Warum SIGNL4
Sophos bietet Endpoint-Schutz mit künstlicher Intelligenz und EDR und schützt Sie so vor Malware, Exploits und Ransomware. mit der mobilen Alarmierung per Push, SMS und Anruf, der integrierten Bereitschaftsdienstplanung und einer abgestuften Eskalation bis zum Manager stellt SIGNL4 sicher, dass die richtige Personen zur richtigen Zeit wichtige Alarme und Vorfälle erhalten. SIGNL4 bietet außerdem eine Ad-Hoc-Zusammenarbeit zwischen den Teammitgliedern für jeden Alarm, so dass Fachexperten zur Lösung von Problemen eingeschaltet werden können.
So funktioniert es
Von Sophos generierte E-Mails werden an die E-Mail-Adresse des SIGNL4-Teams gesendet. Diese E-Mail löst dann Benachrichtigungen an die Mitglieder des Bereitschaftsdienstes zur Zusammenarbeit und Bestätigung aus.
Integration
Szenarien
Integration von SIGNL4 mit Sophos
In unserem Beispiel verwenden wir Sophos, um kritische Server auf verdächtige Aktivitäten zu überwachen. Wir richten einen neuen Benutzer in Sophos mit der E-Mail-Adresse des SIGNL4-Teams ein und erhalten die Alarme in Echtzeit.
SIGNL4 ist eine mobile App für die leistungsstarke Alarmierung, Alarm-Management und die mobile Zuweisung von Arbeitsaufträgen. Ihr könnt die App unter https://www.signl4.com herunterladen.
Voraussetzungen
Ein SIGNL4-Konto (https://www.signl4.com)
Ein Sophos-Konto (https://www.sophos.com)
Integrationsschritte
1. Zuerst laden wir das Installationsprogramm herunter, das sich unter „Konfigurieren > Geräte schützen“ befindet.
2. Als nächstes muss das Installationsprogramm auf dem gewünschten Rechner ausgeführt werden. In diesem Fall haben wir einen lokalen VM-Server verwendet.
3. Nun wählen wir im Menü die Übersicht den Punkt Globale Einstellungen > E-Mail-Warnungen konfigurieren.
4. Jetzt legen wir einen neuen Benutzer an und geben diesem Benutzer die SIGNL4 Team E-Mail Adresse. Dadurch wird der Reiter „Receive Alerts“ automatisch auf YES gesetzt.
5. Nun werden wir einige unerwünschte Aktivitäten erzeugen. Dazu rufen wir den folgenden KB-Artikel auf: https://community.sophos.com/kb/en-us/10027
set o = createobject(„MSXML2.XMLHTTP“)
o.open „GET“, „http://sophostest.com/mtdtest/2/“ & rnd, FALSE
o.send
Wenn die MTD-Funktion aktiv ist, erhalten wir eine C2/generic-B-Erkennung auf dem Endpoint. Die Funktion Sophos Network Threat Protection muss installiert sein, damit MTD funktioniert. Diese ist nur in Sophos Central und Sophos Enterprise Console mit verwaltetem Sophos Endpoint 10.6.0 und höher verfügbar.
Hinweis: Alle in diesem Artikel enthaltenen Dateien sollten nur zu Testzwecken verwendet werden.
SIGNL4 leitet den Alert an das Team-Mitglied in Rufbereitschaft und/oder im Dienst weiter.
Weitere Erweiterungen sollten über den Bereich „Systeme und Dienste“ vorgenommen werden, um Alerts farblich zu kodieren und zu kategorisieren.