Vectra Investigate: scopri la storia completa dietro ogni minaccia
Nell'attuale ambiente di rete ibrido moderno, il rilevamento da solo non è sufficiente: i team di sicurezza devono comprendere la narrativa completa dietro ogni incidente. Il panorama si è evoluto: gli attacchi moderni non si fermano a un solo vettore o endpoint . Ruotano, aumentano i privilegi, si mimetizzano con comportamenti legittimi e sfruttano la rete, l'identità e cloud sistemi in infrastrutture sempre più complesse.
Tuttavia, informazioni rapide e fruibili rimangono difficili da reperire. I dati sono spesso isolati, frammentati, nascosti dietro strumenti complessi o semplicemente non disponibili, costringendo gli analisti a ricomporre manualmente le informazioni tra i sistemi solo per rispondere a domande basilari: da dove ha avuto origine l'attacco? Cos'altro è stato colpito? Da quanto tempo è attivo?
È qui che entra in gioco Vectra Investigate. Come parte del Vectra AI Grazie alla piattaforma e alla nostra posizione di leadership nel Gartner Magic Quadrant per Network Detection and Response (NDR) , Vectra Investigate integra le nostre rilevazioni AI per fornire metadati completi, unificati e facilmente accessibili per supportare indagini rapide e approfondite e la ricerca delle minacce.
Vectra Investigate si basa su metadati arricchiti provenienti da oltre 25 fonti e più di 300 campi, offrendo fino a 30 giorni di visibilità storica sulla tua rete moderna. Integrando il contesto basato sull'intelligenza artificiale nella telemetria delle minacce, Vectra Investigate aiuta i team di sicurezza a ridurre i rischi, risolvere le minacce, accelerare le indagini e abilitare la ricerca proattiva delle minacce, il tutto dalla stessa console.
Grazie all'accesso intuitivo alle informazioni, tramite indagini senza query, ricerche di esperti e, ora, SQL Search e Ricerche salvate, i team di sicurezza possono andare oltre gli avvisi per rispondere rapidamente a domande critiche. Secondo IDC, "The Business Value of Vectra AI , le organizzazioni che utilizzano Vectra Investigate hanno registrato una riduzione del 50% del tempo dedicato all'indagine sugli avvisi di sicurezza , che si traduce in decisioni più rapide e risposte più efficienti.
I clienti si affidano a Vectra Investigate per:
- Mantenere una visibilità continua sui rischi emergenti come strumenti IT ombra non gestiti (ad esempio DeepSeek) ed esposizioni legacy come cifrari deboli
- Condurre indagini complete sugli incidenti che correlino i segnali NDR ed EDR, non solo allertando, ma scoprendo la portata e l'impatto completi
- Ricerca di minacce di potenza per movimento laterale, convalida della conformità tra regioni e ruoli e risoluzione dei problemi di rete per anomalie nelle prestazioni
- Rispondi alle domande ad alto impatto che portano a decisioni più rapide, a una comprensione più profonda e a risultati più efficaci
Sblocca indagini più rapide e approfondite tramite la ricerca SQL e le ricerche salvate
Con la disponibilità generale di SQL Search in Vectra AI Piattaforma, il tuo team ora ha il potere di scoprire informazioni approfondite dai tuoi metadati su cloud , identità e ambiente di rete. Che si tratti di monitorare l'esfiltrazione di dati, scoprire accessi rari o esporre attività di beaconing stealth, SQL Search offre agli analisti la massima flessibilità per esplorare i segnali di minaccia. Ma sappiamo anche che velocità e accessibilità sono altrettanto importanti. Ecco perché abbiamo creato una libreria di query predefinite . Le ricerche salvate , ovvero ricerche già pronte all'uso, sono progettate da Vectra AI Analisti della sicurezza: per accelerare le tue indagini con un solo clic. Questa libreria verrà aggiornata regolarmente in base alle più recenti ricerche sulle minacce e alle tecniche degli aggressori, garantendo al tuo team un vantaggio sulle minacce emergenti.
