Présentation de l’intégration de Darktrace DETECT
Vous pouvez intégrer Darktrace DETECT à Sophos Central afin de lui permettre d’envoyer des alertes à Sophos pour analyse.
Cette page vous donne une vue générale de l’intégration.
Présentation du produit Darktrace DETECT
Darktrace Detect utilise l’intelligence artificielle pour détecter, mener des investigations et répondre de manière autonome aux cybermenaces en temps réel. Il apprend le « mode de vie » unique pour chaque réseau, appareil et utilisateur, en identifiant les anomalies qui indiquent des menaces potentielles. En surveillant en permanence toutes les interactions numériques, il offre une détection précoce des menaces et des fonctionnalités de réponse autonomes, protégeant ainsi l’environnement numérique.
Documents Sophos
Ce que nous ingérons
Exemples d’alertes vues par Sophos :
System/Device Modelling ChangeAnomalous Connection/Active Remote Desktop TunnelCompromise/Repeating Connections Over 4 DaysSaaS/Admin/Anomalous M365 Device ChangesExtensive Unusual WinRM Connections
Alertes ingérées dans leur intégralité
Nous vous recommandons de maximiser les alertes transmises à Sophos. Définissez le Score minimum d'événement d’incident AI Analyst et le Score minimum d’incident AI Analyst sur 0. Voir Intégrer Darktrace DETECT.
Filtrage
Nous autorisons uniquement les messages au bon format.
Exemples de mappages de menaces
Pour ce type d'alerte, nous nettoyons le champ cef.name.
Exemples de mappages :
{"alertType": "System/System", "threatId": "T1542.001", "threatName": "System Firmware"}
{"alertType": "System/Internal Domain Name Change", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "Anomalous Connection/High DGA Low DNS TTL", "threatId": "T1568.002", "threatName": "Domain Generation Algorithms"}