Warum SIGNL4
Sophos bietet Endpoint-Schutz mit künstlicher Intelligenz und EDR und schützt Sie so vor Malware, Exploits und Ransomware. mit der mobilen Alarmierung per Push, SMS und Anruf, der integrierten Bereitschaftsdienstplanung und einer abgestuften Eskalation bis zum Manager stellt SIGNL4 sicher, dass die richtige Personen zur richtigen Zeit wichtige Alarme und Vorfälle erhalten. SIGNL4 bietet außerdem eine Ad-Hoc-Zusammenarbeit zwischen den Teammitgliedern für jeden Alarm, so dass Fachexperten zur Lösung von Problemen eingeschaltet werden können.
So funktioniert es
Von Sophos generierte E-Mails werden an die E-Mail-Adresse des SIGNL4-Teams gesendet. Diese E-Mail löst dann Benachrichtigungen an die Mitglieder des Bereitschaftsdienstes zur Zusammenarbeit und Bestätigung aus.
Integration
Szenarien
Störmeldungen werden an SIGNL4 gesendet
Sichere Übermittelung, Kategorisierung und zielgenaues Routing
Mobile, persistente Alarmierung von Bereitschafts- und Diensthabenden per Push, SMS und Anruf mit Nachverfolgung und Eskalation
UND SO FUNKTIONIERT ES
In unserem Beispiel verwenden wir Sophos, um kritische Server auf verdächtige Aktivitäten zu überwachen. Wir richten einen neuen Benutzer in Sophos mit der E-Mail-Adresse des SIGNL4-Teams ein und erhalten die Alarme in Echtzeit.
SIGNL4 ist eine mobile App für die leistungsstarke Alarmierung, Alarm-Management und die mobile Zuweisung von Arbeitsaufträgen. Ihr könnt die App unter https://www.signl4.com herunterladen.
Voraussetzungen
Ein SIGNL4-Konto (https://www.signl4.com)
Ein Sophos-Konto (https://www.sophos.com)
Zuerst laden wir das Installationsprogramm herunter, das sich unter „Konfigurieren > Geräte schützen“ befindet.
Als nächstes muss das Installationsprogramm auf dem gewünschten Rechner ausgeführt werden. In diesem Fall haben wir einen lokalen VM-Server verwendet.
Nun wählen wir im Menü die Übersicht den Punkt Globale Einstellungen > E-Mail-Warnungen konfigurieren.
Jetzt legen wir einen neuen Benutzer an und geben diesem Benutzer die SIGNL4 Team E-Mail Adresse. Dadurch wird der Reiter „Receive Alerts“ automatisch auf YES gesetzt.
Nun werden wir einige unerwünschte Aktivitäten erzeugen. Dazu rufen wir den folgenden KB-Artikel auf: https://community.sophos.com/kb/en-us/10027
set o = createobject(„MSXML2.XMLHTTP“)
o.open „GET“, „http://sophostest.com/mtdtest/2/“ & rnd, FALSE
o.send
Wenn die MTD-Funktion aktiv ist, erhalten wir eine C2/generic-B-Erkennung auf dem Endpoint. Die Funktion Sophos Network Threat Protection muss installiert sein, damit MTD funktioniert. Diese ist nur in Sophos Central und Sophos Enterprise Console mit verwaltetem Sophos Endpoint 10.6.0 und höher verfügbar.
Hinweis: Alle in diesem Artikel enthaltenen Dateien sollten nur zu Testzwecken verwendet werden.
SIGNL4 leitet den Alert an das Team-Mitglied in Rufbereitschaft und/oder im Dienst weiter.
Weitere Erweiterungen sollten über den Bereich „Systeme und Dienste“ vorgenommen werden, um Alerts farblich zu kodieren und zu kategorisieren.
ALARM-OPTIMIERUNG
SIGNL4 kann die Wahrnehmung, Reaktion und Bearbeitung von kritischen Alarmen entscheidend verbessern. Durch die Anpassung von Farbe, Symbol und Push-Ton wird die Zuordnung und Relevanz von Alarmen deutlich beschleunigt.
Alarmfarbe ändern, Titel + Text überschreiben
Dazu musst du entsprechend „Dienste und Systeme“-Kategorien erstellen, die auf bestimmte Schlüsselwörter ansprechen. Gehe dazu in der mobilen App in die Einstellungen und wähle „Dienste und Systeme“. Erstelle eine neue Kategorie oder bearbeite einfach eine bestehende.
Eine Kategorie wird immer angewendet, wenn einzelne Schlüsselwörter oder Kombinationen von Schlüsselwörtern im auslösenden Event gefunden werden.