Vue générale de l’intégration Orca Security
Vous pouvez intégrer Orca Security à Sophos Central afin de lui permettre d’envoyer des alertes à Sophos pour analyse.
Cette page vous donne une vue générale de l’intégration.
Vue générale du produit Orca Security
Orca Security est une plate-forme Cloud de sécurité qui offre une visibilité et une protection complètes pour les infrastructures Cloud public. En puisant directement dans l’environnement Cloud, elle identifie les vulnérabilités, les malwares, les erreurs de configuration et les risques de mouvements latéraux, garantissant ainsi la sécurité et la conformité de vos ressources cloud sans avoir besoin d’agents ou de contrôleurs réseau.
Documents Sophos
Ce que nous ingérons
Exemples d’alertes vues par Sophos :
"alertType": "aws_s3_risky_policy""alertType": "malware""alertType": "Expired ACM certificate""alertType": "The following vulnerabilities were found on Internet facing service: kernel VERSION""alertType": "Ensure 'Prohibit installation and configuration of Network Bridge on your DNS domain network' is set to 'VALUE' (Automated)""alertType": "The following vulnerabilities were found on service: amazon-ecs-volume-plugin VERSION""alertType": "The following vulnerabilities were found on software: golang.org/x/net-VERSION"
Filtrage
Nous filtrons les messages comme suit :
- Nous filtrons uniquement pour confirmer que les messages sont au format correct.
- Nous ne SUPPRIMONS aucune alerte.
Exemples de mappages de menaces
Nous définissons le type d’alerte à partir du champ description s’il n’est pas vide. Autrement, nous utilisons le champ type_string.
Exemples de mappages :
{"alertType": "aws_iam_old_role_with_policy", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "malware", "threatId": "T1587.001", "threatName": "Malware"}
{"alertType": "Unencrypted web endpoint exposing password input field", "threatId": "T1056", "threatName": "Input Capture"}