コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

Vectra AI の統合

Vectra AI を Sophos Central と統合して、解析のためにソフォスに警告を送信することができます。

このページでは、統合の概要を説明します。

Vectra AI 製品の概要

ネットワーク保護に特化した Vectra AI。Vectra AI は、ネットワークトラフィック、ユーザーの行動、および関連するパターンを分析することにより、隠れた未知の攻撃者を特定することに重点を置いています。脅威の検出と対応のための一元化されたシステムを提供することで、ネットワークセキュリティを簡素化します。

ソフォス製品ドキュメント

Vectra AI の統合

取り込まれる内容

表示される警告の例:

  • Brute-Force
  • Custom model dcerpc lateral_movement
  • Custom model kerberos_txn botnet_activity
  • Custom model ssh command_and_control
  • RDP Recon

完全に取り込まれる警告

Vectra で設定された次のカテゴリを取り込みます。

  • アカウントの検出
  • ホストの検出

フィルタリングを適用して、新しいイベントのみを取り込むようにします。

フィルタリング

警告は次のようにフィルタリングされます。

許可

有効な形式 (Modified CEF)

形式をチェックしていますが、Vectra で生成された syslog は標準に準拠していません。ヘッダーが非準拠です。

破棄

これらのエントリは、通常は重要ではなく、ログ記録を必要としない、日常的なシステム正常性チェックと管理操作に関連しています。これらのログメッセージをドロップすると、不要な乱雑さを最小限に抑え、ログ保管リソースを節約できます。

正規表現パターン

  • \|heartbeat_check\|
  • Device heartbeat success
  • \|campaigns\|
  • \|Host Score Change\|.*cs3Label=scoreDecreases cs3=True
  • \|Account Score Change\|.*cs3Label=scoreDecreases cs3=True

脅威マッピングの例

{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}

ベンダーのドキュメント