Bei Vectra AI arbeiten wir kontinuierlich mit unseren Kunden zusammen, um die wichtigsten Produktanforderungen und -notwendigkeiten durch einen gesunden Fluss von Kundenfeedback zu verstehen. Eine der wichtigsten Anforderungen, die wir identifiziert haben, ist die Möglichkeit, das integrierte Angriffssignal von Vectra AI, bekannt als Attack Signal IntelligenceTM in die SIEM-Implementierungen der Kunden aufzunehmen, damit sie die Lösung in ihre bereits etablierten SOC-Prozesse einbinden können. Dies ist der Schlüssel, um sicherzustellen, dass die Kunden den größtmöglichen Nutzen aus ihrem Einsatz ziehen, und deshalb investieren wir viel, um sicherzustellen, dass unser Signal überall und mit jeder Technologie aufgenommen werden kann.
Im vergangenen Jahr haben wir zahlreiche End-to-End-Technologie-Integrationen veröffentlicht, die es unseren Kunden ermöglichen, das integrierte Signal von Vectra AIin SIEM-Implementierungen aufzunehmen:
- Splunk-Integration für Vectra AI Plattform
- Qradar-Integration für die Plattform Vectra AI
- Microsoft Sentinel Integration für Vectra AI Plattform
Es werden noch viele weitere folgen, aber wir wissen, dass eine schlüsselfertige Lösung benötigt wird, die mit jedem syslog-kompatiblen SIEM oder Data Lake zusammenarbeiten kann.
Deshalb freuen wir uns, heute die Veröffentlichung des Vectra AI Platform Syslog Connector bekannt zu geben, der alle Ereignisse über die API sammeln und an einen beliebigen Syslog-Server senden kann. Die Lösung wurde entwickelt, um schlüsselfertig, skalierbar, portabel und zuverlässig zu sein.
Konkret wurde der Vectra AI Platform Syslog Connector entwickelt, um dabei zu helfen:
- Sammeln Sie jedes Ereignis von der Vectra AI Plattform, indem Sie die API abfragen (Erkennung, Bewertung und Audits).
- Speichern und Umwandeln von Ereignissen, um mit den Syslog-Protokollen(RFC 5234) konform zu sein.
- Senden Sie Ereignisse an einen Syslog-Server (TCP, UDP oder TLS).
Tatsache ist, dass wir in einer Welt leben, in der sich die Technologie ständig weiterentwickelt - das bringt neue Protokollierungs- und Überwachungsmöglichkeiten sowie einen ständigen Strom neuer cloud Technologien mit sich, die alle das Potenzial haben, sich auf die Verwendung und die wahrgenommene Relevanz des traditionellen Syslogs auszuwirken. Dennoch spielt Syslog aufgrund seiner Einfachheit und Vielseitigkeit in vielen Umgebungen nach wie vor eine entscheidende Rolle. Syslog wird noch viele Jahre lang ein grundlegendes Protokoll bleiben.
Vectra AI Plattform Syslog Connector Architektur
Um portabel und bequem zu sein, haben wir uns für eine containerisierte Lösung entschieden, die in einer Windows- oder Linux-Umgebung ausgeführt werden kann.
Hier sind einige der Highlights der Containerlösung:
- Portabel (Kontrolle der Versionen und Abhängigkeiten innerhalb jedes Containers).
- "Easy Button" mit Docker Compose und flacher Konfigurationsdatei.
- Robuste Skalierungs- und Warteschlangenlösung mit RabbitMQ.
- Lokaler Plattenpuffer für die Ausfallsicherheit der Daten.
- Vorgefertigter Container in Docker Hub (Vectra-Anwendung).
Wir haben dieses Projekt als Open Source in unserem GitHub-Account veröffentlicht, so dass es einfach ist, es zu überprüfen, zu forken oder jegliche Probleme oder Verbesserungswünsche zu melden.
Wie fängt man an?
Zunächst benötigen Sie ein System, auf dem Docker und Docker Compose installiert sind. Docker Compose ist nicht zwingend erforderlich, wird aber dringend empfohlen, da es die Einrichtung erheblich erleichtert. Vom Standpunkt der Konfiguration aus gesehen, benötigen Sie dann:
- Basis-URL Ihrer Vectra AI Plattform
- API-Client-Anmeldedaten (ID und Geheimnis)
- Informationen zum Syslog-Server (IP-Adresse/DNS-Name + Protokoll + Port)
Beachten Sie, dass Sie für Syslog über TLS das Zertifikat des Syslog-Servers benötigen.
Sobald Sie diese Informationen zur Hand haben, klonen Sie das Repository:
git clone https://github.com/vectranetworks/siem-connector.git
Es gibt 2 Konfigurationsdateien, die bearbeitet werden müssen:
- docker-compose.yml, um die Vectra-Tenant-URL und die API-Anmeldedaten zu konfigurieren.
- config.json-Datei , um die Syslog-Server-Informationen und den Scheduler zu konfigurieren. Wir empfehlen die Verwendung von "* * * * *", um jede Minute für jedes endpoint auszuführen.
Der letzte Schritt ist die Ausführung von Docker Compose, um die Anwendung zu starten:
Wir haben den Zugriff auf das Protokoll der Anwendung vereinfacht, da es direkt im Ordner "logs" zu finden ist:
Weitere Informationen zur Einrichtung und zu häufigen Fehlermeldungen finden Sie auf unserer Support-Website.
Sie finden alle Vectra AI Platform Syslog Connector Ressourcen über die untenstehenden Links: