Vectra AI Connettore Syslog della piattaforma: Attack Signal Intelligence per il SIEM

7 dicembre 2023

Direttore del marketing tecnico di Vectra

Vectra AI Connettore Syslog della piattaforma: Attack Signal Intelligence per il SIEM

Noi di Vectra AI lavoriamo costantemente con i nostri clienti per comprendere i requisiti e le necessità principali del prodotto attraverso un sano flusso di feedback da parte dei clienti. Uno dei requisiti chiave identificati è la capacità di ingerire il segnale di attacco integrato di Vectra AI, noto come Attack Signal Intelligence^TM nelle implementazioni SIEM dei clienti, in modo che possano rendere operativa la soluzione nei loro processi SOC prestabiliti. Questo è fondamentale per garantire che i clienti ottengano il massimo valore dalla loro implementazione e per questo motivo investiamo molto per assicurarci che il nostro segnale possa essere ingerito ovunque con qualsiasi tecnologia.

Nell'ultimo anno abbiamo rilasciato numerose integrazioni tecnologiche end-to-end che consentono ai nostri clienti di inserire il segnale integrato di Vectra AInelle implementazioni SIEM, tra cui:

Ne arriveranno molti altri, ma siamo consapevoli della necessità di una soluzione chiavi in mano che possa funzionare con qualsiasi SIEM o data lake compatibile con i sistemi di gestione dei dati.

Per questo motivo, oggi siamo lieti di annunciare il rilascio di Vectra AI Platform Syslog Connector, in grado di raccogliere tutti gli eventi utilizzando l'API e di inviarli a qualsiasi server syslog. La soluzione è stata sviluppata per essere chiavi in mano, scalabile, portatile e affidabile.

In particolare, Vectra AI Platform Syslog Connector è stato progettato per aiutare:

Raccogliere ogni evento dalla Vectra AI Platform eseguendo il polling dell'API (rilevamento, scoring e audit).
Memorizzare e trasformare gli eventi in modo che siano conformi ai protocolli syslog(RFC 5234).
Invia gli eventi a un server syslog (TCP, UDP o TLS).

Il fatto è che viviamo in un mondo in cui la tecnologia continuerà sempre a evolversi, con l'arrivo di nuove tecnologie di registrazione e monitoraggio e di un flusso costante di nuove tecnologie cloud , tutte potenzialmente in grado di influenzare l'utilizzo e la rilevanza percepita del syslog tradizionale. Tuttavia, il syslog svolge ancora un ruolo cruciale in molti ambienti per la sua semplicità e versatilità. Il syslog rimarrà un protocollo fondamentale per molti anni a venire.

Architettura del connettore Syslog della piattaforma Vectra AI

Per essere portatili e convenienti, abbiamo scelto una soluzione containerizzata che può essere eseguita in ambiente Windows o Linux.

Ecco alcuni dei punti salienti della soluzione per container:

Portatile (controllo delle versioni e delle dipendenze all'interno di ciascun contenitore).
"Pulsante facile" con Docker Compose e file di configurazione piatto.
Soluzione robusta di scalatura e accodamento con RabbitMQ.
Buffer del disco locale per la resilienza dei dati.
Pre-costruire il contenitore in Docker Hub (applicazione Vectra).

Abbiamo rilasciato questo progetto come open source nel nostro account GitHub, rendendo facile la revisione, il fork o la segnalazione di eventuali problemi o richieste di miglioramento.

Come iniziare?

Innanzitutto, è necessario un sistema che abbia installato Docker e Docker Compose. Docker Compose non è obbligatorio, ma è altamente raccomandato perché rende la configurazione molto più semplice. Quindi, dal punto di vista della configurazione, sono necessari:

URL di base della piattaforma Vectra AI
Credenziali del client API (ID e segreto)
Informazioni sul server Syslog (indirizzo IP/nome DNS + protocollo + porta)

Si noti che per il syslog su TLS è necessario il certificato del server syslog.

Una volta ottenute queste informazioni, clonare il repository:

git clone https://github.com/vectranetworks/siem-connector.git

È necessario modificare due file di configurazione:

docker-compose.yml per configurare l'URL del tenant Vectra e le credenziali API.

file config.json per configurare le informazioni sul server syslog e lo scheduler. Si consiglia di utilizzare "* * * * *" per l'esecuzione ogni minuto per ciascun endpoint.

L'ultimo passo consiste nell'eseguire Docker Compose per avviare l'applicazione:

Abbiamo semplificato l'accesso al registro dell'applicazione, che è direttamente accessibile nella cartella "logs":

Ulteriori informazioni sulla configurazione e sui messaggi di errore più comuni sono disponibili sul nostro sito web di supporto.

È possibile trovare tutte le risorse della piattaforma Vectra AI Syslog Connector attraverso i link sottostanti:

Volete saperne di più?

Vectra® è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidati dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci

Vectra AI Connettore Syslog della piattaforma: Attack Signal Intelligence per il SIEM

Architettura del connettore Syslog della piattaforma Vectra AI

Come iniziare?

DOMANDE FREQUENTI