Vectra AI Platform Syslog Connector: SIEMのためのAttack Signal Intelligence

＊本記事は自動翻訳です。詳細は英語版をご確認ください。

Vectra AI では、お客様からの健全なフィードバックを通じて、主要な製品要件と必要性を理解するために、お客様と継続的に協力しています。特定された主な要件の1つは、Vectra AIの統合攻撃シグナルをインジェストする機能です。 Attack Signal Intelligence^TMをお客様のSIEM導入に取り込むことで、お客様が事前に確立した SOC プロセスでソリューションを運用できるようにすることです。これは、お客様が導入から最大限の価値を得られるようにするための鍵であり、当社のシグナルがどのようなテクノロジーでもどこからでも取り込めるようにするために多大な投資を行っている理由でもあります。  

この1年間で、Vectra AIの統合シグナルをSIEM展開に取り込むことを可能にするエンド・ツー・エンドの技術統合を数多くリリースしてきた：

• Splunk Integration forVectra AI Platform
• Qradar のVectra AI プラットフォームへの統合
• Microsoft Sentinel Integration forVectra AI プラットフォーム

まだまだありますが、syslog互換のSIEMやデータレイクと連携できるターンキーソリューションの必要性を理解しています。

Vectra AI APIを使用してすべてのイベントを収集し、任意の syslogサーバーに送信することができます。このソリューションは、ターンキーで、スケーラブルで、ポータブルで、信頼できるように開発されました。

具体的には、Vectra AI Platform Syslog Connectorは、これを支援するために設計された：

• APIをポーリングすることで、Vectra AI Platformからすべてのイベントを収集します(検出、スコアリング、監査）。
• syslogプロトコル(RFC 5234)に準拠したイベントの保存と変換。
• syslogサーバーにイベントを送信する(TCP、UDP、TLS）。

事実、私たちは、テクノロジーが常に進化し続ける世界に住んでいます。それに伴い、新しいロギングと監視、そして新しいクラウドテクノロジーの絶え間ない流れが生まれます。それにもかかわらず、syslogは、そのシンプルさと多用途性のために、多くの環境で重要な役割をまだ果たしています。syslogは、これからもずっと基本的なプロトコルであり続けるでしょう。  

Vectra AI プラットフォームSyslogコネクタ・アーキテクチャ

ポータブルで便利なように、WindowsやLinux環境で実行できるコンテナ化されたソリューションを選択した。

コンテナ・ソリューションのハイライトをいくつか紹介しよう：

• ポータブル (各コンテナ内でのバージョンと依存関係の管理)。
• Docker Composeとフラット設定ファイルによる「簡単ボタン」。
• RabbitMQによる堅牢なスケーリングとキューイングソリューション。
• データ回復力のためのローカル・ディスク・バッファ。
• Docker Hub(Vectraアプリ）でコンテナをプリビルドする。

私たちはこのプロジェクトをオープンソースとしてGitHubアカウントに公開しました。

どうやって始める？

まず、DockerとDocker Composeがインストールされたシステムが必要だ。Docker Composeは必須ではないが、セットアップが非常に簡単になるので強く推奨する。次に、設定の観点から、以下のものが必要です：

• Vectra AI プラットフォームのベースURL
• APIクライアントの認証情報(IDとシークレット）
• Syslogサーバー情報(IPアドレス/DNS名＋プロトコル＋ポート）

TLS経由のsyslogの場合、syslogサーバー証明書が必要であることに注意。

情報が手に入ったら、リポジトリをクローンする：

git clonehttps://github.com/vectranetworks/siem-connector.git

編集が必要な設定ファイルは2つある：

• docker-compose.ymlファイルで Vectra テナントの URL と API 認証情報を設定します。

• config.jsonファイルを 使用して、syslogサーバー情報とスケジューラーを設定します。各エンドポイントに対して1分ごとに実行するには、"* * * *" を使用することを推奨します。

最後のステップは、Docker Composeを実行してアプリケーションを起動することだ：

アプリケーションのログは「logs」フォルダから直接アクセスできるので、簡単にアクセスできるようにした：

セットアップおよび一般的なエラーメッセージに関する追加情報は、サポートウェブサイトをご覧ください。

また、以下のリンクからVectra AI Platform Syslog Connector のすべてのリソースを見つけることができます：

• GitHubリポジトリ
• ドキュメント/KB記事
• Docker Hubイメージ
• 課題または強化点