ストライカー社のインシデントから見えてくるHandalaの攻撃手法
ブログを読む

ストライカー社のインシデントから見えてくるHandalaの攻撃手法。ブログを読む →

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコンのボトムライン
  1. ブログ
    >
  2. プラットフォーム

Vectra AI プラットフォーム Syslog Connector: SIEMのためのAttack Signal Intelligence

12月7,2023
Fabien Guillot
Vectra AI テクニカルマーケティングディレクター
Vectra AI プラットフォーム Syslog Connector: SIEMのためのAttack Signal Intelligence

Vectra AI、健全な顧客フィードバックの流れを通じて、主要な製品要件と必要性を理解するため、お客様と継続的に連携しています。特定された主要要件の一つが、Vectra AI統合攻撃シグナルである Attack Signal IntelligenceTMを顧客のSIEM環境に統合する機能です。これにより、ソリューションを既存のSOCプロセスに組み込み運用化できます。これは顧客が導入から最大の価値を得るための鍵であり、当社があらゆる技術環境でシグナルを取り込めるよう多大な投資を行う理由でもあります。  

過去1年間で、当社は数多くのエンドツーエンド技術統合をリリースし、お客様Vectra AIの統合シグナルをSIEM導入環境に組み込むことを可能にしています。具体的には以下の通りです。

まだまだありますが、syslog互換のSIEMやデータレイクと連携できるターンキーソリューションの必要性を理解しています。

そのため、本日、Vectra AI Syslog Connectorのリリースを発表できることを嬉しく思います。このコネクタはAPIを使用して全てのイベントを収集し、任意のsyslogサーバーへ送信します。本ソリューションはターンキー方式で、スケーラブル、ポータブル、そして信頼性を備えるよう開発されました。

具体的には、Vectra AI プラットフォーム Syslog Connectorは、これを支援するために設計された:

  • APIをポーリングすることで、Vectra AI プラットフォームからすべてのイベントを収集します(検出、スコアリング、監査)。
  • syslogプロトコル(RFC 5234)に準拠したイベントの保存と変換。
  • syslogサーバーにイベントを送信する(TCP、UDP、TLS)。

事実、私たちは、テクノロジーが常に進化し続ける世界に住んでいます。それに伴い、新しいロギングと監視、そして新しいクラウドテクノロジーの絶え間ない流れが生まれます。それにもかかわらず、syslogは、そのシンプルさと多用途性のために、多くの環境で重要な役割をまだ果たしています。syslogは、これからもずっと基本的なプロトコルであり続けるでしょう。  

Vectra AI Syslogコネクタアーキテクチャ

ポータブルで便利なように、WindowsやLinux環境で実行できるコンテナ化されたソリューションを選択した。

コンテナ・ソリューションのハイライトをいくつか紹介しよう:

  • ポータブル (各コンテナ内でのバージョンと依存関係の管理)。
  • Docker Composeとフラット設定ファイルによる「簡単ボタン」。
  • RabbitMQによる堅牢なスケーリングとキューイングソリューション。
  • データ回復力のためのローカル・ディスク・バッファ。
  • Docker Hub(Vectraアプリ)でコンテナをプリビルドする。

私たちはこのプロジェクトをオープンソースとしてGitHubアカウントに公開しました。

どうやって始める?

まず、DockerとDocker Composeがインストールされたシステムが必要だ。Docker Composeは必須ではないが、セットアップが非常に簡単になるので強く推奨する。次に、設定の観点から、以下のものが必要です:

  • Vectra AI プラットフォームのベースURL
  • APIクライアントの認証情報(IDとシークレット)
  • Syslogサーバー情報(IPアドレス/DNS名+プロトコル+ポート)

TLS経由のsyslogの場合、syslogサーバー証明書が必要であることに注意。

情報が手に入ったら、リポジトリをクローンする:

git clonehttps://github.com/vectranetworks/siem-connector.git

編集が必要な設定ファイルは2つある:

  • docker-compose.ymlファイルでVectra テナントの URL と API 認証情報を設定します。
  • config.jsonファイルを 使用して、syslogサーバー情報とスケジューラーを設定します。各エンドポイントに対して1分ごとに実行するには、"* * * *" を使用することを推奨します。

最後のステップは、Docker Composeを実行してアプリケーションを起動することだ:

アプリケーションのログは「logs」フォルダから直接アクセスできるので、簡単にアクセスできるようにした:

セットアップおよび一般的なエラーメッセージに関する追加情報は、サポートウェブサイトをご覧ください。

また、以下のリンクからVectra AI プラットフォーム Syslog Connector のすべてのリソースを見つけることができます:

よくある質問 (FAQ)