Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso

Nuove funzionalità di rilevamento e risposta estesi (XDR) recentemente aggiunte alla Vectra AI

14 marzo 2024
Mark Wojtasiak
Vicepresidente Ricerca e Strategia di Prodotto
Nuove funzionalità di rilevamento e risposta estesi (XDR) recentemente aggiunte alla Vectra AI

Sei mesi fa abbiamo lanciato la Vectra AI con la promessa di fornire ai nostri clienti il segnale integrato che alimenta il loro XDR. A sei mesi dall'inizio del nostro percorso con la piattaforma di rilevamento e risposta estesa (XDR), abbiamo compiuto progressi straordinari grazie all'aiuto dei nostri clienti, che continuano a spingerci a fornire loro metodi innovativi per aiutarli...

  • Sviluppare la resilienza alla sofisticazione in continua evoluzione e sempre più avanzata degli attacchi ibridi.
  • Modernizza le operazioni di sicurezza con l'intelligenza artificiale e l'apprendimento automatico senza dover ricominciare da zero.  
  • Muoviti alla stessa velocità e con la stessa portata degli aggressori e fermali prima che possano progredire.  

Elementi fondamentali della nostra piattaforma XDR: copertura, chiarezza e controllo

La copertura consiste nell'integrare i segnali di attacco su tutta la superficie di attacco ibrida, sfruttando sia i rilevamenti nativi basati sull'intelligenza artificiale per i data center ele reti cloud (NDR), sia quelli relativi all'identità (ITDR), cloud pubblico e al SaaS (CDR). Nel 2024 aggiungeremo rilevamenti di terze parti per endpoint (EDR), e-mail, informazioni sulle minacce e firme (Suricata).  

La chiarezza deriva dalla nostra Attack Signal IntelligenceTM basata Attack Signal Intelligence un motore di prioritizzazione cloud dall'intelligenza artificiale per rispondere a due semplici domande: è reale e mi interessa? La combinazione del profilo dell'attacco (è reale) e dell'importanza dell'entità (mi interessa) dà come risultato quello che chiamiamo punteggio di urgenza dell'attacco. Più alto è il punteggio di urgenza, più è importante che l'analista SOC dia seguito alla questione.  

Il controllo consiste nel consentire agli analisti della sicurezza di indagare e rispondere a un attacco il più presto e rapidamente possibile. Si tratta di fornire agli analisti tutto il contesto necessario su un attacco ibrido in un'unica console e di consentire loro di intraprendere azioni di risposta flessibili che possono essere eseguite manualmente o automaticamente in qualsiasi fase della progressione dell'attacco.

Rimanendo fedeli ai nostri clienti e ai pilastri della nostra piattaforma, nei sei mesi scorsi i nostri team di prodotto e di ingegneria hanno lavorato intensamente per introdurre sul mercato miglioramenti alla piattaforma e nuove funzionalità. Ecco una panoramica:

Annunci importanti:

  • Vectra AI il primo servizio MXDR globale, attivo 24 ore su 24, 7 giorni su 7, progettato per difendere dagli attacchi ibridi. Con Vectra MXDR, le aziende possono consolidare ogni aspetto del rilevamento e della risposta alle minacce estese in un unico servizio unificato, eliminando la necessità di ricorrere a più fornitori. L'integrazione con le piattaforme EDR leader del settore, tra cui CrowdStrike, SentinelOne e Microsoft Defender, consente agli analisti MXDR Vectra AIdi monitorare lo stato di salute dell'intero sistema di sicurezza e di intervenire direttamente indipendentemente da dove viene generato il segnale. Per saperne di più.  
  • Vectra AI Gigamon annunciano una nuova partnership OEM per fornire rilevamento e risposta estesi intelligenti (XDR) in cloud ibridi. Vectra AI la potenza della sua Attack Signal Intelligence basata sull'intelligenza artificiale Attack Signal Intelligence le profonde capacità di osservabilità della Gigamon GigaVUE Cloud per rilevare e rispondere in modo efficace a minacce precedentemente invisibili utilizzando informazioni e approfondimenti cloud . Per saperne di più.

Copertura di rilevamento e chiarezza del segnale

Il nostro principio fondamentale: creare e integrare una copertura di rilevamento completa su tutte le superfici di attacco ibride per fornire il segnale di attacco ibrido più accurato in termini di velocità e portata. Di seguito è riportato un riepilogo delle nuove coperture di rilevamento aggiunte e migliorate negli ultimi sei mesi, che potenziano ulteriormente il nostro segnale XDR.  

