Qualche mese fa, ho scritto della nuova funzione di risposta automatica della Cognito Platform:Account Lockdown. Integrandosi con un provider di identificazione (IdP) come Active Directory e sfruttando le nostre capacità di rilevamento AI di livello mondiale, Account Lockdown può disabilitare automaticamente gli account di rete che dimostrano attività sospette.
Gli analisti hanno anche la possibilità di disabilitare manualmente gli account durante un'indagine di sicurezza. La disabilitazione di un account può rallentare in modo significativo un attacco attivo, limitando l'accesso a risorse aggiuntive. Questo limita il raggio d'azione dell'attacco e dà al SOC più tempo per indagare e bloccare l'attacco. Sebbene questa soluzione sia stata accolta incredibilmente bene dai nostri clienti, soprattutto se configurata per attivarsi automaticamente in base a soglie di punteggio ad alta fedeltà, ovvero minaccia, certezza e privilegi osservati, sapevamo che il nostro lavoro non era ancora finito.
Per un'applicazione immediata e precisa, è necessario andare direttamente alla fonte dell'attacco e bloccare l'endpoint stesso.
La nostra integrazione con Microsoft Defender for Endpoint fa proprio questo. Oltre ad arricchire gli host Detect con dati contestuali endpoint , gli analisti della sicurezza possono ora eseguire l'Host Lockdown sugli host Microsoft Defender ATP, direttamente dall'interfaccia utente di Cognito Detect. Come l'Account Lockdown di Vectra, l'Host Lockdown può essere eseguito manualmente da un analista con un semplice clic o configurato per l'attivazione automatica dell'applicazione in base alle soglie di valutazione delle minacce, della certezza e dei privilegi osservati dell'host.
Con le azioni di applicazione attiva automatizzata, le organizzazioni devono sempre bilanciare i rischi. Da un lato, un'applicazione troppo zelante di avvisi errati può causare interruzioni diffuse, interrompere le operazioni e, in alcuni casi, creare più danni di alcuni attacchi reali. Dall'altro lato, non agire potrebbe consentire agli aggressori di prendere piede nell'ambiente di rete.
Con Vectra Host Lockdown, sfruttiamo i nostri migliori rilevamenti AI basati sul comportamento del settore con l'applicazione precisa di Microsoft Defender for Endpoint. In questo modo si ottiene essenzialmente il meglio dei due mondi. È un ottimo modo per garantire che l'automazione provochi il minor numero possibile di interruzioni, offrendo al contempo una maggiore sicurezza che gli aggressori vengano fermati sul nascere.
Per saperne di più su Host Lockdown e sulla nostra integrazione con Microsoft Defender for Endpoint. Ho anche creato un video che mostra come i nostri prodotti lavorano insieme. E come sempre, non esitate a contattarci per saperne di più o per programmare una demo.