Vectra AI 통합
Sophos Central에 Vectra AIb를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Vectra AI 제품 개요
Vectra AI는 네트워크 보호에 특화되어 있습니다. Vectra AI는 네트워크 트래픽, 사용자 행동 및 관련 패턴을 분석하여 숨겨진 공격자와 알려지지 않은 공격자를 식별하는 데 중점을 둡니다. 이는 위협 감지 및 대응을 위해 중앙 집중식 시스템을 제공하여 네트워크 보안을 단순화합니다.
Sophos 문서
우리가 섭취하는 것
샘플 알림:
Brute-Force
Custom model dcerpc lateral_movement
Custom model kerberos_txn botnet_activity
Custom model ssh command_and_control
RDP Recon
알림이 완전히 수집됨
Vectra에 구성된 다음 범주를 수집합니다.
- 계정 검색
- 호스트 감지
새 이벤트만 수집하도록 필터링을 적용합니다.
필터링
알림을 다음과 같이 필터링합니다.
허용
유효한 형식(수정된 CEF)
형식을 확인하지만 Vectra에서 생성된 syslog가 표준을 준수하지 않습니다. 헤더가 규정을 준수하지 않습니다.
차단
이러한 항목은 일반적으로 중요하지 않으며 로깅이 필요하지 않은 일상적인 시스템 상태 점검 및 관리 작업과 관련이 있습니다. 이러한 로그 메시지를 삭제하면 불필요한 혼란을 최소화하고 로그 저장소 리소스를 절약하는 데 도움이 됩니다.
정규식 패턴
\|heartbeat_check\|
Device heartbeat success
\|campaigns\|
\|Host Score Change\|.*cs3Label=scoreDecreases cs3=True
\|Account Score Change\|.*cs3Label=scoreDecreases cs3=True
위협 매핑 샘플
{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}