コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=vectra-index

Vectra AI の統合

この統合は Vectra AI Quadrant UX と連携しますが、Vectra Respond UX とは連携しません。API 経由や Vectra AI の "SIEM Connector for Respond UX" を使用しても、Syslog 経由でも機能しません。

Vectra AI を Sophos Central と統合して、解析のためにソフォスに警告を送信することができます。

このページでは、統合の概要を説明します。

Vectra AI 製品の概要

ネットワーク保護に特化した Vectra AI。Vectra AI は、ネットワークトラフィック、ユーザーの行動、および関連するパターンを分析することにより、隠れた未知の攻撃者を特定することに重点を置いています。脅威の検出と対応のための一元化されたシステムを提供することで、ネットワークセキュリティを簡素化します。

ソフォス製品ドキュメント

Vectra AI の統合

取り込まれる内容

表示される警告の例:

  • Brute-Force
  • Custom model dcerpc lateral_movement
  • Custom model kerberos_txn botnet_activity
  • Custom model ssh command_and_control
  • RDP Recon

完全に取り込まれる警告

Vectra で設定された次のカテゴリを取り込みます。

  • アカウントの検出
  • ホストの検出

フィルタリングを適用して、新しいイベントのみを取り込むようにします。

フィルタリング

警告は次のようにフィルタリングされます。

許可する

有効な形式 (Modified CEF)

形式をチェックしていますが、Vectra で生成された syslog は標準に準拠していません。ヘッダーが非準拠です。

破棄

これらのエントリは、通常は重要ではなく、ログ記録を必要としない、日常的なシステム正常性チェックと管理操作に関連しています。これらのログメッセージをドロップすると、不要な乱雑さを最小限に抑え、ログ保管リソースを節約できます。

正規表現パターン

  • |heartbeat_check|
  • Device heartbeat success
  • |campaigns|
  • |Host Score Change|.*cs3Label=scoreDecreases cs3=True
  • |Account Score Change|.*cs3Label=scoreDecreases cs3=True

脅威マッピングの例

{"alertType":"Ransomware File Activity", "threatId":"T1486", "threatName":"Data Encrypted for Impact"}
{"alertType":"SMB Brute-Force", "threatId":"T1110", "threatName":"Brute Force"}
{"alertType":"Suspicious Relay", "threatId":"T1090", "threatName":"Proxy"}
{"alertType":"Custom model rdp exfiltration", "threatId":"T1048", "threatName":"Exfiltration Over Alternative Protocol"}
{"alertType":"Custom model dcerpc info", "threatId":"T1133", "threatName":"External Remote Services"}

ベンダーのドキュメント