Vectra Detect 集成
编辑Vectra Detect 集成
编辑Vectra Detect 集成允许您监视以 syslog 格式发送的日志。Vectra Detect 提供了一种最快、最有效的方法来优先处理和阻止跨云、数据中心、应用程序和工作负载以及用户和 IoT 设备和帐户的攻击。Vectra 使用人工智能来自动化实时网络攻击检测和响应 - 从网络用户和 IoT 设备到数据中心和云。所有内部流量都会被持续监控,以检测正在进行中的隐藏攻击。检测到的威胁会立即与正在遭受攻击的主机设备关联,并且独特的上下文会显示攻击者所在的位置以及他们正在做什么。对组织构成最大风险的威胁会根据其严重性和确定性自动评分和优先排序,这使安全运营团队能够快速将时间和资源集中在预防和减轻损失上。
Vectra Detect 集成可以在两种不同的输入模式下使用
- TCP 模式:Vectra Detect 将日志发送到 Elastic Agent 托管的 TCP 端口。
- UDP 模式:Vectra Detect 将日志发送到 Elastic Agent 托管的 UDP 端口。
数据流
编辑Vectra Detect 集成收集以下事件的日志
| Vectra Detect |
|---|
帐户检测 |
帐户锁定 |
帐户评分 |
警报 |
审计 |
活动 |
运行状况 |
主机检测 |
主机锁定 |
主机评分 |
Vectra Detect 集成会收集不同事件的日志,但我们将所有这些事件组合在一个名为 log 的数据流中。
兼容性
编辑此集成已针对 Vectra Detect 7.4 进行了测试。预计更高版本也可以使用,但尚未经过测试。
要求
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理它。您可以使用我们推荐的 Elastic Cloud 上的托管 Elasticsearch 服务,或者在您的硬件上自行管理 Elastic Stack。
设置
编辑请按照 Vectra 平台入门指南 安装和设置 Vectra AI 平台。要配置 syslog,请按照 Vectra Syslog 指南 进行操作。Syslog 消息可以通过 3 种格式发送到远程 syslog 服务器:标准 syslog、CEF 或 JSON。请考虑发送 JSON 格式,因为我们仅支持 JSON 格式。
日志参考
编辑log 数据流收集 Vectra Detect 日志。
示例
log 的示例事件如下所示
{
"@timestamp": "2023-02-14T08:52:22.000Z",
"agent": {
"ephemeral_id": "d1ccd3bb-36c3-4e60-a806-f450d426238c",
"id": "70808e18-f29a-48b6-8386-b77582d73652",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.3.0"
},
"data_stream": {
"dataset": "vectra_detect.log",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "70808e18-f29a-48b6-8386-b77582d73652",
"snapshot": false,
"version": "8.3.0"
},
"event": {
"action": "unlock",
"agent_id_status": "verified",
"category": [
"host"
],
"created": "2023-02-14T09:52:22.000Z",
"dataset": "vectra_detect.log",
"ingested": "2023-12-27T10:07:02Z",
"kind": "event",
"original": "vectra_json_host_lockdown -: {\"version\": \"7.4\", \"host_id\": 231, \"user\": \"vectrademo\", \"headend_addr\": \"89.160.20.112\", \"host_name\": \"conrad-t480\", \"href\": \"https://x29-1-13.sc.tvec/hosts/231\", \"action\": \"unlock\", \"success\": true, \"will_retry\": false, \"category\": \"HOST_LOCKDOWN\", \"edr_type\": \"sentinelone\", \"vectra_timestamp\": \"1676364742\"}",
"outcome": "success",
"reference": "https://x29-1-13.sc.tvec/hosts/231",
"type": [
"info"
]
},
"host": {
"hostname": "conrad-t480",
"id": "231"
},
"input": {
"type": "udp"
},
"log": {
"source": {
"address": "192.168.245.4:53106"
},
"syslog": {
"facility": {
"code": 1,
"name": "user-level"
},
"hostname": "A21000000000248",
"priority": 13,
"severity": {
"code": 5,
"name": "Notice"
}
}
},
"observer": {
"ip": [
"89.160.20.112"
],
"product": "Detect",
"serial_number": "A21000000000248",
"type": "sensor",
"vendor": "Vectra",
"version": "7.4"
},
"related": {
"hosts": [
"conrad-t480"
],
"ip": [
"89.160.20.112"
],
"user": [
"vectrademo"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"vectra_detect-log"
],
"url": {
"domain": "x29-1-13.sc.tvec",
"original": "https://x29-1-13.sc.tvec/hosts/231",
"path": "/hosts/231",
"scheme": "https"
},
"user": {
"name": "vectrademo"
},
"vectra_detect": {
"log": {
"action": "unlock",
"category": "HOST_LOCKDOWN",
"edr_type": "sentinelone",
"event_created": "2023-02-14T09:52:22.000Z",
"event_type": "vectra_json_host_lockdown",
"headend_addr": "89.160.20.112",
"host": {
"id": "231",
"name": "conrad-t480"
},
"href": "https://x29-1-13.sc.tvec/hosts/231",
"success": true,
"syslog": {
"facility": {
"code": 1,
