Vectra AI 整合
此整合可與 Vectra AI Quadrant UX 一起使用,但無法與 Vectra Respond UX 一起使用,無論是透過 API 還是透過 Vectra AI「SIEM Connector for Respond UX」傳送至 syslog。
您可以將 Vectra AI 與 Sophos Central 整合,以便其將警示傳送到 Sophos 進行分析。
本頁面提供此整合功能的概覽。
Vectra AI 產品概覽
Vectra AI 專注於網路防護。Vectra AI 專注於透過分析網路流量、使用者行為和相關模式來識別隱藏和未知的攻擊者。它透過提供用於威脅偵測和回應的集中式系統來簡化網路安全。
Sophos 說明文件
我們擷取的內容
範例警示包括:
Brute-Force自訂模型 dcerpc 橫向移動自訂模型 kerberos_txn 殭屍網路活動自訂模型 SSH 命令與控制RDP偵察
完整擷取警示
我們擷取 Vectra 中配置的下列類別:
- 帳戶偵測
- 主機偵測
我們套用篩選,以確保只擷取新的事件。
資料篩選
我們對警示進行如下篩選。
許可
有效格式 (修改過的 CEF)
我們會檢查格式,但 Vectra 產生的 syslog 不符合標準。標頭不符合規範。
丟棄
這些項目與例行系統健康檢查及管理操作相關,通常非關鍵,且不需要記錄。丟棄這些日誌訊息有助於減少不必要的雜訊並節省日誌儲存資源。
正則表達式模式
|heartbeat_check|Device heartbeat success|campaigns||主機分數變化|.*cs3Label=分數減少 cs3=True|帳戶分數變動|.*cs3Label=分數減少 cs3=True
威脅對應範例
{"alertType":"Ransomware File Activity", "threatId":"T1486", "threatName":"Data Encrypted for Impact"}
{"alertType":"SMB Brute-Force", "threatId":"T1110", "threatName":"Brute Force"}
{"alertType":"Suspicious Relay", "threatId":"T1090", "threatName":"Proxy"}
{"alertType":"Custom model rdp exfiltration", "threatId":"T1048", "threatName":"Exfiltration Over Alternative Protocol"}
{"alertType":"Custom model dcerpc info", "threatId":"T1133", "threatName":"External Remote Services"}