주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

Vectra AI 통합

Sophos Central에 Vectra AIb를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Vectra AI 제품 개요

Vectra AI는 네트워크 보호에 특화되어 있습니다. Vectra AI는 네트워크 트래픽, 사용자 행동 및 관련 패턴을 분석하여 숨겨진 공격자와 알려지지 않은 공격자를 식별하는 데 중점을 둡니다. 이는 위협 감지 및 대응을 위해 중앙 집중식 시스템을 제공하여 네트워크 보안을 단순화합니다.

Sophos 문서

Vectra AI 통합

우리가 섭취하는 것

샘플 알림:

  • Brute-Force
  • Custom model dcerpc lateral_movement
  • Custom model kerberos_txn botnet_activity
  • Custom model ssh command_and_control
  • RDP Recon

알림이 완전히 수집됨

Vectra에 구성된 다음 범주를 수집합니다.

  • 계정 검색
  • 호스트 감지

새 이벤트만 수집하도록 필터링을 적용합니다.

필터링

알림을 다음과 같이 필터링합니다.

허용

유효한 형식(수정된 CEF)

형식을 확인하지만 Vectra에서 생성된 syslog가 표준을 준수하지 않습니다. 헤더가 규정을 준수하지 않습니다.

차단

이러한 항목은 일반적으로 중요하지 않으며 로깅이 필요하지 않은 일상적인 시스템 상태 점검 및 관리 작업과 관련이 있습니다. 이러한 로그 메시지를 삭제하면 불필요한 혼란을 최소화하고 로그 저장소 리소스를 절약하는 데 도움이 됩니다.

정규식 패턴

  • \|heartbeat_check\|
  • Device heartbeat success
  • \|campaigns\|
  • \|Host Score Change\|.*cs3Label=scoreDecreases cs3=True
  • \|Account Score Change\|.*cs3Label=scoreDecreases cs3=True

위협 매핑 샘플

{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}

공급업체 설명서