Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso

Connettore Syslog Vectra AI : Attack Signal Intelligence il tuo SIEM

7 dicembre 2023
Fabien Guillot
Direttore, Marketing tecnico presso Vectra
Connettore Syslog Vectra AI : Attack Signal Intelligence il tuo SIEM

Noi di Vectra AI collaboriamo costantemente con i nostri clienti per comprendere i requisiti e le esigenze chiave dei prodotti attraverso un flusso costante di feedback da parte loro. Uno dei requisiti chiave identificati è la capacità di acquisire il segnale di attacco integrato Vectra AInoto come Attack Signal IntelligenceTM , nelle implementazioni SIEM dei clienti, in modo che questi possano rendere operativa la soluzione nei loro processi SOC prestabiliti. Questo è fondamentale per garantire che i clienti ottengano il massimo valore dalla loro implementazione ed è il motivo per cui investiamo molto per assicurarci che il nostro segnale possa essere integrato ovunque con qualsiasi tecnologia.  

Nel corso dell'ultimo anno abbiamo rilasciato numerose integrazioni tecnologiche end-to-end che consentono ai nostri clienti di acquisire il segnale integrato Vectra AInelle implementazioni SIEM, tra cui:

Ce ne saranno molti altri in futuro, ma comprendiamo la necessità di una soluzione chiavi in mano che possa funzionare con qualsiasi SIEM o data lake compatibile con syslog.

Ecco perché oggi siamo lieti di annunciare il rilascio del connettore SyslogVectra AI , in grado di raccogliere tutti gli eventi utilizzando l'API e inviarli a qualsiasi server syslog. La soluzione è stata sviluppata per essere pronta all'uso, scalabile, portatile e affidabile.

Nello specifico, il connettore Syslog Vectra AI è stato progettato per aiutare a:

  • Raccogli tutti gli eventi dalla Vectra AI tramite polling dell'API (rilevamento, punteggio e audit).
  • Archivia e trasforma gli eventi per renderli conformi ai protocolli syslog (RFC 5234).
  • Invia gli eventi a un server syslog (TCP, UDP o TLS).

Il fatto è che viviamo in un mondo in cui la tecnologia continuerà sempre ad evolversi, con l'introduzione di nuovi sistemi di registrazione e monitoraggio e un flusso costante di nuove cloud , tutti con il potenziale di influenzare l'utilizzo e la rilevanza percepita del syslog tradizionale. Tuttavia, il syslog continua a svolgere un ruolo cruciale in molti ambienti per la sua semplicità e versatilità. Il syslog rimarrà un protocollo fondamentale per molti anni a venire.  

Architettura del connettore Syslog Vectra AI

Per garantire portabilità e praticità, abbiamo scelto una soluzione containerizzata che può essere eseguita in un ambiente Windows o Linux.

Ecco alcuni dei punti salienti della soluzione container:

  • Portatile (controllo delle versioni e delle dipendenze all'interno di ciascun contenitore).
  • "Pulsante facile" con Docker Compose e file di configurazione piatto.
  • Soluzione robusta di scalabilità e accodamento con RabbitMQ.
  • Buffer su disco locale per la resilienza dei dati.
  • Contenitore precompilato in Docker Hub (app Vectra).

Abbiamo pubblicato questo progetto come open source sul nostro account GitHub, rendendo facile la revisione, il fork o la segnalazione di eventuali problemi o richieste di miglioramento.

Come iniziare?

Innanzitutto, è necessario un sistema su cui siano installati Docker e Docker Compose. Docker Compose non è obbligatorio, ma è altamente raccomandato in quanto semplifica notevolmente la configurazione. Quindi, dal punto di vista della configurazione, è necessario:

  • URL di base della tua Vectra AI
  • Credenziali client API (ID e segreto)
  • Informazioni sul server Syslog (indirizzo IP/nome DNS + protocollo + porta)

Si noti che per syslog su TLS è necessario il certificato del server syslog.

Una volta ottenute queste informazioni, clona il repository:

git clone https://github.com/vectranetworks/siem-connector.git

Ci sono 2 file di configurazione che devono essere modificati:

  • File docker-compose.yml per configurare l'URL del tenant Vectra e le credenziali API.
  • file config.json per configurare le informazioni del server syslog e dello scheduler. Si consiglia di utilizzare "* * * * *" per l'esecuzione ogni minuto per ciascun endpoint.

L'ultimo passaggio consiste nell'eseguire Docker Compose per avviare l'applicazione:

Abbiamo semplificato l'accesso al log dell'applicazione, che è direttamente accessibile nella cartella "logs":

Ulteriori informazioni relative alla configurazione e ai messaggi di errore più comuni sono disponibili sul nostro sito web di assistenza.

È possibile trovare tutte le risorse relative al connettore Syslog Vectra AI tramite i link riportati di seguito:

Domande frequenti