Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=vectra-index

Integrazione Vectra AI

Agente di raccolta log Rete

Questa integrazione è compatibile con Vectra AI Quadrant UX, ma non con Vectra Respond UX, sia tramite API che tramite Vecra AI “SIEM Connector for Respond UX” al syslog.

Vectra AI può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto Vectra AI

Vectra AI si specializza nella protezione della rete. Vectra AI si concentra principalmente sull’identificazione di hacker nascosti e sconosciuti, analizzando il traffico di rete, i comportamenti degli utenti e i pattern associati. Semplifica la protezione della rete, offrendo un sistema centralizzato di rilevamento e risposta alle minacce.

Documenti Sophos

Integrazione di Vectra AI

I dati raccolti e inseriti

Esempi di avvisi che visualizziamo:

  • Brute-Force
  • Custom model dcerpc lateral_movement
  • Custom model kerberos_txn botnet_activity
  • Custom model ssh command_and_control
  • RDP Recon

Avvisi inseriti per intero

Inseriamo le seguenti categorie configurate in Vectra:

  • Account Detections (Rilevamenti degli account)
  • Host Detections (Rilevamenti degli host)

Applichiamo filtri per assicurarci di inserire solo nuovi eventi.

Filtraggio

Filtriamo gli avvisi nel modo indicato di seguito.

Autorizzazione

Formato valido (CEF modificato)

Controlliamo la formattazione, ma il syslog generato da Vectra non è conforme allo standard. L’intestazione non è conforme.

Rimozioni

Queste voci riguardano controlli di integrità del sistema di routine e le operazioni di amministrazione che in genere non sono critiche e non richiedono la registrazione nei log. La rimozione di questi messaggi di log consente di ridurre al minimo le informazioni superflue e di risparmiare sulle risorse di archiviazione dei log.

Pattern regex

  • \|heartbeat_check\|
  • Device heartbeat success
  • \|campaigns\|
  • \|Host Score Change\|.*cs3Label=scoreDecreases cs3=True
  • \|Account Score Change\|.*cs3Label=scoreDecreases cs3=True

Esempi di mapping delle minacce

{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}

Documentazione del vendor