"name": "user-level"
},
"hostname": "A21000000000248",
"priority": 13,
"severity": {
"code": 5,
"name": "Notice"
}
},
"user": {
"name": "vectrademo"
},
"vectra_timestamp": "2023-02-14T08:52:22.000Z",
"version": "7.4",
"will_retry": false
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
从中读取/发送日志事件的源地址。 |
keyword |
vectra_detect.log.account.access_history.id |
keyword |
|
vectra_detect.log.account.access_history.last_seen |
日期 |
|
vectra_detect.log.account.access_history.privilege_category |
keyword |
|
vectra_detect.log.account.access_history.privilege_value |
long |
|
vectra_detect.log.account.access_history.uid |
keyword |
|
vectra_detect.log.account.domain |
keyword |
|
vectra_detect.log.account.id |
帐户的 ID。 |
keyword |
vectra_detect.log.account.info.account_uid |
keyword |
|
vectra_detect.log.account.info.counts |
long |
|
vectra_detect.log.account.info.host_luid |
keyword |
|
vectra_detect.log.account.name |
帐户的名称。 |
keyword |
vectra_detect.log.account.uid |
帐户的用户 ID。 |
keyword |
vectra_detect.log.account.user_id |
keyword |
|
vectra_detect.log.accounts |
相关的帐户。 |
keyword |
vectra_detect.log.action |
对主机或帐户执行的操作(例如,锁定或解锁)或导致消息记录的操作(例如,START、TRIAGED、TIMEOUT)。 |
keyword |
vectra_detect.log.alert.category |
keyword |
|
vectra_detect.log.alert.gid |
keyword |
|
vectra_detect.log.alert.rev |
long |
|
vectra_detect.log.alert.severity |
long |
|
vectra_detect.log.alert.signature.id |
keyword |
|
vectra_detect.log.alert.signature.value |
keyword |
|
vectra_detect.log.base_object |
基本可分辨名称。 |
keyword |
vectra_detect.log.bytes.received |
接收到的数据字节数。 |
long |
vectra_detect.log.bytes.sent |
发送的数据字节数。 |
long |
vectra_detect.log.campaign.id |
活动 ID。 |
keyword |
vectra_detect.log.campaign.link |
在 UI 中指向活动的链接。 |
keyword |
vectra_detect.log.campaign.name |
活动的名称。 |
keyword |
vectra_detect.log.category |
事件的类别(例如,LOCKDOWN)。 |
keyword |
vectra_detect.log.certainty |
分配给此帐户的分数的确定性。 |
long |
vectra_detect.log.client.name |
RDP 客户端名称。 |
keyword |
vectra_detect.log.client.token |
RDP 客户端令牌。 |
keyword |
vectra_detect.log.cookie |
RDP 客户端令牌。 |
keyword |
vectra_detect.log.count |
尝试次数。 |
long |
vectra_detect.log.d_type.name |
检测名称的 Vectra 内部表示(例如,smash_n_grab 或 sql_injection)。 |
keyword |
vectra_detect.log.d_type.vname |
检测的名称。 |
keyword |
vectra_detect.log.dd.bytes.rcvd |
导致检测的流量中的字节数。不适用于所有检测。默认为 0。 |
long |
vectra_detect.log.dd.bytes.sent |
含义因检测类型而异。不适用于所有检测。默认为 0。 |
long |
vectra_detect.log.dd.dst.dns |
检测事件的目标域名。 |
keyword |
vectra_detect.log.dd.dst.ip |
检测事件的目标 IP 地址。 |
ip |
vectra_detect.log.dd.dst.port |
被攻击主机的端口。默认为 80。 |
long |
vectra_detect.log.dd.proto |
触发此检测的协议(例如,tcp)。不适用于所有检测。默认为空字符串。 |
keyword |
vectra_detect.log.dest.id |
活动的目标。默认为 *external*。 |
keyword |
vectra_detect.log.dest.ip |
活动的目标 IP 地址。 |
ip |
vectra_detect.log.dest.name |
活动目标的外部域名。 |
keyword |
vectra_detect.log.dest.port |
long |
|
vectra_detect.log.det_id |
导致创建活动的检测的 ID。 |
keyword |
vectra_detect.log.detection.id |
检测的 ID。 |
keyword |
vectra_detect.log.detection.profile.name |
keyword |
|
vectra_detect.log.detection.profile.scoring_detections |
keyword |
|
vectra_detect.log.detection.profile.vname |
keyword |
|
vectra_detect.log.dos_type |
DOS 类型。 |
keyword |
vectra_detect.log.dst.ips |
目标子网。 |
keyword |
vectra_detect.log.dst.key_asset |
是否存在针对此主机的检测,并且此主机是否为关键资产。 |
布尔值 |
vectra_detect.log.dst.ports |
