Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Vectra AI

Come Vectra AI automaticamente i rilevamenti di rete ai Endpoint

11 dicembre 2025
Dale O'Grady
Ingegnere capo Competitive Intelligence
Come Vectra AI automaticamente i rilevamenti di rete ai Endpoint

Smetti di cercare il "cosa" — vedilo immediatamente

Quando si verificano attività sospette, la prima domanda che ogni analista si pone è: qual è la causa?

Senza la risposta, le indagini si bloccano. Gli analisti passano da una console all'altra, cercano nella endpoint , mettono in relazione i timestamp e ricostruiscono manualmente il contesto. I minuti diventano ore. Nel frattempo, gli aggressori si muovono lateralmente, sottraggono dati o stabiliscono una persistenza.

Questo è il divario tra il rilevamento della rete e endpoint , ed è proprio qui che le minacce ottengono il loro vantaggio.

L'anello mancante tra rete ed Endpoint

Il Network Detection and Response (NDR) eccelle nell'individuare comportamenti sospetti: comando e controllo, ricognizione, movimento laterale, esfiltrazione di dati. Tuttavia, la telemetria di rete da sola non è in grado di indicare quale processo endpoint tale comportamento.

Si trattava di una sessione browser legittima? Di uno script PowerShell? Di un malware nascosto?

Endpoint and Response (EDR) acquisisce i dettagli a livello di processo, ma senza una correlazione con l'attività di rete, gli analisti devono colmare manualmente il divario, cercando in CrowdStrike i processi relativi allo stesso periodo di tempo, nella speranza di identificare il colpevole.

Questa correlazione manuale è lenta, soggetta a errori e insostenibile su larga scala.

Presentazione della correlazione automatica dei processi EDR

La più recente funzionalità Vectra AI, EDR Process Correlation, elimina completamente questo ostacolo investigativo e arricchisce la contestualizzazione.

Ecco come funziona:

Quando Vectra AI un comportamento di rete sospetto, interroga automaticamente la telemetria CrowdStrike per quell'host specifico, analizza l'attività del processo e identifica il processo più probabile che ha attivato il rilevamento.

Il risultato? Risposte immediate e automatiche.

Gli analisti vedono il contesto completo del processo direttamente all'interno del Vectra AI :

Processo probabile
MicrosoftEdgeUpdate.exe

Ora di creazione del processo
2025-11-29T03:58:42Z

Riga di comando
"C:\ProgramData\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" --connect vault-tech.org:443 --interval 300 --retry infinite

SHA256
c7e9a4b2f8d6c5e3a1f7d9b4c2e8a6f5d3b1c9e7a5f3d1b8c6e4a2f9d7b5c3e1

Percorso file
\Device\HarddiskVolume2\ProgramData\Microsoft\EdgeUpdate\

Nome account
NT AUTHORITY\SYSTEM

Processo padre
services.exe (PID: 668)

In pochi secondi, l'analista ha il quadro completo della situazione: 

  • Cosa è stato eseguito: un meccanismo di persistenza mascherato che imita il programma di aggiornamento di Microsoft Edge.
  • Quando è stato eseguito: timestamp esatto della creazione del processo per la correlazione della timeline
  • Cosa ha fatto: la riga di comando espone il dominio C2 (vault-tech.org), intervallo di beacon di 5 minuti e tentativi di riprova infiniti.
  • Dove si trova: nascosto in un percorso di cartella Microsoft dall'aspetto legittimo
  • Chi lo ha eseguito: account SYSTEM - privilegi massimi per persistenza e movimento laterale
  • Cosa lo ha generato: services.exe indica che questo malware si malware come servizio Windows.
  • Informazioni sulle minacce: hash SHA256 pronto per controlli immediati sulla reputazione e correlazione dei feed sulle minacce

A prima vista, sembra un normale software Microsoft. Ma la riga di comando rivela la verità: si tratta di un beacon C2 persistente con privilegi di SISTEMA, che effettua un check-in ogni 5 minuti, camuffato da aggiornamento legittimo.

