コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=thinkst-overview

Thinkst Canary 統合の概要

Thinkst Canary は Sophos Central と統合して、ソフォスでの解析用に警告を送信することができます。

このページでは、統合の概要を説明します。

Thinkst Canary 製品の概要

Thinkst Canary は、環境内の侵入者を検出するように設計されたハニーポットとトークンを提供します。Canary は、本物の資産を模倣することで攻撃者を引き付け、操作すると警告をトリガーします。これらの忠実度の高い警告により、セキュリティチームは誤検知を最小限に抑えて、潜在的な侵害を早期に警告できます。

ソフォス製品ドキュメント

Thinkst Canary 統合

取り込まれる内容

ソフォスで表示される警告の例:

  • Host Port Scan
  • Canarytoken triggered
  • Canary Disconnected
  • SSH Login Attempt
  • Shared File Opened
  • Consolidated Network Port Scan
  • Multiple Canaries Disconnected
  • MSSQL Login Attempt
  • FTP Login Attempt
  • Git Repository Clone Attempt
  • HTTP Page Load

フィルタリング

メッセージは次のようにフィルタリングされます。

  • 正しい形式であるメッセージのみを許可します。
  • 正しい形式でないメッセージは拒否し、データをドロップしません。

脅威マッピングの例

警告の種類は、 次のようにしてフィールドによって定義します。

フィールド description.events が存在し、長さが 0 より大きく、description.events.type の最初のエントリが存在する場合は、フィールド summarydescription.events.type の最初の項目と連結します。

フィールド description.events が存在しないか、長さが 0 の場合は、代わりにフィールド summary を使用します。

マッピングの例:

{"alertType":"MySQL Login Attempt", "threatId":"TA0008", "threatName":"Lateral Movement"}
{"alertType":"TFTP request", "threatId":"T1046", "threatName":"Network Service Scanning"}
{"alertType":"Canary Disconnected", "threatId":"T1489", "threatName":"Service Stop"}

ベンダーのドキュメント