Qualche mese fa ho scritto della nuova funzione di risposta automatica della piattaforma Cognito:Vectra Account Lockdown. Integrandosi con un provider di identità (IdP) come Active Directory e sfruttando le nostre capacità di rilevamento AI di livello mondiale, Account Lockdown è in grado di disabilitare automaticamente gli account di rete che mostrano attività sospette.
Gli analisti hanno anche la possibilità di disattivare manualmente gli account durante un'indagine di sicurezza. La disattivazione di un account può rallentare significativamente un attacco attivo limitando l'accesso a risorse aggiuntive. Ciò limita il raggio d'azione dell'attacco e concede al SOC più tempo per indagare e fermare l'attacco. E sebbene questa funzione sia stata accolta con grande favore dai nostri clienti, soprattutto quando configurata per attivarsi automaticamente al raggiungimento di soglie di punteggio ad alta fedeltà (ovvero minaccia, certezza e privilegio osservato), sapevamo che il nostro lavoro non era finito.
Per un'applicazione immediata e precisa, è necessario andare direttamente alla fonte dell'attacco e bloccare endpoint .
La nostra integrazione con Microsoft Defender for Endpoint proprio questo. Oltre ad arricchire gli host Detect con endpoint contestuali endpoint , gli analisti della sicurezza possono ora eseguire il blocco degli host su Microsoft Defender ATP, direttamente dall'interfaccia utente di Cognito Detect. Come il blocco dell'account Vectra, il blocco degli host può essere eseguito manualmente da un analista con un clic o configurato per l'attivazione automatica in base alle soglie di punteggio relative alle minacce, alla certezza e ai privilegi osservati.
Con le azioni di applicazione automatizzate, le organizzazioni devono sempre bilanciare i rischi. Da un lato, un'applicazione eccessivamente zelante dei falsi allarmi causerà interruzioni diffuse, interromperà le operazioni e, in alcuni casi, creerà più danni di alcuni attacchi reali. Dall'altro lato, non agire potrebbe consentire agli aggressori di ottenere un punto d'appoggio più forte nel vostro ambiente di rete.
Con Vectra Host Lockdown, sfruttiamo i nostri sistemi di rilevamento basati sull'intelligenza artificiale comportamentale, i migliori del settore, con le misure di applicazione precise offerte da Microsoft Defender per Endpoint. In sostanza, questo ti offre il meglio di entrambi i mondi. È un ottimo modo per garantire che l'automazione causi il minor numero possibile di interruzioni, offrendoti al contempo una maggiore sicurezza che gli aggressori vengano bloccati sul nascere.
Scopri di più su Host Lockdown e sulla nostra integrazione con Microsoft Defender for Endpoint. Ho anche creato un video che mostra come funzionano i nostri prodotti insieme. Come sempre, non esitare a contattarci per ulteriori informazioni o per fissare una demo.