Vectra AI の統合
Vectra AI を Sophos Central と統合して、解析のためにソフォスに警告を送信することができます。
このページでは、統合の概要を説明します。
Vectra AI 製品の概要
ネットワーク保護に特化した Vectra AI。Vectra AI は、ネットワークトラフィック、ユーザーの行動、および関連するパターンを分析することにより、隠れた未知の攻撃者を特定することに重点を置いています。脅威の検出と対応のための一元化されたシステムを提供することで、ネットワークセキュリティを簡素化します。
ソフォス製品ドキュメント
取り込まれる内容
表示される警告の例:
Brute-Force
Custom model dcerpc lateral_movement
Custom model kerberos_txn botnet_activity
Custom model ssh command_and_control
RDP Recon
完全に取り込まれる警告
Vectra で設定された次のカテゴリを取り込みます。
- アカウントの検出
- ホストの検出
フィルタリングを適用して、新しいイベントのみを取り込むようにします。
フィルタリング
警告は次のようにフィルタリングされます。
許可
有効な形式 (Modified CEF)
形式をチェックしていますが、Vectra で生成された syslog は標準に準拠していません。ヘッダーが非準拠です。
破棄
これらのエントリは、通常は重要ではなく、ログ記録を必要としない、日常的なシステム正常性チェックと管理操作に関連しています。これらのログメッセージをドロップすると、不要な乱雑さを最小限に抑え、ログ保管リソースを節約できます。
正規表現パターン
\|heartbeat_check\|
Device heartbeat success
\|campaigns\|
\|Host Score Change\|.*cs3Label=scoreDecreases cs3=True
\|Account Score Change\|.*cs3Label=scoreDecreases cs3=True
脅威マッピングの例
{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}