Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Integración de Vectra AI

Puede integrar Vectra AI con Sophos Central para que envíe alertas a Sophos para analizarlas.

Esta página presenta una visión general de la integración.

Resumen del producto de Vectra AI

Vectra AI se especializa en la protección de redes. Vectra AI se centra en la identificación de atacantes ocultos y desconocidos mediante el análisis del tráfico de red, el comportamiento de los usuarios y todos los patrones relevantes. Simplifica la seguridad de redes al proporcionar un sistema centralizado para la detección y respuesta a las amenazas.

Documentos de Sophos

Integrar Vectra AI

Datos que ingerimos

Ejemplos de alertas que vemos:

  • Brute-Force
  • Custom model dcerpc lateral_movement
  • Custom model kerberos_txn botnet_activity
  • Custom model ssh command_and_control
  • RDP Recon

Alertas ingeridas en su totalidad

Ingerimos las siguientes categorías configuradas en Vectra:

  • Detecciones de cuentas
  • Detecciones de hosts

Aplicamos un filtrado para asegurarnos de que ingerimos solo eventos nuevos.

Filtrado

Filtramos las alertas de la siguiente manera.

Autorizar

Formato válido (CEF modificado)

Comprobamos el formato, pero el registro del sistema generado por Vectra no cumple con el estándar. El encabezado no es conforme.

Descartar

Estas entradas están relacionadas con comprobaciones rutinarias del estado del sistema y operaciones administrativas que generalmente no son críticas y no necesitan registrarse. Descartar estos mensajes de registro ayuda a minimizar el exceso de información innecesaria y a conservar los recursos de almacenamiento de registros.

Patrones de Regex

  • \|heartbeat_check\|
  • Device heartbeat success
  • \|campaigns\|
  • \|Host Score Change\|.*cs3Label=scoreDecreases cs3=True
  • \|Account Score Change\|.*cs3Label=scoreDecreases cs3=True

Muestra de asignaciones de amenazas

{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}

Documentación del proveedor