keyword |
|
vectra_detect.log.dvchost |
Cognito Brain 的主机名。 |
keyword |
vectra_detect.log.edr_type |
keyword |
|
vectra_detect.log.event_created |
日期 |
|
vectra_detect.log.event_type |
keyword |
|
vectra_detect.log.extensions |
使用的文件扩展名。 |
keyword |
vectra_detect.log.function |
执行的函数。 |
keyword |
vectra_detect.log.headend_addr |
Cognito Brain 的 IP。 |
ip |
vectra_detect.log.host.access_history.id |
keyword |
|
vectra_detect.log.host.access_history.last_seen |
日期 |
|
vectra_detect.log.host.access_history.name |
keyword |
|
vectra_detect.log.host.access_history.privilege_category |
keyword |
|
vectra_detect.log.host.access_history.privilege_value |
long |
|
vectra_detect.log.host.groups.can_delete |
布尔值 |
|
vectra_detect.log.host.groups.can_edit |
布尔值 |
|
vectra_detect.log.host.groups.cognito_managed |
布尔值 |
|
vectra_detect.log.host.groups.description |
keyword |
|
vectra_detect.log.host.groups.filter_count |
long |
|
vectra_detect.log.host.groups.group_type |
keyword |
|
vectra_detect.log.host.groups.id |
keyword |
|
vectra_detect.log.host.groups.impact |
keyword |
|
vectra_detect.log.host.groups.last_modified |
日期 |
|
vectra_detect.log.host.groups.last_modified_by |
keyword |
|
vectra_detect.log.host.groups.name |
keyword |
|
vectra_detect.log.host.groups.triage_filters.id |
keyword |
|
vectra_detect.log.host.groups.triage_filters.triage_as |
keyword |
|
vectra_detect.log.host.id |
主机的 ID。 |
keyword |
vectra_detect.log.host.ip |
正在评分的主机的 IP。 |
ip |
vectra_detect.log.host.name |
主机的名称。 |
keyword |
vectra_detect.log.host.roles |
keyword |
|
vectra_detect.log.href |
指向 UI 中帐户的链接。 |
keyword |
vectra_detect.log.http.method |
HTTP 方法。 |
keyword |
vectra_detect.log.http.response_code |
HTTP 响应代码。 |
keyword |
vectra_detect.log.http_segment |
HTTP 段。 |
keyword |
vectra_detect.log.ip |
内部目标主机。 |
ip |
vectra_detect.log.keyboard.id |
键盘布局 ID。 |
keyword |
vectra_detect.log.keyboard.name |
键盘布局名称。 |
keyword |
vectra_detect.log.last_detection_type |
与此主机关联的最新检测类型。 |
keyword |
vectra_detect.log.mac.address |
此主机的 MAC 地址。 |
keyword |
vectra_detect.log.mac.vendor |
此主机的 MAC 地址的供应商。 |
keyword |
vectra_detect.log.matched.domain |
匹配的域名。 |
keyword |
vectra_detect.log.matched.ip |
匹配的 IP。 |
ip |
vectra_detect.log.matched.user_agent |
匹配的用户代理。 |
keyword |
vectra_detect.log.message |
一条消息解释了日志的原因/性质。 |
keyword |
vectra_detect.log.named_pipe |
命名管道。 |
keyword |
vectra_detect.log.networks |
目标子网。 |
keyword |
vectra_detect.log.normal.admins |
观察到的正常管理员。 |
keyword |
vectra_detect.log.normal.servers |
观察到的正常服务器。 |
keyword |
vectra_detect.log.num_attempts |
尝试次数。 |
long |
vectra_detect.log.port |
使用的外部端口。 |
keyword |
vectra_detect.log.ports |
扫描的端口。 |
keyword |
vectra_detect.log.privilege |
观察到的主机的权限级别。 |
long |
vectra_detect.log.product_id |
异常的产品 ID。 |
keyword |
vectra_detect.log.proto |
keyword |
|
vectra_detect.log.protocol |
使用的外部协议。 |
keyword |
vectra_detect.log.proxied_dst |
代理的域名或 IP。 |
keyword |
vectra_detect.log.quadrant |
keyword |
|
vectra_detect.log.ransom_notes |
发现的勒索软件备注。 |
keyword |
vectra_detect.log.reason |
这被认为是可疑的原因或活动的事件名称。 |
keyword |
vectra_detect.log.received.normal_pattern |
收到的正常模式示例。 |
keyword |
vectra_detect.log.received.pattern |
接收到的模式。 |
keyword |
vectra_detect.log.referer |
引荐来源网址。 |
keyword |
vectra_detect.log.reply_cache_control |
回复缓存控制设置。 |
keyword |
