Vectra AI 통합
이 통합 기능은 Vectra AI Quadrant UX와는 연동되지만, API를 통하든 Vectra AI 'Respond UX용 SIEM 커넥터'를 통해 syslog로 연결하든 Vectra Respond UX와는 연동되지 않습니다.
Sophos Central에 Vectra AIb를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Vectra AI 제품 개요
Vectra AI는 네트워크 보호 전문 기업입니다. Vectra AI는 네트워크 트래픽, 사용자 행동 및 관련 패턴을 분석하여 숨겨진 공격자와 알려지지 않은 공격자를 식별하는 데 중점을 둡니다. 이는 위협 감지 및 대응을 위해 중앙 집중식 시스템을 제공하여 네트워크 보안을 단순화합니다.
Sophos 문서
수집되는 것
저희가 확인하는 알림 예시는 다음과 같습니다.
Brute-ForceCustom model dcerpc lateral_movementCustom model kerberos_txn botnet_activityCustom model ssh command_and_controlRDP Recon
완전히 수집되는 경고
Vectra에 설정된 다음 범주를 수집합니다.
- 계정 감지
- 호스트 감지
새로운 이벤트만 수집하도록 필터링을 적용합니다.
필터링
경고는 다음과 같이 필터링됩니다.
허용
유효한 형식(수정된 CEF)
형식을 확인해 봤지만 Vectra에서 생성된 syslog가 표준을 준수하지 않습니다. 헤더가 규정을 준수하지 않습니다.
차단
이러한 항목은 일반적으로 중요하지 않고 로깅이 필요하지 않은 일상적인 시스템 상태 점검 및 관리 작업과 관련이 있습니다. 이러한 로그 메시지를 삭제하면 불필요한 로그 기록을 줄이고 로그 저장 공간을 절약하는 데 도움이 됩니다.
정규 표현식 패턴
|heartbeat_check|Device heartbeat success|campaigns||Host Score Change|.*cs3Label=scoreDecreases cs3=True|Account Score Change|.*cs3Label=scoreDecreases cs3=True
샘플 위협 매핑
{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}