Resumen de la integración de Orca Security

Puede integrar Orca Security con Sophos Central para que envíe alertas a Sophos para analizarlas.

Esta página presenta una visión general de la integración.

Presentación del producto de Orca Security

Orca Security es una plataforma de seguridad nativa en la nube que ofrece visibilidad y protección completas para infraestructuras en la nube pública. Al acceder directamente al entorno en la nube, identifica vulnerabilidades, malware, errores de configuración y riesgos de movimiento lateral, lo que garantiza la seguridad y el cumplimiento de sus recursos en la nube sin necesidad de agentes ni escáneres de red.

Documentos de Sophos

Integrar Orca Security

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

"alertType": "aws_s3_risky_policy"
"alertType": "malware"
"alertType": "Expired ACM certificate"
"alertType": "The following vulnerabilities were found on Internet facing service: kernel VERSION"
"alertType": "Ensure 'Prohibit installation and configuration of Network Bridge on your DNS domain network' is set to 'VALUE' (Automated)"
"alertType": "The following vulnerabilities were found on service: amazon-ecs-volume-plugin VERSION"
"alertType": "The following vulnerabilities were found on software: golang.org/x/net-VERSION"

Filtrado

Filtramos los mensajes de la siguiente manera:

Solo filtramos para confirmar que los mensajes están en el formato correcto.
No DESCARTAMOS ninguna alerta.

Muestra de asignaciones de amenazas

Definimos el tipo de alerta a partir del campo description si no está vacío. De lo contrario, utilizamos el campo type_string.

Asignaciones de ejemplo:

{"alertType": "aws_iam_old_role_with_policy", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "malware", "threatId": "T1587.001",  "threatName": "Malware"}
{"alertType": "Unencrypted web endpoint exposing password input field", "threatId": "T1056", "threatName": "Input Capture"}