New

The executive guide to generative AI

Read more
About usPartnersSupport|Login
« 概述 VMware »
Elastic 文档 Elastic 集成

Vectra Detect 集成

编辑

Vectra Detect 集成

编辑

版本

1.11.0 ( 查看全部 )

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

Vectra Detect 集成允许您监视以 syslog 格式发送的日志。Vectra Detect 提供了一种最快、最有效的方法来优先处理和阻止跨云、数据中心、应用程序和工作负载以及用户和 IoT 设备和帐户的攻击。Vectra 使用人工智能来自动化实时网络攻击检测和响应 - 从网络用户和 IoT 设备到数据中心和云。所有内部流量都会被持续监控,以检测正在进行中的隐藏攻击。检测到的威胁会立即与正在遭受攻击的主机设备关联,并且独特的上下文会显示攻击者所在的位置以及他们正在做什么。对组织构成最大风险的威胁会根据其严重性和确定性自动评分和优先排序,这使安全运营团队能够快速将时间和资源集中在预防和减轻损失上。

Vectra Detect 集成可以在两种不同的输入模式下使用

  • TCP 模式:Vectra Detect 将日志发送到 Elastic Agent 托管的 TCP 端口。
  • UDP 模式:Vectra Detect 将日志发送到 Elastic Agent 托管的 UDP 端口。

数据流

编辑

Vectra Detect 集成收集以下事件的日志

Vectra Detect

帐户检测

帐户锁定

帐户评分

警报

审计

活动

运行状况

主机检测

主机锁定

主机评分

Vectra Detect 集成会收集不同事件的日志,但我们将所有这些事件组合在一个名为 log 的数据流中。

兼容性

编辑

此集成已针对 Vectra Detect 7.4 进行了测试。预计更高版本也可以使用,但尚未经过测试。

要求

编辑

您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理它。您可以使用我们推荐的 Elastic Cloud 上的托管 Elasticsearch 服务,或者在您的硬件上自行管理 Elastic Stack。

设置

编辑

请按照 Vectra 平台入门指南 安装和设置 Vectra AI 平台。要配置 syslog,请按照 Vectra Syslog 指南 进行操作。Syslog 消息可以通过 3 种格式发送到远程 syslog 服务器:标准 syslog、CEF 或 JSON。请考虑发送 JSON 格式,因为我们仅支持 JSON 格式。

