert. Es bietet leistungsstarke Einblicke in Risiken, eine frühzeitige Bedrohungserkennung und ist in eine umfassende Schutzplattform und globale Threat Intelligence eingebunden. So werden ein umfangreiches Asset Inventory und Risk Assessment ermöglicht, was zu einer präzisen und effizienten Bedrohungsverwaltung führt.

Sophos-Dokumente

Trend Micro Vision One integrieren

Was wir erfassen

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • A command using net.exe or sc.exe has been executed to stop a service.
  • Attempts to monitor or capture transmitted data were detected on the network.
  • A hacking tool, which is generally used for cracking computer and network security or by system administrators to test security, was detected and blocked on an endpoint.
  • A suspicious file with double extensions was created.
  • An account attempted to upload a file containing a malicious URL and triggered file quarantine, which may indicate lateral movement after account compromise.

Alarme werden vollständig erfasst

Wir erfassen zwei Endpoints aus Vision One:

  • Workbench:"api/v3.0/workbench/alerts"
  • Observed attack techniques: "api/v3.0/oat/detections"

Filterung

Wir filtern die Ergebnisse, um nur das Format zu bestätigen. Wir verwerfen keine Alarme.

Beispiele für Bedrohungszuordnungen

{"alertType": "A Windows System Utility was executed to start a service.", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "A non browser application is connecting to a legitimate cloud provider, potentially using them as CnC.", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "A website that attempts to defraud a person or group after first gaining their confidence, used in the classical sense of trust was detected and blocked.", "threatId": "T1566", "threatName": "Phishing"}

Herstellerdokumentation

Liste der Workbench-Alarme abrufen