Quella riga di comando da sola converte il "traffico di rete potenzialmente sospetto" in "minaccia persistente confermata che richiede un contenimento immediato". È un'informazione preziosa per le indagini, fornita automaticamente.

Inoltre, con un solo clic su CrowdStrike, gli analisti possono accedere direttamente all'albero completo dei processi e alla cronologia forense quando è necessaria un'indagine più approfondita.

Nessuna ricerca manuale. Nessun cambio di console. Nessuna congettura.

Da ore a secondi: impatto reale per i team SOC

Prima della correlazione dei processi EDR:

  1. L'analista riceve il rilevamento Vectra AI
  1. Identifica l'host interessato
  1. Apre la console CrowdStrike
  1. Ricerche di processi relativi al periodo di rilevamento
  1. Correlazione dei timestamp di rete con l'attività dei processi
  1. Convalida quale processo è responsabile
  1. Tempo medio: 15-30 minuti per rilevamento

Con la correlazione dei processi EDR:

  1. L'analista riceve Vectra AI con il processo già identificato
  1. Recensioni arricchite con contesto in linea
  1. Si collega direttamente a CrowdStrike se è necessaria un'indagine più approfondita
  1. Tempo medio: 30-60 secondi

Si tratta di una riduzione del 95% dei tempi di indagine, che si somma a ogni rilevamento, ogni giorno.

Oltre i singoli processi: dal rilevamento alla ricerca a livello aziendale

La correlazione dei processi EDR non si limita a identificare il processo probabile, ma fornisce un flusso di lavoro completo per le indagini, dalla valutazione iniziale alla ricerca delle minacce a livello aziendale.

Contesto immediato: Mostra altri processi

Con un clic su Mostra altri processi, gli analisti possono visualizzare tutte le attività di processo durante la finestra di rilevamento. In questo esempio, l'analisi dell'elenco dei processi rivela l'intera progressione dell'attacco:

  1. msedge.exe - Accesso iniziale tramite phishing
  1. curl.exe - Ricognizione: curl.exe -I https://vault-tech.org --connect-timeout 5
    L'autore dell'attacco verifica la raggiungibilità del C2 prima di impegnarsi nella persistenza: una richiesta HEAD con timeout di connessione indica una sicurezza operativa cauta.
  1. certutil.exe - Convalida SSL per verificare l'infrastruttura C2
    Anziché il tipico abuso per il download di file, in questo caso certutil verifica la catena di certificati C2, assicurando che il tunnel crittografato non generi avvisi SSL o errori di affidabilità che potrebbero allertare gli utenti o gli strumenti di sicurezza.
  1. MicrosoftEdgeUpdate.exe - Tunnel C2 persistente con beacon ogni 5 minuti
    Solo dopo aver verificato la raggiungibilità dell'infrastruttura e la validità dell'SSL, l'autore dell'attacco installa l'impianto di beaconing con intervalli di 5 minuti.

Indagine approfondita sull'host: CrowdStrike Pivot con un solo clic

Dalla stessa interfaccia, Investigate Host in CrowdStrike si apre direttamente nella cronologia completa dell'host all'interno di Falcon. Gli analisti possono estendere istantaneamente l'intervallo di tempo per visualizzare i processi prima o dopo la finestra di rilevamento, senza ricerche manuali dell'host, senza ricerche AID, ma solo con accesso immediato al contesto completo dell'host.

Questo è fondamentale per comprendere l'intero quadro: c'è stata una ricognizione nei giorni precedenti? L'aggressore è tornato con strumenti diversi? La cronologia è proprio lì.

Ricerca a livello aziendale: query predefinita sulle informazioni relative alle minacce

La vera potenza emerge con Run Query in CrowdStrike, che genera una sofisticata query Falcon NGSIEM precompilata con tutti gli indicatori rilevanti:

  • Indirizzi IP remoti
  • Hash SHA256
  • Modelli della riga di comando
  • Caratteristiche di esecuzione del processo
  • Dettagli sulla connessione di rete

Un analista molto esperto impiegherebbe dai 10 ai 15 minuti per costruire manualmente questa query. Vectra AI la Vectra AI istantaneamente, pronta per essere eseguita nell'intero ambiente.

