Thinkst Canary 통합에 대한 개요
Sophos Central에 Thinkst Canary를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Thinkst Canary 제품 개요
Thinkst Canary는 사용자 환경에서 침입자를 감지하도록 설계된 허니팟과 토큰을 제공합니다. Canary는 실제 자산을 모방하여 공격자를 유인하고 상호 작용할 때 경고를 트리거합니다. 이러한 충실도 높은 경고를 통해 보안 팀은 오탐을 최소화하면서 잠재적인 위반에 대해 조기에 경고할 수 있습니다.
Sophos 문서
수집되는 것
Sophos에서 볼 수 있는 샘플 경고:
Host Port ScanCanarytoken triggeredCanary DisconnectedSSH Login AttemptShared File OpenedConsolidated Network Port ScanMultiple Canaries DisconnectedMSSQL Login AttemptFTP Login AttemptGit Repository Clone AttemptHTTP Page Load
필터링
경고는 다음과 같이 필터링됩니다.
- 올바른 형식의 메시지만 허용됩니다.
- 우리는 올바른 형식이 아닌 메시지를 거부하지만 데이터를 삭제하지는 않습니다.
샘플 위협 매핑
우리는 경고 유형을 다음과 같이 정의합니다.
만약 description.events 필드가 존재하고 길이가 0보다 크며, description.events.type에 첫 번째 항목이 있으면, 필드 summary를 description.events.type의 첫 번째 항목과 연결합니다.
필드 description.events가 없거나 길이가 0인 경우 대신 필드 summary을(를) 사용하십시오.
샘플 매핑:
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}