日志参考

编辑

log 数据流收集 Vectra Detect 日志。

示例

log 的示例事件如下所示

{
    "@timestamp": "2023-02-14T08:52:22.000Z",
    "agent": {
        "ephemeral_id": "d1ccd3bb-36c3-4e60-a806-f450d426238c",
        "id": "70808e18-f29a-48b6-8386-b77582d73652",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.3.0"
    },
    "data_stream": {
        "dataset": "vectra_detect.log",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "70808e18-f29a-48b6-8386-b77582d73652",
        "snapshot": false,
        "version": "8.3.0"
    },
    "event": {
        "action": "unlock",
        "agent_id_status": "verified",
        "category": [
            "host"
        ],
        "created": "2023-02-14T09:52:22.000Z",
        "dataset": "vectra_detect.log",
        "ingested": "2023-12-27T10:07:02Z",
        "kind": "event",
        "original": "vectra_json_host_lockdown -: {\"version\": \"7.4\", \"host_id\": 231, \"user\": \"vectrademo\", \"headend_addr\": \"89.160.20.112\", \"host_name\": \"conrad-t480\", \"href\": \"https://x29-1-13.sc.tvec/hosts/231\", \"action\": \"unlock\", \"success\": true, \"will_retry\": false, \"category\": \"HOST_LOCKDOWN\", \"edr_type\": \"sentinelone\", \"vectra_timestamp\": \"1676364742\"}",
        "outcome": "success",
        "reference": "https://x29-1-13.sc.tvec/hosts/231",
        "type": [
            "info"
        ]
    },
    "host": {
        "hostname": "conrad-t480",
        "id": "231"
    },
    "input": {
        "type": "udp"
    },
    "log": {
        "source": {
            "address": "192.168.245.4:53106"
        },
        "syslog": {
            "facility": {
                "code": 1,
                "name": "user-level"
            },
            "hostname": "A21000000000248",
            "priority": 13,
            "severity": {
                "code": 5,
                "name": "Notice"
            }
        }
    },
    "observer": {
        "ip": [
            "89.160.20.112"
        ],
        "product": "Detect",
        "serial_number": "A21000000000248",
        "type": "sensor",
        "vendor": "Vectra",
        "version": "7.4"
    },
    "related": {
        "hosts": [
            "conrad-t480"
        ],
        "ip": [
            "89.160.20.112"
        ],
        "user": [
            "vectrademo"
        ]
    },
    "tags": [
        "preserve_original_event",
        "preserve_duplicate_custom_fields",
        "forwarded",
        "vectra_detect-log"
    ],
    "url": {
        "domain": "x29-1-13.sc.tvec",
        "original": "https://x29-1-13.sc.tvec/hosts/231",
        "path": "/hosts/231",
        "scheme": "https"
    },
    "user": {
        "name": "vectrademo"
    },
    "vectra_detect": {
        "log": {
            "action": "unlock",
            "category": "HOST_LOCKDOWN",
            "edr_type": "sentinelone",
            "event_created": "2023-02-14T09:52:22.000Z",
            "event_type": "vectra_json_host_lockdown",
            "headend_addr": "89.160.20.112",
            "host": {
                "id": "231",
                "name": "conrad-t480"
            },
            "href": "https://x29-1-13.sc.tvec/hosts/231",
            "success": true,
            "syslog": {
                "facility": {
                    "code": 1,
                    "name": "user-level"
                },
                "hostname": "A21000000000248",
                "priority": 13,
                "severity": {
                    "code": 5,
                    "name": "Notice"
                }
            },
            "user": {
                "name": "vectrademo"
            },
            "vectra_timestamp": "2023-02-14T08:52:22.000Z",
            "version": "7.4",
            "will_retry": false
        }
    }
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