  • Nuova copertura di rilevamento - Kerberoasting: risposta mirata con cifratura debole: oltre ai due Kerberoasting esistenti per il downgrade della cifratura debole e lo SPN Sweep, Vectra AI introdotto un nuovo Kerberoasting per i casi in cui un aggressore tenti di eseguire un Kerberoasting silenzioso con un singolo tentativo di cifratura debole contro un servizio con privilegi elevati. Inoltre, abbiamo aggiunto la possibilità di configurare regole di triage per questo rilevamento.  
  • Nuova copertura di rilevamento - Informazioni: risposta con cifratura debole singola:simile al nuovo rilevamento di risposta con cifratura debole Kerberoasting , ma progettato per rilevare quando Kerberoasting non è privilegiato e quindi è necessario prendere in considerazione un'ulteriore revisione da parte di un analista, poiché potrebbe trattarsi di un'attività benigna a seconda dell'ambiente. Inoltre, abbiamo aggiunto la possibilità di configurare regole di triage per questo rilevamento.  
  • Nuova copertura di rilevamento per i database relazionali AWS (RDS): con questo miglioramento, Vectra AI la copertura relativa all'uso improprio dei database relazionali in AWS che contengono informazioni sensibili. Il rilevamento AWS Suspect Public RDS Change è il primo di una serie di rilevamenti relativi a RDS e copre i metodi che un aggressore potrebbe utilizzare per sottrarre backup (istantanee) dei database RDS. Il rilevamento tempestivo di questo comportamento può frenare la sottrazione e le fasi di impatto di un cloud AWS.
  • Nuova copertura di rilevamento per identificare il mirroring del traffico AWS dannoso: Vectra AI una copertura per individuare comportamenti dannosi quali l'impostazione di un mirroring del traffico per intercettare informazioni sensibili come le credenziali. Il nuovo rilevamento AWS Suspect Traffic Mirror Creation copre i metodi che un aggressore può sfruttare per creare un'istanza EC2 come destinazione del traffico mirrorato. La rilevazione dei comportamenti relativi al mirroring del traffico all'interno dei VPC, dove il traffico è solitamente non crittografato, consente ai SecOps di impedire agli avversari di progredire verso il loro obiettivo di impatto.
  • Nuova copertura per Amazon Machine Images (AMI): con questo miglioramento, Vectra AI una copertura per bloccare l'esfiltrazione dannosa di Amazon Machine Images (AMI). Queste immagini sono modelli che contengono informazioni preziose e possono essere utilizzati per avviare istanze EC2 al fine di estrarre dati sensibili. Il nuovo rilevamento AWS Suspect Public AMI Change copre i metodi che un aggressore potrebbe utilizzare per sottrarre queste AMI. Il rilevamento tempestivo di questo comportamento può frenare la sottrazione e le fasi di impatto di un cloud AWS.
  • Nuova copertura di rilevamento per AWS Organizations: AWS Organizations è un servizio di conformità che consente di implementare misure di protezione e gestione centralizzata per tutti gli account membri all'interno di un'organizzazione. Una tattica comunemente utilizzata dagli aggressori consiste nel rimuovere un account compromesso dall'organizzazione associata per aggirare tali misure di protezione. Il nuovo rilevamento AWS Suspect Organization Exit mette in evidenza questo comportamento, consentendo a SecOps di contrastare i tentativi di aggirare le difese.
  • Triage avanzato per gruppo di account: per aiutare i nostri clienti a gestire in modo efficace il carico di lavoro relativo al rilevamento, abbiamo aggiunto il supporto per il triage per gruppo di account alla nostra funzionalità di triage basata sull'intelligenza artificiale. Ora i clienti possono specificare gruppi di account ed eseguire automaticamente il triage dei rilevamenti rispetto a qualsiasi membro di tali gruppi, semplificando così l'esperienza degli analisti. Ad esempio, creando un gruppo di account per i tuoi amministratori IT e specificando i comportamenti amministrativi previsti, puoi gestire facilmente l'aggiunta di nuovi amministratori IT attraverso questi gruppi di account.
  • Copertura di rilevamento migliorata – M365: il rilevamento della disabilitazione degli strumenti di sicurezza M365 e delle operazioni Exchange rischiose M365 è stato migliorato per coprire una gamma più ampia di attività degli aggressori. Questi miglioramenti includono tecniche quali il rilevamento dei downgrade delle licenze, l'accesso a PowerShell, le regole di inoltro delle e-mail e l'usurpazione dell'identità degli utenti.
  • Copertura di rilevamento migliorata per le tecniche di escalation dei privilegi: è stata aggiunta la copertura per nuovi metodi di escalation dei privilegi. Nello specifico, le tecniche coperte dal rilevamento AWS Suspect Privilege Escalation sono state ampliate per includere i metodi utilizzati dagli avversari per escalare le autorizzazioni non solo utilizzando le policy, ma anche i servizi AWS come le istanze EC2. Questi miglioramenti consentono il rilevamento di metodi presenti in strumenti di attacco come CloudGoat.
  • Copertura di rilevamento migliorata per le tecniche di elusione della difesa della registrazione: è stata ampliata la copertura per i metodi degli aggressori che comportano la compromissione della registrazione. Il rilevamento AWS CloudTrail Logging Disabled è stato migliorato per identificare gli avversari che utilizzano Event Selectors o regole S3 Lifecycle per compromettere la registrazione. Si tratta di una tecnica utilizzata da strumenti di attacco diffusi come Stratus red team che consente agli aggressori di evitare il rilevamento mentre si avvicinano agli stati di impatto.
  • Copertura di rilevamento migliorata per la persistenza amministrativa: è stata ampliata la copertura per gli aggressori che aggiungono persistenza amministrativa ai tenant Microsoft Azure AD. Nello specifico, sono state migliorate le funzionalità Creazione account amministrativo Microsoft Azure AD, Account amministrativo Azure AD appena creato e Accesso ridondante Azure AD per avvisare in caso di creazione di account con o a cui sono stati concessi ulteriori tipi di autorizzazioni amministrative.
  • Copertura di rilevamento migliorata per Microsoft Azure AD: il tempo necessario per il rilevamento è stato ulteriormente ridotto per gli avvisi in tempo reale di Microsoft Azure AD relativi all'accesso iniziale all'account Microsoft Azure AD da parte di un utente malintenzionato. Nello specifico, i miglioramenti apportati agli algoritmi per il rilevamento di accessi sospetti ad Azure AD, accessi sospetti ad Azure AD con autenticazione multifattoriale non riuscita e accessi compromessi ad Azure AD hanno consentito una segnalazione più rapida delle minacce senza influire sulla copertura.

