Panoramica dell’integrazione Darktrace DETECT
Darktrace DETECT può essere integrato con Sophos Central in modo da inviare avvisi a Sophos, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica del prodotto Darktrace DETECT
Darktrace Detect sfrutta l’intelligenza artificiale per rilevare, indagare e rispondere autonomamente alle minacce informatiche in tempo reale. Apprende il “modello di vita” univoco di ogni rete, dispositivo e utente, identificando eventuali anomalie che potrebbero indicare la presenza di minacce. Grazie al monitoraggio costante di tutte le interazioni digitali, offre rilevamento tempestivo delle minacce con opzioni di risposta autonoma, per salvaguardare l’ambiente digitale.
Documenti Sophos
Integrazione di Darktrace DETECT
I dati raccolti e inseriti
Esempi di avvisi visualizzati da Sophos:
System/Device Modelling ChangeAnomalous Connection/Active Remote Desktop TunnelCompromise/Repeating Connections Over 4 DaysSaaS/Admin/Anomalous M365 Device ChangesExtensive Unusual WinRM Connections
Avvisi inseriti per intero
Si consiglia di ottimizzare gli avvisi inoltrati a Sophos. Impostare il Minimum AI Analyst Incident Event Score (Punteggio minimo per gli eventi nell’analisi basata su IA) e Minimum AI Analyst Incident Score (Punteggio minimo per gli incidenti nell’analisi basata su IA) su 0. Vedere Integrazione di Darktrace DETECT.
Filtraggio
Vengono autorizzati solo i messaggi nel formato CEF standard.
Esempi di mapping delle minacce
Per il tipo di avviso, sanifichiamo il campo cef.name.
Mapping di esempio:
{"alertType": "System/System", "threatId": "T1542.001", "threatName": "System Firmware"}
{"alertType": "System/Internal Domain Name Change", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "Anomalous Connection/High DGA Low DNS TTL", "threatId": "T1568.002", "threatName": "Domain Generation Algorithms"}