Vectra AI Platform Syslog Connector: Attack Signal Intelligence para su SIEM

7 de diciembre de 2023

Vectra AI Platform Syslog Connector: Attack Signal Intelligence para su SIEM

En Vectra AI, trabajamos continuamente con nuestros clientes para comprender los requisitos y necesidades clave del producto a través de un flujo saludable de comentarios de los clientes. Uno de los requisitos clave identificados es la capacidad de ingerir la señal de ataque integrada de Vectra AIAI conocida como Attack Signal Intelligence^TM en las implantaciones SIEM de los clientes para que puedan integrar la solución en sus procesos SOC preestablecidos. Esto es clave para garantizar que los clientes obtengan el máximo valor de su despliegue, y la razón por la que invertimos fuertemente para asegurarnos de que nuestra señal puede ser ingerida en cualquier lugar con cualquier tecnología.

En el último año, hemos lanzado numerosas integraciones tecnológicas de extremo a extremo que permiten a nuestros clientes ingerir la señal integrada de Vectra AIen despliegues SIEM, incluyendo:

Hay muchos más por venir, pero entendemos la necesidad de una solución llave en mano que pueda funcionar con cualquier SIEM o lago de datos compatible con syslog.

Por eso, hoy nos complace anunciar el lanzamiento del Conector Syslog de la PlataformaVectra AI , que puede recopilar todos los eventos mediante la API y enviarlos a cualquier servidor syslog. La solución fue desarrollada para ser llave en mano, escalable, portátil y fiable.

En concreto, el conector Syslog de la plataforma Vectra AI se diseñó para ayudar:

Recopile todos los eventos de la plataforma Vectra AI sondeando la API (detección, puntuación y auditorías).
Almacena y transforma eventos para que sean compatibles con los protocolos syslog(RFC 5234).
Enviar eventos a un servidor syslog (TCP, UDP o TLS).

El hecho es que vivimos en un mundo en el que la tecnología siempre continuará evolucionando - con ello llegan nuevos registros y monitorización, así como un flujo constante de nuevas tecnologías cloud - todo ello con el potencial de impactar en el uso y la relevancia percibida del syslog tradicional. No obstante, syslog sigue desempeñando un papel crucial en muchos entornos por su sencillez y versatilidad. Syslog seguirá siendo un protocolo fundamental durante muchos años.

Arquitectura del conector Syslog de la plataforma Vectra AI

Para que sea portátil y cómoda, elegimos una solución en contenedores que puede ejecutarse en un entorno Windows o Linux.

Estos son algunos de los aspectos más destacados de la solución de contenedores:

Portable (control de versiones y dependencias dentro de cada contenedor).
"Botón fácil" con Docker Compose y archivo de configuración plano.
Solución robusta de escalado y colas con RabbitMQ.
Búfer de disco local para la resistencia de los datos.
Contenedor preconstruido en Docker Hub (aplicación Vectra).

Hemos publicado este proyecto como código abierto en nuestra cuenta de GitHub, lo que facilita la revisión, la bifurcación o la notificación de cualquier problema o solicitud de mejora.

¿Cómo empezar?

En primer lugar, necesitas un sistema que tenga Docker y Docker Compose instalados. Docker Compose no es obligatorio pero sí muy recomendable, ya que facilita mucho la configuración. Luego, desde el punto de vista de la configuración, necesitas:

URL base de su plataforma Vectra AI
Credenciales del cliente API (ID y secreto)
Información del servidor Syslog (dirección IP/nombre DNS + protocolo + puerto)

Tenga en cuenta que para syslog sobre TLS, necesitará el certificado del servidor syslog.

Una vez que dispongas de esa información, clona el repositorio:

git clone https://github.com/vectranetworks/siem-connector.git

Hay 2 archivos de configuración que necesitan ser editados:

docker-compose.yml para configurar la URL del inquilino de Vectra y las credenciales de la API.

config.json para configurar la información del servidor syslog así como el programador. Recomendamos utilizar "* * * * *" para ejecutar cada minuto para cada punto final.

El último paso es ejecutar Docker Compose para iniciar la aplicación:

Hemos facilitado el acceso al registro de la aplicación, ya que es directamente accesible en la carpeta "logs":

Encontrará más información sobre la configuración y los mensajes de error habituales en nuestro sitio web de asistencia.

Y puede encontrar todos los recursos del Conector Syslog de la Plataforma Vectra AI a través de los siguientes enlaces:

¿Quiere saber más?

Vectra® es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos

Vectra AI Platform Syslog Connector: Attack Signal Intelligence para su SIEM

Arquitectura del conector Syslog de la plataforma Vectra AI

¿Cómo empezar?

Preguntas frecuentes