Controllo delle indagini e delle risposte

  • Integrazione SIEM/SOAR migliorata per le firme Match di Vectra Match : quando l'opzione "Includi dettagli avanzati" è configurata per Match di Vectra Match , ora includiamo ulteriori informazioni Vectra AI negli Match di Vectra Match inviati a SIEM/SOAR. Questi campi includono preziosi campi HostID e informazioni sui sensori che sono inclusi nei tradizionali Vectra AI e metadati Vectra AI e utili per condurre più facilmente i flussi di lavoro di indagine. Se desideri disattivare questo arricchimento, puoi farlo disabilitando l'opzione "Dettagli avanzati inclusi" nella configurazione Syslog per la rispettiva destinazione.
  • Indagini istantanee avanzate per attacchi ibridi: questo miglioramento offre una visione più completa e dettagliata degli attacchi ibridi aggiungendo metadati per le chiamate RPC, l'accesso SMB e le attività dei servizi per gli account di rete. Nei casi in cui lo stesso autore della minaccia disponga sia di account Microsoft Azure AD che Microsoft 365, colleghiamo questi account e forniamo metadati per le attività tra i domini.  
  • Conservazione estesa dei metadati per indagini avanzate: grazie a questo miglioramento, gli utenti hanno la possibilità di selezionare periodi di ricerca fino a 14 o 30 giorni, a seconda del piano di abbonamento. È importante notare che questo periodo di conservazione esteso dei metadati si applica in modo uniforme a tutte le origini dati abilitate su un tenant, inclusi Network, Azure AD, M365 e altri. Il periodo di ricerca esteso dei metadati è esclusivo di Advanced Investigation e non si applica a Instant Investigation.
  • Aggiunto supporto Multi-AD: abbiamo aggiunto il supporto per l'integrazione con più di un server Active Directory per l'arricchimento del contesto host e account e il blocco Active Directory dell'account. I dettagli dell'host e dell'account ora visualizzano il contesto da più AD e il blocco di un account disabiliterà tale account su più AD.
  • Aggiunte opzioni di configurazione personalizzate di Active Directory: nei casi in cui l'attributo UserAccountControl di Active Directory non sia disponibile per eseguire il blocco dell'account, Vectra AI hanno ora la possibilità di utilizzare l'attributo AccountExpires per bloccare gli account di rete. È inoltre possibile utilizzare l'attributo Info per inviare ulteriori informazioni, come il numero dell'incidente, ad Active Directory quando si esegue un blocco di Active Directory su un account.

Per ulteriori informazioni sulla Vectra AI , consulta queste risorse:

Pagina webVectra AI

TourVectra AI

Domande frequenti