Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Integração do Vectra AI

Você pode integrar o Vectra AI ao Sophos Central para o envio de alertas à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Visão geral do produto da Vectra AI

A Vectra AI é especializada em proteção de rede. A Vectra AI foca na identificação de invasores ocultos e desconhecidos através da análise de tráfego da rede, comportamento de usuários e padrões relevantes. Ela simplifica a segurança da rede fornecendo um sistema centralizado para a detecção e resposta a ameaças.

Documentação da Sophos

Integrar o Vectra AI

O que ingerimos

Exemplos de alertas que vemos:

  • Brute-Force
  • Custom model dcerpc lateral_movement
  • Custom model kerberos_txn botnet_activity
  • Custom model ssh command_and_control
  • RDP Recon

Alertas ingeridos na íntegra

Ingerimos as seguintes categorias configuradas no Vectra:

  • Detecções de contas
  • Detecções de hosts

Aplicamos filtragem para garantir que ingiramos apenas novos eventos.

Filtragem

Filtramos alertas da seguinte forma.

Permitir

Formato válido (CEF modificado)

Verificamos a formatação, mas o syslog gerado pela Vectra não é compatível com o padrão. O cabeçalho não está em conformidade.

Drop

Essas entradas estão relacionadas a verificações de integridade do sistema de rotina e operações administrativas que geralmente não são críticas e não necessitam de registro em log. A eliminação destas mensagens de log ajuda a minimizar o excesso desnecessário de dados e conserva os recursos de armazenamento de log.

Padrões de regex

  • \|heartbeat_check\|
  • Device heartbeat success
  • \|campaigns\|
  • \|Host Score Change\|.*cs3Label=scoreDecreases cs3=True
  • \|Account Score Change\|.*cs3Label=scoreDecreases cs3=True

Amostra de mapeamentos de ameaças

{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}

Documentação do fornecedor