Esempio di utilizzo: la query è limitata a questo host per impostazione predefinita, ma con una modifica (rimuovendo il filtro host) gli analisti possono immediatamente cercare:

  • Qualsiasi altro endpoint che si connette a vault-tech.org
  • Qualsiasi altro sistema che esegue lo stesso hash dannoso
  • Modelli simili di righe di comando che indicano campagne correlate

Questo trasforma in pochi secondi un rilevamento su un singolo host in informazioni sulle minacce a livello aziendale.

Ciò è particolarmente efficace quando NDR rileva attività che EDR non ha segnalato. L'autore dell'attacco è riuscito a mimetizzarsi a livello di processo, ma il comportamento della rete lo ha smascherato. EDR Process Correlation colma immediatamente questa lacuna, mostrando non solo ciò che è accaduto, ma anche l'intera progressione dell'attacco.

Guarda questo esempio in azione:

Progettato per indagini nel mondo reale

Grazie alla correlazione intelligente dei timestamp e alla corrispondenza probabilistica dei processi, Vectra AI Process Correlation gestisce automaticamente la complessità degli endpoint moderni:

  • Ambienti multiprocesso: identifica il processo corretto anche quando ne sono in esecuzione decine contemporaneamente.
  • Catene di processi figlio: consente di risalire alle attività attraverso le relazioni padre-figlio.
  • Processi di breve durata: acquisisce il contesto anche per i processi che vengono eseguiti e terminati rapidamente.
  • Traffico crittografato: correla il comportamento della rete con i processi anche quando non è possibile ispezionare il payload.

Questa intelligenza consente di prendere decisioni più rapide e sicure nell'intero flusso di lavoro della sicurezza.

Visibilità completa, risposta unificata

La correlazione dei processi EDR fa parte dell'integrazione completa Vectra AI con CrowdStrike, garantendo una visione completa delle minacce:

  1. Contestualizzazione delle risorse: gli endpoint gestiti da CrowdStrike vengono identificati automaticamente in Vectra AI sistema operativo, ID sensore e dettagli dell'ultimo avvistamento.
  1. Correlazione dei processi EDR: la telemetria dei processi viene automaticamente correlata con i rilevamenti di rete.
  1. Risposta automatizzata — Vectra AI attivare azioni di contenimento dell'host tramite l'API di CrowdStrike.

Insieme, queste funzionalità creano una difesa unificata che vede l'intero scenario dell'attacco, dall'esecuzione iniziale del processo alla propagazione nella rete, senza alcun intervento manuale.

Perché è importante adesso

Gli aggressori combinano sempre più spesso endpoint con movimenti di rete per eludere il rilevamento. Malware su un endpoint rimane lì: invia segnali ai server C2, si sposta lateralmente ed esfiltra i dati attraverso la rete.

Le tue difese devono muoversi con la stessa fluidità.

Collegando automaticamente il contesto endpoint alle rilevazioni di rete, Vectra AI CrowdStrike espongono istantaneamente l'intera catena di attacco. Gli analisti ottengono una visibilità completa su tutti i domini sin dal primo avviso, senza deviazioni, ritardi o punti ciechi.

Vedi la correlazione dei processi EDR in azione

Guarda come Vectra AI identifica Vectra AI il processo di avvio per i rilevamenti di rete e consente un'indagine con un solo clic in CrowdStrike.

Sei pronto ad accelerare le tue indagini sulle minacce?

Scopri di più sull'integrazione Vectra AI con CrowdStrike e su come la correlazione dei processi EDR fornisce un contesto immediato per una risposta più rapida e sicura.

[Esplora l'integrazione →]  

Domande frequenti