vectra_detect.log.request |
LDAP 请求。 |
keyword |
vectra_detect.log.result |
指示成功或失败的字符串。 |
keyword |
vectra_detect.log.role |
导致日志的用户角色(例如,管理员、超级管理员等)。 |
keyword |
vectra_detect.log.scans |
尝试次数。 |
keyword |
vectra_detect.log.score_decreases |
指示威胁和确定性分数是否都在降低。 |
布尔值 |
vectra_detect.log.sensor |
与此主机关联的传感器。 |
keyword |
vectra_detect.log.sent.normal_pattern |
发送的正常模式示例。 |
keyword |
vectra_detect.log.sent.pattern |
发送的模式。 |
keyword |
vectra_detect.log.service.access_history.id |
keyword |
|
vectra_detect.log.service.access_history.last_seen |
日期 |
|
vectra_detect.log.service.access_history.privilege_category |
keyword |
|
vectra_detect.log.service.access_history.privilege_value |
long |
|
vectra_detect.log.service.access_history.uid |
keyword |
|
vectra_detect.log.service.info.account_uid |
keyword |
|
vectra_detect.log.service.info.counts |
long |
|
vectra_detect.log.service.info.host_luid |
keyword |
|
vectra_detect.log.service.name |
服务名称。 |
keyword |
vectra_detect.log.severity |
与威胁成比例的分数。 |
双精度 |
vectra_detect.log.shares |
相关的共享文件。 |
keyword |
vectra_detect.log.source.ip |
发起操作的机器的 IP 地址。 |
ip |
vectra_detect.log.sql_fragment |
SQL 片段。 |
keyword |
vectra_detect.log.src.hid |
此活动中成员主机的原始主机 ID。 |
keyword |
vectra_detect.log.src.ip |
源主机的主机 IP。 |
ip |
vectra_detect.log.src.key_asset |
被评分的主机是否被标记为关键资产。 |
布尔值 |
vectra_detect.log.src.name |
源主机的主机名。 |
keyword |
vectra_detect.log.src.port |
long |
|
vectra_detect.log.success |
确认锁定操作是否成功。 |
布尔值 |
vectra_detect.log.successes |
成功的次数。 |
keyword |
vectra_detect.log.syslog.facility.code |
long |
|
vectra_detect.log.syslog.facility.name |
keyword |
|
vectra_detect.log.syslog.hostname |
keyword |
|
vectra_detect.log.syslog.priority |
事件的 syslog 优先级。 |
long |
vectra_detect.log.syslog.severity.code |
long |
|
vectra_detect.log.syslog.severity.name |
keyword |
|
vectra_detect.log.tags |
应用于主机的标签列表。 |
keyword |
vectra_detect.log.threat.feeds |
威胁馈送的名称。 |
keyword |
vectra_detect.log.threat.score |
新计算的主机威胁评分。 |
long |
vectra_detect.log.timestamp |
syslog 接收消息时的纪元时间戳(例如,1550014653)。 |
日期 |
vectra_detect.log.triaged |
是否已对检测进行分类。 |
布尔值 |
vectra_detect.log.tunnel_type |
隐藏隧道的类型。 |
keyword |
vectra_detect.log.type |
指示此健康消息类型的字符串。有效的类型包括 sensor_connectivity、disk_hardware_raid_check、system_cpuflags_valid、disk_ro_mount_check、capture_interface_flap_status、capture_interface_bandwidth_status、colossus_packet_drop_rate、heartbeat_check 和 stream_health。 |
keyword |
vectra_detect.log.url |
可疑的 URL。 |
keyword |
vectra_detect.log.user.agent |
用户代理。 |
keyword |
vectra_detect.log.user.domain |
keyword |
|
vectra_detect.log.user.name |
导致日志的用户用户名。 |
keyword |
vectra_detect.log.user.registered_domain |
keyword |
|
vectra_detect.log.user.subdomain |
keyword |
|
vectra_detect.log.user.top_level_domain |
keyword |
|
vectra_detect.log.uuid |
RPC UUID。 |
keyword |
vectra_detect.log.vectra_timestamp |
事件发生的纪元时间戳(例如,1550014653)。 |
日期 |
vectra_detect.log.version |
运行 Cognito Brain 的 Vectra 平台的版本。 |
keyword |
vectra_detect.log.will_retry |
当锁定操作失败时,此项指示系统是否将重试该操作。 |
布尔值 |
变更日志
编辑变更日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
1.11.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
1.7.2 |
错误修复 (查看拉取请求) |
8.3.0 或更高版本 |
1.7.1 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
1.0.1 |
错误修复 (查看拉取请求) |
8.3.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |