Visão geral da integração do Thinkst Canary
Você pode integrar o Thinkst Canary ao Sophos Central para o envio de alertas à Sophos para análise.
Esta página lhe dá uma visão geral da integração.
Visão geral do produto Thinkst Canary
Thinkst Canary oferece honeypots e tokens criados para detectar invasores no seu ambiente. Ao imitar recursos genuínos, Canaries atraem invasores, disparando alertas quando ocorrer a interação. Esses alertas de alta fidelidade dão às equipes de segurança um aviso antecipado de possíveis violações com o mínimo de falsos positivos.
Documentação da Sophos
O que ingerimos
Exemplos de alertas vistos pela Sophos:
Host Port ScanCanarytoken triggeredCanary DisconnectedSSH Login AttemptShared File OpenedConsolidated Network Port ScanMultiple Canaries DisconnectedMSSQL Login AttemptFTP Login AttemptGit Repository Clone AttemptHTTP Page Load
Filtragem
Filtramos mensagens da seguinte forma:
- PERMITIMOS apenas mensagens que estão no formato correto.
- RECUSAMOS mensagens que não estão no formato correto, mas não DESCARTAMOS os dados.
Amostra de mapeamentos de ameaças
Definimos o tipo de alerta da seguinte forma:
Se o campo description.events existir e tiver um comprimento maior que 0, e a primeira entrada em description.events.type existir, concatene o campo summary com a primeira entrada em description.events.type.
Se o campo description.events não existir ou tiver um comprimento de 0, use o campo summary em seu lugar.
Exemplos de mapeamentos:
{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}