À Vectra AI, nous travaillons en permanence avec nos clients pour comprendre les principales exigences et nécessités des produits grâce à un flux sain de retours d'informations de la part des clients. L'une des principales exigences identifiées est la capacité d'ingérer le signal d'attaque intégré de Vectra AI, connu sous le nom de Attack Signal IntelligenceTM dans les déploiements SIEM des clients afin qu'ils puissent rendre la solution opérationnelle dans leurs processus SOC préétablis. Il s'agit d'un élément essentiel pour garantir que les clients tirent le meilleur parti de leur déploiement, et c'est la raison pour laquelle nous investissons massivement pour nous assurer que notre signal peut être ingéré n'importe où avec n'importe quelle technologie.
Au cours de l'année écoulée, nous avons lancé de nombreuses intégrations technologiques de bout en bout qui permettent à nos clients d'intégrer Vectra AI's signal unifié dans des déploiements SIEM, notamment :
- Intégration de Splunk pour la plateforme Vectra AI
- Intégration de Qradar à la plateforme Vectra AI
- Intégration de Microsoft Sentinel pour la plate-forme Vectra AI
Il y en a beaucoup d'autres à venir, mais nous comprenons le besoin d'une solution clé en main qui peut fonctionner avec n'importe quel SIEM ou lac de données compatible avec syslog.
C'est pourquoi, aujourd'hui, nous sommes heureux d'annoncer la sortie du connecteur Syslog de la plateformeVectra AI qui peut collecter tous les événements en utilisant l'API et les envoyer à n'importe quel serveur syslog. La solution a été développée pour être clé en main, évolutive, portable et fiable.
Plus précisément, le connecteur Syslog de la plate-forme Vectra AI a été conçu pour vous aider :
- Collecter tous les événements de la plateforme Vectra AI en interrogeant l'API (détection, notation et audits).
- Stocker et transformer les événements pour qu'ils soient conformes aux protocoles syslog(RFC 5234).
- Envoyer des événements à un serveur syslog (TCP, UDP ou TLS).
Le fait est que nous vivons dans un monde où la technologie continuera toujours d'évoluer - avec cela viennent de nouvelles méthodes de journalisation et de surveillance ainsi qu'un flux constant de nouvelles technologies cloud - qui ont toutes le potentiel d'avoir un impact sur l'utilisation et la pertinence perçue du syslog traditionnel. Néanmoins, syslog joue toujours un rôle crucial dans de nombreux environnements en raison de sa simplicité et de sa polyvalence. Syslog restera un protocole fondamental pendant de nombreuses années encore.
Vectra AI Architecture du connecteur Syslog de la plate-forme
Pour être portable et pratique, nous choisissons une solution conteneurisée qui peut fonctionner dans un environnement Windows ou Linux.
Voici quelques-uns des points forts de la solution de conteneur :
- Portable (contrôle des versions et des dépendances dans chaque conteneur).
- "Easy button" avec Docker Compose et un fichier de configuration plat.
- Solution robuste de mise à l'échelle et de mise en file d'attente avec RabbitMQ.
- Tampon de disque local pour la résilience des données.
- Pré-construction du conteneur dans Docker Hub (application Vectra).
Nous avons publié ce projet en tant que source ouverte sur notre compte GitHub, ce qui facilite la révision, le fork ou le signalement de problèmes ou de demandes d'amélioration.
Comment commencer ?
Tout d'abord, vous avez besoin d'un système sur lequel Docker et Docker Compose sont installés. Docker Compose n'est pas obligatoire mais fortement recommandé car il facilite grandement l'installation. Ensuite, du point de vue de la configuration, vous avez besoin de :
- URL de base de votre plateforme Vectra AI
- Informations d'identification du client de l'API (ID et secret)
- Informations sur le serveur Syslog (adresse IP/nom DNS + protocole + port)
Notez que pour le syslog via TLS, vous avez besoin du certificat du serveur syslog.
Une fois ces informations en main, clonez le référentiel :
git clone https://github.com/vectranetworks/siem-connector.git
Deux fichiers de configuration doivent être modifiés :
- docker-compose.yml pour configurer l'URL du locataire Vectra et les informations d'identification de l'API.
- config.json pour configurer les informations relatives au serveur syslog ainsi que le planificateur. Nous recommandons d'utiliser "* * * * *" pour une exécution toutes les minutes pour chaque endpoint.
La dernière étape consiste à exécuter Docker Compose pour démarrer l'application :
Nous avons facilité l'accès au journal de l'application car il est directement accessible dans le dossier "logs" :
Des informations supplémentaires concernant l'installation et les messages d'erreur courants sont disponibles sur notre site web d'assistance.
Vous pouvez trouver toutes les ressources de Vectra AI Platform Syslog Connector en cliquant sur les liens ci-dessous :