跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

Vectra AI集成

您可以將 Vectra AI 與 Sophos Central 整合,以便其將警示傳送到 Sophos 進行分析。

此頁面提供集成的概述。

Vectra AI產品概述

Vectra AI 專注於提供網路保護。Vectra AI 專注於透過分析網路流量、使用者行為和相關模式來識別隱藏和未知的攻擊者。它透過提供用於威脅偵測和回應的集中式系統來簡化網路安全。

Sophos 技術文檔

集成Vectra AI

我們攝取的東西

我們看到的示例警報:

  • Brute-Force
  • Custom model dcerpc lateral_movement
  • Custom model kerberos_txn botnet_activity
  • Custom model ssh command_and_control
  • RDP Recon

已擷取完整警示

我們使用了在Vectra中配置的以下類別:

  • 帳戶檢測
  • 主機檢測

我們會套用篩選,以確保只擷取新事件。

篩選

我們按以下方式篩選警報。

允許

有效格式(修改的CEF)

我們檢查格式,但Vectra生成的syslog不符合標準。標頭不合規。

丟棄

這些條目與常規系統執行狀況檢查和管理操作有關,這些操作通常不重要,不需要進行日誌記錄。丟棄這些日誌消息有助於最大程度地減少不必要的混亂,並節省日誌存儲資源。

正則表達式模式

  • \|heartbeat_check\|
  • Device heartbeat success
  • \|campaigns\|
  • \|Host Score Change\|.*cs3Label=scoreDecreases cs3=True
  • \|Account Score Change\|.*cs3Label=scoreDecreases cs3=True

威脅映射示例

{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}

供應商文檔