Vectra AI集成
您可以將 Vectra AI 與 Sophos Central 整合,以便其將警示傳送到 Sophos 進行分析。
此頁面提供集成的概述。
Vectra AI產品概述
Vectra AI 專注於提供網路保護。Vectra AI 專注於透過分析網路流量、使用者行為和相關模式來識別隱藏和未知的攻擊者。它透過提供用於威脅偵測和回應的集中式系統來簡化網路安全。
Sophos 技術文檔
我們攝取的東西
我們看到的示例警報:
Brute-Force
Custom model dcerpc lateral_movement
Custom model kerberos_txn botnet_activity
Custom model ssh command_and_control
RDP Recon
已擷取完整警示
我們使用了在Vectra中配置的以下類別:
- 帳戶檢測
- 主機檢測
我們會套用篩選,以確保只擷取新事件。
篩選
我們按以下方式篩選警報。
允許
有效格式(修改的CEF)
我們檢查格式,但Vectra生成的syslog不符合標準。標頭不合規。
丟棄
這些條目與常規系統執行狀況檢查和管理操作有關,這些操作通常不重要,不需要進行日誌記錄。丟棄這些日誌消息有助於最大程度地減少不必要的混亂,並節省日誌存儲資源。
正則表達式模式
\|heartbeat_check\|
Device heartbeat success
\|campaigns\|
\|Host Score Change\|.*cs3Label=scoreDecreases cs3=True
\|Account Score Change\|.*cs3Label=scoreDecreases cs3=True
威脅映射示例
{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}