event.dataset

事件数据集。

constant_keyword

event.module

事件模块。

constant_keyword

input.type

Filebeat 输入的类型。

keyword

log.offset

日志偏移量。

long

log.source.address

从中读取/发送日志事件的源地址。

keyword

vectra_detect.log.account.access_history.id

keyword

vectra_detect.log.account.access_history.last_seen

日期

vectra_detect.log.account.access_history.privilege_category

keyword

vectra_detect.log.account.access_history.privilege_value

long

vectra_detect.log.account.access_history.uid

keyword

vectra_detect.log.account.domain

keyword

vectra_detect.log.account.id

帐户的 ID。

keyword

vectra_detect.log.account.info.account_uid

keyword

vectra_detect.log.account.info.counts

long

vectra_detect.log.account.info.host_luid

keyword

vectra_detect.log.account.name

帐户的名称。

keyword

vectra_detect.log.account.uid

帐户的用户 ID。

keyword

vectra_detect.log.account.user_id

keyword

vectra_detect.log.accounts

相关的帐户。

keyword

vectra_detect.log.action

对主机或帐户执行的操作(例如,锁定或解锁)或导致消息记录的操作(例如,START、TRIAGED、TIMEOUT)。

keyword

vectra_detect.log.alert.category

keyword

vectra_detect.log.alert.gid

keyword

vectra_detect.log.alert.rev

long

vectra_detect.log.alert.severity

long

vectra_detect.log.alert.signature.id

keyword

vectra_detect.log.alert.signature.value

keyword

vectra_detect.log.base_object

基本可分辨名称。

keyword

vectra_detect.log.bytes.received

接收到的数据字节数。

long

vectra_detect.log.bytes.sent

发送的数据字节数。

long

vectra_detect.log.campaign.id

活动 ID。

keyword

vectra_detect.log.campaign.link

在 UI 中指向活动的链接。

keyword

vectra_detect.log.campaign.name

活动的名称。

keyword

vectra_detect.log.category

事件的类别(例如,LOCKDOWN)。

keyword

vectra_detect.log.certainty

分配给此帐户的分数的确定性。

long

vectra_detect.log.client.name

RDP 客户端名称。

keyword

vectra_detect.log.client.token

RDP 客户端令牌。

keyword

vectra_detect.log.cookie

RDP 客户端令牌。

keyword

vectra_detect.log.count

尝试次数。

long

vectra_detect.log.d_type.name

检测名称的 Vectra 内部表示(例如,smash_n_grab 或 sql_injection)。

keyword

vectra_detect.log.d_type.vname

检测的名称。

keyword

vectra_detect.log.dd.bytes.rcvd

导致检测的流量中的字节数。不适用于所有检测。默认为 0。

long

vectra_detect.log.dd.bytes.sent

含义因检测类型而异。不适用于所有检测。默认为 0。

long

vectra_detect.log.dd.dst.dns

检测事件的目标域名。

keyword

vectra_detect.log.dd.dst.ip

检测事件的目标 IP 地址。

ip

vectra_detect.log.dd.dst.port

被攻击主机的端口。默认为 80。

long

vectra_detect.log.dd.proto

触发此检测的协议(例如,tcp)。不适用于所有检测。默认为空字符串。

keyword

vectra_detect.log.dest.id

活动的目标。默认为 *external*。

keyword

vectra_detect.log.dest.ip

活动的目标 IP 地址。

ip

vectra_detect.log.dest.name

活动目标的外部域名。

keyword

vectra_detect.log.dest.port

long

vectra_detect.log.det_id

导致创建活动的检测的 ID。

keyword

vectra_detect.log.detection.id

检测的 ID。

keyword

vectra_detect.log.detection.profile.name

keyword

vectra_detect.log.detection.profile.scoring_detections

keyword

vectra_detect.log.detection.profile.vname

keyword

vectra_detect.log.dos_type

DOS 类型。

keyword

vectra_detect.log.dst.ips

目标子网。

keyword

vectra_detect.log.dst.key_asset

是否存在针对此主机的检测,并且此主机是否为关键资产。

布尔值

vectra_detect.log.dst.ports

keyword

vectra_detect.log.dvchost

Cognito Brain 的主机名。

keyword

vectra_detect.log.edr_type

keyword

vectra_detect.log.event_created

日期

vectra_detect.log.event_type

keyword

vectra_detect.log.extensions

使用的文件扩展名。

keyword

vectra_detect.log.function

执行的函数。

keyword

vectra_detect.log.headend_addr

Cognito Brain 的 IP。

ip

vectra_detect.log.host.access_history.id

keyword

vectra_detect.log.host.access_history.last_seen

