Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=vision-one-overview

Integrazione Trend Micro Vision One

API Endpoint

Trend Micro Vision One può essere integrata con Sophos Central per consentire l’invio di dati a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto Trend Micro Vision One

Trend Micro Vision One è una piattaforma di Security Operations basata sul cloud che unisce ASM e XDR in un’unica console, per gestire il rischio informatico negli ambienti cloud, on-premise e ibridi. Offre potenti capacità di approfondimento sui rischi e rilevamento precoce delle minacce. Inoltre, si integra con una piattaforma dettagliata di protezione e intelligence globale sulle minacce, per fornire un inventario completo delle risorse e una valutazione granulare del rischio. Il risultato è una gestione precisa ed efficiente delle minacce.

Documenti Sophos

Integrazione di Trend Micro Vision One

I dati raccolti e inseriti

Esempi di avvisi visualizzati da Sophos:

  • A command using net.exe or sc.exe has been executed to stop a service.
  • Attempts to monitor or capture transmitted data were detected on the network.
  • A hacking tool, which is generally used for cracking computer and network security or by system administrators to test security, was detected and blocked on an endpoint.
  • A suspicious file with double extensions was created.
  • An account attempted to upload a file containing a malicious URL and triggered file quarantine, which may indicate lateral movement after account compromise.

Avvisi inseriti per intero

Da Vision One inseriamo due endpoint:

  • Workbench:"api/v3.0/workbench/alerts"
  • Observed attack techniques: "api/v3.0/oat/detections"

Filtraggio

Filtriamo i risultati solo per confermare il formato. Nessun avviso viene eliminato.

Esempi di mapping delle minacce

{"alertType": "A Windows System Utility was executed to start a service.", "threatId": "TA0002", "threatName": "Execution"}
{"alertType": "A non browser application is connecting to a legitimate cloud provider, potentially using them as CnC.", "threatId": "TA0011", "threatName": "Command and Control"}
{"alertType": "A website that attempts to defraud a person or group after first gaining their confidence, used in the classical sense of trust was detected and blocked.", "threatId": "T1566", "threatName": "Phishing"}

Documentazione del vendor

Recupero dell’elenco di avvisi del workbench