Darktrace DETECT整合概述
您可以將 Darktrace DETECT 與 Sophos Central 整合,讓其將警示傳送至 Sophos 進行分析。
本頁面提供此整合功能的概覽。
Darktrace DETECT 產品概觀
Darktrace Detect 利用人工智慧即時自主偵測、調查和回應網路威脅。它瞭解每個網路、裝置和使用者的獨特「生活模式」,從而識別表明存在潛在威脅的異常情況。它可持續監控所有數位互動,提供早期威脅偵測和自主回應能力,從而保護數位環境。
Sophos 文件資訊
資料擷取內容
Sophos 可擷取的範例警示包括:
System/Device Modelling ChangeAnomalous Connection/Active Remote Desktop TunnelCompromise/Repeating Connections Over 4 DaysSaaS/Admin/Anomalous M365 Device ChangesExtensive Unusual WinRM Connections
完整擷取警示
建議您最大程度地將警報轉發至Sophos。將最低 AI Analyst 事件分數和最低 AI Analyst 安全事件分數設定為 0。請參閱 整合 Darktrace DETECT。
資料篩選
我們僅允許符合標準 CEF 格式的訊息。
威脅對應範例
對於警報類型,我們會對欄位 cef.name 進行消毒處理。
範例對應項目如下:
{"alertType": "System/System", "threatId": "T1542.001", "threatName": "System Firmware"}
{"alertType": "System/Internal Domain Name Change", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "Anomalous Connection/High DGA Low DNS TTL", "threatId": "T1568.002", "threatName": "Domain Generation Algorithms"}