日期

vectra_detect.log.host.access_history.name

keyword

vectra_detect.log.host.access_history.privilege_category

keyword

vectra_detect.log.host.access_history.privilege_value

long

vectra_detect.log.host.groups.can_delete

布尔值

vectra_detect.log.host.groups.can_edit

布尔值

vectra_detect.log.host.groups.cognito_managed

布尔值

vectra_detect.log.host.groups.description

keyword

vectra_detect.log.host.groups.filter_count

long

vectra_detect.log.host.groups.group_type

keyword

vectra_detect.log.host.groups.id

keyword

vectra_detect.log.host.groups.impact

keyword

vectra_detect.log.host.groups.last_modified

日期

vectra_detect.log.host.groups.last_modified_by

keyword

vectra_detect.log.host.groups.name

keyword

vectra_detect.log.host.groups.triage_filters.id

keyword

vectra_detect.log.host.groups.triage_filters.triage_as

keyword

vectra_detect.log.host.id

主机的 ID。

keyword

vectra_detect.log.host.ip

正在评分的主机的 IP。

ip

vectra_detect.log.host.name

主机的名称。

keyword

vectra_detect.log.host.roles

keyword

vectra_detect.log.href

指向 UI 中帐户的链接。

keyword

vectra_detect.log.http.method

HTTP 方法。

keyword

vectra_detect.log.http.response_code

HTTP 响应代码。

keyword

vectra_detect.log.http_segment

HTTP 段。

keyword

vectra_detect.log.ip

内部目标主机。

ip

vectra_detect.log.keyboard.id

键盘布局 ID。

keyword

vectra_detect.log.keyboard.name

键盘布局名称。

keyword

vectra_detect.log.last_detection_type

与此主机关联的最新检测类型。

keyword

vectra_detect.log.mac.address

此主机的 MAC 地址。

keyword

vectra_detect.log.mac.vendor

此主机的 MAC 地址的供应商。

keyword

vectra_detect.log.matched.domain

匹配的域名。

keyword

vectra_detect.log.matched.ip

匹配的 IP。

ip

vectra_detect.log.matched.user_agent

匹配的用户代理。

keyword

vectra_detect.log.message

一条消息解释了日志的原因/性质。

keyword

vectra_detect.log.named_pipe

命名管道。

keyword

vectra_detect.log.networks

目标子网。

keyword

vectra_detect.log.normal.admins

观察到的正常管理员。

keyword

vectra_detect.log.normal.servers

观察到的正常服务器。

keyword

vectra_detect.log.num_attempts

尝试次数。

long

vectra_detect.log.port

使用的外部端口。

keyword

vectra_detect.log.ports

扫描的端口。

keyword

vectra_detect.log.privilege

观察到的主机的权限级别。

long

vectra_detect.log.product_id

异常的产品 ID。

keyword

vectra_detect.log.proto

keyword

vectra_detect.log.protocol

使用的外部协议。

keyword

vectra_detect.log.proxied_dst

代理的域名或 IP。

keyword

vectra_detect.log.quadrant

keyword

vectra_detect.log.ransom_notes

发现的勒索软件备注。

keyword

vectra_detect.log.reason

这被认为是可疑的原因或活动的事件名称。

keyword

vectra_detect.log.received.normal_pattern

收到的正常模式示例。

keyword

vectra_detect.log.received.pattern

接收到的模式。

keyword

vectra_detect.log.referer

引荐来源网址。

keyword

vectra_detect.log.reply_cache_control

回复缓存控制设置。

keyword

vectra_detect.log.request

LDAP 请求。

keyword

vectra_detect.log.result

指示成功或失败的字符串。

keyword

vectra_detect.log.role

导致日志的用户角色(例如,管理员、超级管理员等)。

keyword

vectra_detect.log.scans

尝试次数。

keyword

vectra_detect.log.score_decreases

指示威胁和确定性分数是否都在降低。

布尔值

vectra_detect.log.sensor

与此主机关联的传感器。

keyword

vectra_detect.log.sent.normal_pattern

发送的正常模式示例。

keyword

vectra_detect.log.sent.pattern

发送的模式。

keyword

vectra_detect.log.service.access_history.id

keyword

vectra_detect.log.service.access_history.last_seen

日期

vectra_detect.log.service.access_history.privilege_category

keyword

vectra_detect.log.service.access_history.privilege_value

long

vectra_detect.log.service.access_history.uid

keyword

vectra_detect.log.service.info.account_uid

