Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=crowdstrike-overview

Intégration CrowdStrike Falcon

Vous pouvez intégrer CrowdStrike Falcon à Sophos Central afin de lui permettre d’envoyer des données à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Vue générale du produit CrowdStrike Falcon

CrowdStrike Falcon est une plate-forme Cloud de protection des terminaux qui exploite la puissance du collecte de renseignements sur les menaces en temps réel. Grâce à sa technologie graphique propriétaire, elle offre une détection et une réponse rapide, garantissant que les terminaux restent sécurisés même contre les attaques sophistiquées.

Documents Sophos

Intégrer CrowdStrike Falcon

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

  • WinRMLateralMovement
  • Squiblydoo
  • WmicXSLFile
  • MalwareProcess
  • ObfCertutilCmd
  • MshtaDownload
  • CustomIOCDomainInformational
  • VolumeShadowSnapshotDeleted
  • Un fichier écrit dans le système de fichiers répond au seuil de confiance moyen de l’antivirus basé sur le Machine Learning intégré au capteur de détection des fichiers malveillants.
  • Un fichier écrit sur le système de fichiers a dépassé le seuil de détection le plus faible concernant les adwares.
  • Un fichier classé comme Adware/PUP basé sur son hachage SHA256 a été écrit dans le système de fichiers.
  • IOCPolicySHA256Critical
  • IntelDomainMedium
  • MsiexecUnusualArgs
  • Ce fichier est classé comme Adware/PUP basé sur son hachage SHA256.

Alertes ingérées dans leur intégralité

Nous ingérons les alertes de sécurité de la plate-forme CrowdStrike Falcon via les points d’accès API :

  • US-1 “api.crowdstrike.com”
  • US-2 “api.us-2.crowdstrike.com”
  • US-GOV-1 “api.laggar.gcw.crowdstrike.com”
  • EU-1 “api.eu-1.crowdstrike.com”

Filtrage

Nous filtrons les messages comme suit :

  • Nous AUTORISONS uniquement les messages qui sont au bon format.
  • Nous REFUSONS les messages qui ne sont pas au format correct et ne SUPPRIMONS pas les données.

Exemples de mappages de menaces

Le type d’alerte est défini comme suit :

Si le champ behaviours.display_name est vide, utiliser la valeur de behaviours.description. Sinon, utilisez la valeur behaviours.display_name.

Exemples de mappages :

{CertutilRemoteFileCopythreatId: T1553.004threatName: Install Root Certificate}
{WinRMLateralMovementthreatId: TA0008 threatName: Lateral Movement}
{MaliciousInjection threatId: TA0002 threatName: Execution}