Vai al contenuto
Il supporto che offriamo per MDR.

Pipeline di rilevamento delle integrazioni

  • Il percorso di telemetria e la pipeline


    Se si apre questa pagina dal Percorso di telemetria di un’integrazione, occorre sapere quanto segue.

    • La Raccolta dei dati nel journal si riferisce qui alla fase “Inserimento e filtro”.
    • L’Elaborazione dei dati nel journal si riferisce qui alle fasi “Rimuovi”, “Correlazione” ed “Escalation”.

Questa pagina indica come le integrazioni dei prodotti Sophos inseriscono, filtrano, rimuovono, mettono in correlazione i rilevamenti e ne effettuano l’escalation.

Diagramma della pipeline di rilevamento di Sophos MDR e XDR.

Passaggio 1. Inserimento e filtro

Inseriamo la telemetria e filtriamo le informazioni superflue.

Questa operazione viene eseguita in uno dei seguenti modi:

  • On-premise: un agente di raccolta log sulla rete del cliente inoltra gli avvisi a Sophos Central.
  • Nel cloud: un’API invia avvisi a Sophos Central.

Nota

Per proteggere la continuità del servizio per tutti gli utenti, a volte Sophos filtra o campiona l’input dei dati dei clienti. Viene visualizzato in forma di differenze temporanee tra il volume degli avvisi nelle fasi di inserimento e di elaborazione. Può anche portare a mettere di nuovo in coda dei dati per poterli rielaborare, al fine di garantire al cliente una copertura completa.

Passaggio 2. Rimozione

I dati che inseriamo non sono standardizzati, quindi Sophos inizia a elaborarli in uno schema coerente e normalizzato.

Passaggio 3. Correlazione

A questo punto iniziamo a raggruppare gli avvisi non elaborati e apparentemente non correlati in cluster di avvisi correlati.

Per raggruppare gli avvisi, utilizziamo i seguenti criteri:

  • Il nostro obiettivo è fare in modo che ogni cluster di avvisi rappresenti un’attività correlata.
  • Raggruppiamo gli avvisi nel tempo, in base alla tecnica MITRE ATT&CK e a Indicatori di Compromissione (IoC) o entità simili.
  • Utilizziamo il framework MITRE per raggruppare gli eventi in base a casi di utilizzo specifici delle minacce.

Passaggio 4. Escalation

A questo punto la logica decide quali cluster mandare in escalation ai nostri analisti per ulteriori indagini.

Se necessario, l’analista svolgerà indagini e comunicheremo al cliente che l’indagine è in corso.

Di solito, forniamo le seguenti informazioni:

  • Una descrizione dell’incidente.
  • Dettagli specifici degli avvisi che sembrano indicare la minaccia più grave.
  • Eventuali infrastrutture specifiche che si trovano in pericolo.
  • Eventuali momenti specifici in cui si sono verificati gli eventi.
  • Il verdetto sulla gravità della minaccia (se si tratta di un problema grave o di un falso positivo, se tutti gli avvisi sono attivati).
  • Eventuali passaggi di mitigazione.