Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Vectra AI-Integration

Sie können Vectra AI in Sophos Central integrieren, sodass Warnmeldungen zur Analyse an Sophos gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Produktübersicht zu Vectra AI

Vectra AI ist spezialisiert auf den Netzwerkschutz. Vectra AI konzentriert sich auf die Identifizierung verborgener und unbekannter Angreifer durch eine Analyse des Netzwerkverkehrs, des Nutzerverhaltens und relevanter Muster. Es vereinfacht die Netzwerksicherheit durch ein zentralisiertes System zur Erkennung von und Reaktion auf Bedrohungen.

Sophos-Dokumente

Vectra AI integrieren

Was wir erfassen

Beispiele für Alarme:

  • Brute-Force
  • Custom model dcerpc lateral_movement
  • Custom model kerberos_txn botnet_activity
  • Custom model ssh command_and_control
  • RDP Recon

Alarme werden vollständig erfasst

Wir erfassen die folgenden in Vectra konfigurierten Kategorien:

  • Konto-Erkennungen
  • Host-Erkennungen

Wir wenden Filter an, um sicherzustellen, dass nur neue Ereignisse aufgenommen werden.

Filterung

Alarme werden wie folgt gefiltert.

Zulassen

Gültiges Format (modifizierte CEF)

Wir prüfen die Formatierung, aber das von Vectra generierte Syslog entspricht nicht dem Standard. Der Header ist nicht konform.

Verwerfen

Diese Einträge beziehen sich auf routinemäßige System-Health-Checks und administrative Vorgänge, die im Allgemeinen nicht kritisch sind und keine Protokollierung erfordern. Durch das Löschen dieser Protokollmeldungen wird Irrelevantes entfernt und Protokoll-Speicherressourcen werden gespart.

Regex-Muster

  • \|heartbeat_check\|
  • Device heartbeat success
  • \|campaigns\|
  • \|Host Score Change\|.*cs3Label=scoreDecreases cs3=True
  • \|Account Score Change\|.*cs3Label=scoreDecreases cs3=True

Beispiele für Bedrohungszuordnungen

{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}

Herstellerdokumentation