Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=vectra-index

Intégration de Vectra AI

Outil de collecte des journaux Réseau

Vous pouvez intégrer Vectra AI à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Présentation du produit Vectra AI

Vectra AI est spécialisé dans la protection des réseaux. Vectra AI se concentre sur l’identification des attaquants cachés et inconnus en analysant le trafic réseau, les comportements des utilisateurs et tous les modèles pertinents. Il simplifie la sécurité du réseau en fournissant un système centralisé pour la détection et la réponse aux menaces.

Documents Sophos

Intégrer Vectra AI

Ce que nous ingérons

Exemples d’alertes concrètes :

  • Brute-Force
  • Custom model dcerpc lateral_movement
  • Custom model kerberos_txn botnet_activity
  • Custom model ssh command_and_control
  • RDP Recon

Alertes ingérées dans leur intégralité

Nous ingérons les catégories suivantes configurées dans Vectra :

  • Détections de comptes
  • Détections d’hôtes

Nous appliquons un filtrage pour nous assurer d’ingérer uniquement les nouveaux événements.

Filtrage

Nous filtrons les alertes comme suit :

Autoriser

Format valide (CEF modifié)

Nous vérifions le formatage mais le syslog généré par Vectra n’est pas conforme à la norme. L’en-tête n’est pas conforme.

Annuler

Ces entrées sont liées aux contrôles de routine de l’état d’intégrité du système et aux opérations administratives qui sont généralement non critiques et ne nécessitent pas de journalisation. En injectant ces messages de journal, vous réduisez l’encombrement inutile et économisez les ressources de stockage des journaux.

Modèles Regex (expressions régulières)

  • \|heartbeat_check\|
  • Device heartbeat success
  • \|campaigns\|
  • \|Host Score Change\|.*cs3Label=scoreDecreases cs3=True
  • \|Account Score Change\|.*cs3Label=scoreDecreases cs3=True

Exemples de mappages de menaces

{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}

Documentation fournisseur