跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=crowdstrike-overview

CrowdStrike Falcon整合

API 端點

您可以將 CrowdStrike Falcon 與 Sophos Central 整合,以便其將資料傳送到 Sophos 進行分析。

本頁面提供此整合功能的概覽。

CrowdStrike Falcon 產品概覽

CrowdStrike Falcon 是一個雲端原生端點保護平台,利用即時威脅情報的力量。它利用其專有的圖形技術,提供快速偵測和回應,確保端點即使面對複雜的攻擊也不會受到入侵。

Sophos 文件資訊

整合 CrowdStrike Falcon

資料擷取內容

Sophos 可擷取的範例警示包括:

  • WinRMLateralMovement
  • Squiblydoo
  • WmicXSLFile
  • MalwareProcess
  • ObfCertutilCmd
  • MshtaDownload
  • CustomIOCDomainInformational
  • VolumeShadowSnapshotDeleted
  • A file written to the file-system meets the machine learning-based on-sensor AV protection's medium confidence threshold for malicious files.
  • A file written to the file-system surpassed a lowest-confidence adware detection threshold.
  • A file classified as Adware/PUP based on its SHA256 hash was written to the file-system.
  • IOCPolicySHA256Critical
  • IntelDomainMedium
  • MsiexecUnusualArgs
  • This file is classified as Adware/PUP based on its SHA256 hash.

完整擷取警示

我們透過 API 端點從 CrowdStrike Falcon 平台中接收安全警報。

  • US-1 “api.crowdstrike.com”
  • US-2 “api.us-2.crowdstrike.com”
  • US-GOV-1 “api.laggar.gcw.crowdstrike.com”
  • EU-1 “api.eu-1.crowdstrike.com”

資料篩選

我們按以下方式篩選警示:

  • 我們僅允許正確格式的訊息。
  • 我們拒絕不符合正確格式的訊息,並且不丟棄資料。

威脅對應範例

警示類型定義如下:

如果欄位 behaviours.display_name 為空,請使用 behaviours.description 的值。否則,請使用 behaviours.display_name 的值。

範例對應項目如下:

{CertutilRemoteFileCopythreatId: T1553.004threatName: Install Root Certificate}
{WinRMLateralMovementthreatId: TA0008 threatName: Lateral Movement}
{MaliciousInjection threatId: TA0002 threatName: Execution}