keyword

vectra_detect.log.service.info.counts

long

vectra_detect.log.service.info.host_luid

keyword

vectra_detect.log.service.name

服务名称。

keyword

vectra_detect.log.severity

与威胁成比例的分数。

双精度

vectra_detect.log.shares

相关的共享文件。

keyword

vectra_detect.log.source.ip

发起操作的机器的 IP 地址。

ip

vectra_detect.log.sql_fragment

SQL 片段。

keyword

vectra_detect.log.src.hid

此活动中成员主机的原始主机 ID。

keyword

vectra_detect.log.src.ip

源主机的主机 IP。

ip

vectra_detect.log.src.key_asset

被评分的主机是否被标记为关键资产。

布尔值

vectra_detect.log.src.name

源主机的主机名。

keyword

vectra_detect.log.src.port

long

vectra_detect.log.success

确认锁定操作是否成功。

布尔值

vectra_detect.log.successes

成功的次数。

keyword

vectra_detect.log.syslog.facility.code

long

vectra_detect.log.syslog.facility.name

keyword

vectra_detect.log.syslog.hostname

keyword

vectra_detect.log.syslog.priority

事件的 syslog 优先级。

long

vectra_detect.log.syslog.severity.code

long

vectra_detect.log.syslog.severity.name

keyword

vectra_detect.log.tags

应用于主机的标签列表。

keyword

vectra_detect.log.threat.feeds

威胁馈送的名称。

keyword

vectra_detect.log.threat.score

新计算的主机威胁评分。

long

vectra_detect.log.timestamp

syslog 接收消息时的纪元时间戳(例如,1550014653)。

日期

vectra_detect.log.triaged

是否已对检测进行分类。

布尔值

vectra_detect.log.tunnel_type

隐藏隧道的类型。

keyword

vectra_detect.log.type

指示此健康消息类型的字符串。有效的类型包括 sensor_connectivity、disk_hardware_raid_check、system_cpuflags_valid、disk_ro_mount_check、capture_interface_flap_status、capture_interface_bandwidth_status、colossus_packet_drop_rate、heartbeat_check 和 stream_health。

keyword

vectra_detect.log.url

可疑的 URL。

keyword

vectra_detect.log.user.agent

用户代理。

keyword

vectra_detect.log.user.domain

keyword

vectra_detect.log.user.name

导致日志的用户用户名。

keyword

vectra_detect.log.user.registered_domain

keyword

vectra_detect.log.user.subdomain

keyword

vectra_detect.log.user.top_level_domain

keyword

vectra_detect.log.uuid

RPC UUID。

keyword

vectra_detect.log.vectra_timestamp

事件发生的纪元时间戳(例如,1550014653)。

日期

vectra_detect.log.version

运行 Cognito Brain 的 Vectra 平台的版本。

keyword

vectra_detect.log.will_retry

当锁定操作失败时,此项指示系统是否将重试该操作。

布尔值

变更日志

编辑
变更日志
版本 详情 Kibana 版本

1.11.0

增强 (查看拉取请求)
不要在主摄取管道中删除 event.original

8.13.0 或更高版本

1.10.0

增强 (查看拉取请求)
将 "preserve_original_event" 标签添加到 event.kind 设置为 "pipeline_error" 的文档。

8.13.0 或更高版本

1.9.0

增强 (查看拉取请求)
删除了 import_mappings。将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板中冗余的 ECS 字段。

8.13.0 或更高版本

1.8.0

增强 (查看拉取请求)
将清单格式版本更新为 v3.0.3。

8.3.0 或更高版本

1.7.2

错误修复 (查看拉取请求)
清理 null 处理

8.3.0 或更高版本

1.7.1

增强 (查看拉取请求)
已更改所有者

8.3.0 或更高版本

1.7.0

增强 (查看拉取请求)
增加了对新事件类型 vectra_json 的支持。

8.3.0 或更高版本

1.6.0

增强 (查看拉取请求)
ECS 版本更新至 8.11.0。

8.3.0 或更高版本

1.5.0

增强 (查看拉取请求)
改进 event.original 检查,以避免在设置时出现错误。

8.3.0 或更高版本

1.4.0

增强 (查看拉取请求)
ECS 版本更新至 8.10.0。

8.3.0 或更高版本

1.3.0

增强 (查看拉取请求)
包清单中的 format_version 从 2.11.0 更改为 3.0.0。从包清单中删除了带点的 YAML 键。将 owner.type: elastic 添加到包清单中。

8.3.0 或更高版本

1.2.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便使用“安全解决方案”标记集成的仪表板和已保存的搜索,并将其显示在安全解决方案 UI 中。

8.3.0 或更高版本

1.1.0

增强 (查看拉取请求)
将包更新至 ECS 8.9.0。

8.3.0 或更高版本

1.0.1

错误修复 (查看拉取请求)
删除令人困惑的错误消息标签前缀。

8.3.0 或更高版本

1.0.0

增强 (查看拉取请求)
将 Vectra Detect 作为 GA 发布。

8.3.0 或更高版本

0.4.0

增强 (查看拉取请求)
将包更新至 ECS 8.8.0。

0.3.0

增强 (查看拉取请求)
添加新事件类型 vectra match v2。

0.2.0

增强 (查看拉取请求)
将包更新至 ECS 8.7.0,并将 package-spec 版本更新至 2.7.0。

0.1.0

增强 (查看拉取请求)
初始版本。

« 概述 VMware »

On this page

Was this helpful?
Feedback