Visão geral da integração do Darktrace DETECT
Você pode integrar o Darktrace DETECT ao Sophos Central para o envio de alertas à Sophos para análise.
Esta página lhe dá uma visão geral da integração.
Visão geral do produto Darktrace DETECT
O Darktrace Detect utiliza inteligência artificial para detectar, investigar e responder de modo autônomo a ameaças cibernéticas em tempo real. Ele aprende o 'padrão de vida' único de cada rede, dispositivo e usuário, identificando anomalias que indicam possíveis ameaças. Com o monitoramento contínuo de todas as interações digitais, oferece detecção antecipada de ameaças e funcionalidade de resposta autônoma, garantindo a segurança do seu ambiente digital.
Documentação da Sophos
O que ingerimos
Exemplos de alertas vistos pela Sophos:
System/Device Modelling ChangeAnomalous Connection/Active Remote Desktop TunnelCompromise/Repeating Connections Over 4 DaysSaaS/Admin/Anomalous M365 Device ChangesExtensive Unusual WinRM Connections
Alertas ingeridos na íntegra
Recomendamos que você maximize os alertas encaminhados à Sophos. Configure Minimum AI Analyst Incident Event Score e Minimum AI Analyst Incident Score como 0. Consulte Integrar o Darktrace DETECT.
Filtragem
Permitimos apenas mensagens no formato CEF standard.
Amostra de mapeamentos de ameaças
Para o tipo de alerta, limpamos o campo cef.name.
Exemplos de mapeamentos:
{"alertType": "System/System", "threatId": "T1542.001", "threatName": "System Firmware"}
{"alertType": "System/Internal Domain Name Change", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "Anomalous Connection/High DGA Low DNS TTL", "threatId": "T1568.002", "threatName": "Domain Generation Algorithms"}