Thinkst Canary 整合的概覽

您可以將 Thinkst Canary 與 Sophos Central 整合，讓其將警示傳送至 Sophos 進行分析。

本頁面提供此整合功能的概覽。

Thinkst Canary 產品簡介

Thinkst Canary 提供蜜罐和權杖，旨在偵測您環境中的入侵者。Canaries 透過模仿真實資產吸引攻擊者，並在與之互動時觸發警示。這些高保真警示可以為安全團隊提供潛在漏洞的早期預警，並將誤報率降至最低。

Sophos 文件資訊

整合 Thinkst Canary

資料擷取內容

Sophos 可擷取的範例警示包括：

• Host Port Scan
• Canarytoken triggered
• Canary Disconnected
• SSH Login Attempt
• Shared File Opened
• Consolidated Network Port Scan
• Multiple Canaries Disconnected
• MSSQL Login Attempt
• FTP Login Attempt
• Git Repository Clone Attempt
• HTTP Page Load

資料篩選

我們按以下方式篩選警示：

• 我們僅允許符合正確格式的訊息。
• 我們拒絕不符合正確格式的訊息，但我們不會刪除資料。

威脅對應範例

我們將警示類型定義如下：

若存在 description.events 欄位且長度大於 0，且 description.events.type 中存在第一個項目，則將 summary 欄位與 description.events.type 中的第一個項目連接。

若欄位 description.events 不存在或長度為 0，則改用欄位 summary。

範例對應項目如下：

{"alertType": "MySQL Login Attempt", "threatId": "TA0008", "threatName": "Lateral Movement"}
{"alertType": "TFTP request", "threatId": "T1046", "threatName": "Network Service Scanning"}
{"alertType": "Canary Disconnected", "threatId": "T1489", "threatName": "Service Stop"}

原廠文件

• API 如何運行？
• 如何透過 Syslog 取得警示？
• Canary API Docs : 端點清單