Vectra AI 통합
이 통합은 Vectra AI Quadrant UX와 작동하지만 Vectra Respond UX와는 작동하지 않습니다. API를 통해서든 Vectra AI "SIEM Connector for Respond UX"를 통해서든 syslog로 작동하지 않습니다.
Sophos Central에 Vectra AIb를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Vectra AI 제품 개요
Vectra AI는 네트워크 보호에 특화되어 있습니다. Vectra AI는 네트워크 트래픽, 사용자 행동 및 관련 패턴을 분석하여 숨겨진 공격자와 알려지지 않은 공격자를 식별하는 데 중점을 둡니다. 이는 위협 감지 및 대응을 위해 중앙 집중식 시스템을 제공하여 네트워크 보안을 단순화합니다.
Sophos 문서
수집되는 것
우리가 본 경고 예시:
Brute-ForceCustom model dcerpc lateral_movementCustom model kerberos_txn botnet_activityCustom model ssh command_and_controlRDP Recon
완전히 수집되는 경고
우리는 Vectra에서 구성된 다음 카테고리를 수집합니다:
- 계정 감지
- 호스트 탐지
우리는 필터링을 적용하여 새로운 이벤트만 수신하도록 합니다.
필터링
경고는 다음과 같이 필터링됩니다.
허용
유효한 형식 (수정된 CEF)
우리는 형식을 확인하지만 Vectra에 의해 생성된 syslog이 표준과 호환되지 않습니다. 헤더가 준수되지 않았습니다.
차단
이러한 항목들은 일반적으로 중요하지 않으며 로깅이 필요하지 않는 루틴 시스템 상태 점검 및 관리 작업과 관련이 있습니다. 이러한 로그 메시지를 삭제하면 불필요한 혼란을 최소화하고 로그 저장 공간을 보존할 수 있습니다.
정규식 패턴
\|heartbeat_check\|Device heartbeat success\|campaigns\|\|Host Score Change\|.*cs3Label=scoreDecreases cs3=True\|Account Score Change\|.*cs3Label=scoreDecreases cs3=True
샘플 위협 매핑
{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}