Vue générale de l’intégration de Thinkst Canary
Vous pouvez intégrer Thinkst Canary à Sophos Central afin de lui permettre d’envoyer des alertes à Sophos pour analyse.
Cette page vous donne une vue générale de l’intégration.
Vue générale du produit Thinkst Canary
Thinkst Canary propose des leurres (« honeypots ») et des jetons conçus pour détecter les intrus dans votre environnement. En imitant les véritables ressources, les leurres Thinkst Canary attirent les attaquants et déclenchent des alertes lorsqu’ils interagissent avec eux. Ces alertes haute fidélité permettent aux équipes de sécurité d’être averties rapidement des failles potentielles avec un minimum de faux positifs.
Documents Sophos
Ce que nous ingérons
Exemples d’alertes vues par Sophos :
Host Port ScanCanarytoken triggeredCanary DisconnectedSSH Login AttemptShared File OpenedConsolidated Network Port ScanMultiple Canaries DisconnectedMSSQL Login AttemptFTP Login AttemptGit Repository Clone AttemptHTTP Page Load
Filtrage
Nous filtrons les messages comme suit :
- Nous AUTORISONS uniquement les messages qui sont au bon format.
- Nous REFUSONS les messages qui ne sont pas au format correct mais nous ne SUPPRIMONS pas les données.
Exemples de mappages de menaces
Nous définissons le type d’alerte comme suit :
Si le champ description.events existe et a une longueur supérieure à 0, et que la première entrée dans description.events.type existe, concaténer le champ summary avec la première entrée dans description.events.type.
Si le champ description.events n’existe pas ou a une longueur de 0, utiliser plutôt le champ summary.
Exemples de mappages :
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}