Vectra AI-Integration
Sie können Vectra AI in Sophos Central integrieren, sodass Warnmeldungen zur Analyse an Sophos gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Produktübersicht zu Vectra AI
Vectra AI ist spezialisiert auf den Netzwerkschutz. Vectra AI konzentriert sich auf die Identifizierung verborgener und unbekannter Angreifer durch eine Analyse des Netzwerkverkehrs, des Nutzerverhaltens und relevanter Muster. Es vereinfacht die Netzwerksicherheit durch ein zentralisiertes System zur Erkennung von und Reaktion auf Bedrohungen.
Sophos-Dokumente
Was wir erfassen
Beispiele für Alarme:
Brute-Force
Custom model dcerpc lateral_movement
Custom model kerberos_txn botnet_activity
Custom model ssh command_and_control
RDP Recon
Alarme werden vollständig erfasst
Wir erfassen die folgenden in Vectra konfigurierten Kategorien:
- Konto-Erkennungen
- Host-Erkennungen
Wir wenden Filter an, um sicherzustellen, dass nur neue Ereignisse aufgenommen werden.
Filterung
Alarme werden wie folgt gefiltert.
Zulassen
Gültiges Format (modifizierte CEF)
Wir prüfen die Formatierung, aber das von Vectra generierte Syslog entspricht nicht dem Standard. Der Header ist nicht konform.
Verwerfen
Diese Einträge beziehen sich auf routinemäßige System-Health-Checks und administrative Vorgänge, die im Allgemeinen nicht kritisch sind und keine Protokollierung erfordern. Durch das Löschen dieser Protokollmeldungen wird Irrelevantes entfernt und Protokoll-Speicherressourcen werden gespart.
Regex-Muster
\|heartbeat_check\|
Device heartbeat success
\|campaigns\|
\|Host Score Change\|.*cs3Label=scoreDecreases cs3=True
\|Account Score Change\|.*cs3Label=scoreDecreases cs3=True
Beispiele für Bedrohungszuordnungen
{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}