Integração do Vectra AI
Você pode integrar o Vectra AI ao Sophos Central para o envio de alertas à Sophos para análise.
Esta página lhe dá uma visão geral da integração.
Visão geral do produto da Vectra AI
A Vectra AI é especializada em proteção de rede. A Vectra AI foca na identificação de invasores ocultos e desconhecidos através da análise de tráfego da rede, comportamento de usuários e padrões relevantes. Ela simplifica a segurança da rede fornecendo um sistema centralizado para a detecção e resposta a ameaças.
Documentação da Sophos
O que ingerimos
Exemplos de alertas que vemos:
Brute-Force
Custom model dcerpc lateral_movement
Custom model kerberos_txn botnet_activity
Custom model ssh command_and_control
RDP Recon
Alertas ingeridos na íntegra
Ingerimos as seguintes categorias configuradas no Vectra:
- Detecções de contas
- Detecções de hosts
Aplicamos filtragem para garantir que ingiramos apenas novos eventos.
Filtragem
Filtramos alertas da seguinte forma.
Permitir
Formato válido (CEF modificado)
Verificamos a formatação, mas o syslog gerado pela Vectra não é compatível com o padrão. O cabeçalho não está em conformidade.
Drop
Essas entradas estão relacionadas a verificações de integridade do sistema de rotina e operações administrativas que geralmente não são críticas e não necessitam de registro em log. A eliminação destas mensagens de log ajuda a minimizar o excesso desnecessário de dados e conserva os recursos de armazenamento de log.
Padrões de regex
\|heartbeat_check\|
Device heartbeat success
\|campaigns\|
\|Host Score Change\|.*cs3Label=scoreDecreases cs3=True
\|Account Score Change\|.*cs3Label=scoreDecreases cs3=True
Amostra de mapeamentos de ameaças
{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}