Vectra AI 整合
此整合可與 Vectra AI Quadrant UX 一起使用,但無法與 Vectra Respond UX 一起使用,無論是透過 API 還是透過 Vectra AI「SIEM Connector for Respond UX」傳送至 syslog。
您可以將 Vectra AI 與 Sophos Central 整合,以便其將警示傳送到 Sophos 進行分析。
本頁面提供此整合功能的概覽。
Vectra AI 產品概覽
Vectra AI 專注於網路防護。Vectra AI 專注於透過分析網路流量、使用者行為和相關模式來識別隱藏和未知的攻擊者。它透過提供用於威脅偵測和回應的集中式系統來簡化網路安全。
Sophos 說明文件
我們擷取的內容
範例警示包括:
Brute-ForceCustom model dcerpc lateral_movementCustom model kerberos_txn botnet_activityCustom model ssh command_and_controlRDP Recon
完整擷取警示
我們擷取 Vectra 中配置的下列類別:
- 帳戶偵測
- 主機偵測
我們套用篩選,以確保只擷取新的事件。
資料篩選
我們對警示進行如下篩選。
允許
有效格式 (修改過的 CEF)
我們會檢查格式,但 Vectra 產生的 syslog 不符合標準。標頭不符合規範。
丟棄
這些項目與例行系統健康檢查及管理操作相關,通常非關鍵,且不需要記錄。丟棄這些日誌訊息有助於減少不必要的雜訊並節省日誌儲存資源。
正則表達式模式
\|heartbeat_check\|Device heartbeat success\|campaigns\|\|Host Score Change\|.*cs3Label=scoreDecreases cs3=True\|Account Score Change\|.*cs3Label=scoreDecreases cs3=True
威脅對應範例
{"alertType": "Ransomware File Activity", "threatId": "T1486", "threatName": "Data Encrypted for Impact"}
{"alertType": "SMB Brute-Force", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Suspicious Relay", "threatId": "T1090", "threatName": "Proxy"}
{"alertType": "Custom model rdp exfiltration", "threatId": "T1048", "threatName": "Exfiltration Over Alternative Protocol"}
{"alertType": "Custom model dcerpc info", "threatId": "T1133", "threatName": "External Remote Services"}