Integración de Vectra AI
Puede integrar Vectra AI con Sophos Central para que envíe alertas a Sophos para analizarlas.
Esta página presenta una visión general de la integración.
Resumen del producto de Vectra AI
Vectra AI se especializa en la protección de redes. Vectra AI se centra en la identificación de atacantes ocultos y desconocidos mediante el análisis del tráfico de red, el comportamiento de los usuarios y todos los patrones relevantes. Simplifica la seguridad de redes al proporcionar un sistema centralizado para la detección y respuesta a las amenazas.
Documentos de Sophos
Datos que ingerimos
Ejemplos de alertas que vemos:
Brute-Force
Custom model dcerpc lateral_movement
Custom model kerberos_txn botnet_activity
Custom model ssh command_and_control
RDP Recon
Alertas ingeridas en su totalidad
Ingerimos las siguientes categorías configuradas en Vectra:
- Detecciones de cuentas
- Detecciones de hosts
Aplicamos un filtrado para asegurarnos de que ingerimos solo eventos nuevos.
Filtrado
Filtramos las alertas de la siguiente manera.
Autorizar
Formato válido (CEF modificado)
Comprobamos el formato, pero el registro del sistema generado por Vectra no cumple con el estándar. El encabezado no es conforme.
Descartar
Estas entradas están relacionadas con comprobaciones rutinarias del estado del sistema y operaciones administrativas que generalmente no son críticas y no necesitan registrarse. Descartar estos mensajes de registro ayuda a minimizar el exceso de información innecesaria y a conservar los recursos de almacenamiento de registros.
Patrones de Regex
\|heartbeat_check\|
Device heartbeat success
\|campaigns\|
\|Host Score Change\|.*cs3Label=scoreDecreases cs3=True
\|Account Score Change\|.*cs3Label=scoreDecreases cs3=True
Muestra de asignaciones de amenazas
{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}