Perché questo è importante per il tuo team
- Indagini avanzate semplificate: esegui query complesse e multi-condizione per individuare comportamenti subdoli degli aggressori.
- Conoscenze specialistiche, immediatamente accessibili: le ricerche salvate consentono sia agli analisti junior che a quelli senior di dedicarsi ad indagini approfondite senza dover scrivere una riga di codice SQL.
- Pronti per il futuro : questo è solo l'inizio: presto saranno disponibili anche la ricerca in linguaggio naturale e le guide per la ricerca delle minacce all'interno dei prodotti.
Di seguito sono riportati 6 esempi pratici di ricerca che puoi iniziare a utilizzare oggi stesso dalla scheda Ricerche salvate:
1. Rete: download di file tramite HTTP non protetto
Perché: gli aggressori spesso utilizzano HTTP per distribuire internamente i payload.
Cosa rileva: dispositivi che recuperano tipi di file potenzialmente dannosi tramite HTTP.
SELEZIONA timestamp, orig_hostname, id.orig_h, id.resp_h, host, uri, user_agent,response_body_len DA network.http DOVE metodo != 'HEAD' E (uri LIKE '%.ps1' O uri LIKE '%.exe' O uri LIKE '%.bat' O uri LIKE '%.msi' O uri LIKE '%.vb' O uri LIKE '%.vbs' O uri LIKE '%.dll' O uri LIKE '%.reg' O uri LIKE '%.rgs' O uri LIKE '%.bin' O uri LIKE '%.cmd' O uri LIKE '%.hta' ) E timestamp TRA date_add( 'giorno' , - 7 , now()) E now() LIMITE 100 2. Rete: host che inviano la maggior parte dei dati esternamente
Perché: l'esfiltrazione non è sempre rumorosa: il volume è importante.
Cosa trova: host con il più alto numero di dati in uscita negli ultimi 7 giorni.
SELEZIONA orig_hostname, id.orig_h, sum(orig_ip_bytes) COME "bytes_sent" , resp_domain DA network.isession DOVE local_resp = FALSE E resp_domain NON COME '%microsoft.com' E resp_domain NON COME '%office.com' E timestamp TRA date_add( 'giorno' , - 7 , now()) E now() GRUPPO PER orig_hostname, id.orig_h, resp_domain AVENTE sum(orig_ip_bytes) > 100000000
ORDINA PER "bytes_sent" DESC LIMIT 100 3. Rete: segnalazione di destinazioni rare
Perché: gli impianti mirati spesso comunicano con infrastrutture specifiche di un singolo host.
Cosa trova: destinazioni con comunicazioni ripetute da un solo dispositivo.
SELEZIONA resp_domains, COUNT(DISTINCT id.orig_h) COME "unique_hosts" , SUM(session_count) COME "total_sessions" DA network.beacon DOVE timestamp TRA date_add( 'giorno' , - 7 , now()) E now() GRUPPA PER resp_domains CON COUNT(DISTINCT id.orig_h) = 1 E SUM(session_count) > 20
ORDINA PER "total_sessions" DESC LIMIT 100 4. Query DNS contenente “DeepSeek”
Perché : Rilevare possibile malware o strumenti basati sull'intelligenza artificiale come DeepSeek utilizzati nel tuo ambiente.
Cosa trova: query DNS contenenti riferimenti a "deepseek".
SELEZIONA * DA network.dnsrecordinfo DOVE query COME '%deepseek%' 5. ID Entra: Posizioni di accesso insolite
Perché: modelli di accesso insoliti possono segnalare credenziali compromesse o abusi di accesso.
Cosa rileva: accessi da Paesi raramente o mai visti nel tuo ambiente.
SELEZIONA posizione.paese_o_regione come "posizione" , conteggio(*) come "signins"
DA o365.signins._all DOVE timestamp TRA date_add( 'giorno' , - 7 , now()) E now() RAGGRUPPA PER location.country_or_region ORDINA PER "signins" ASC LIMIT 100 6. AWS: ripetute chiamate API non autorizzate o non riuscite
Perché: i tentativi di forza bruta o l'automazione non configurata correttamente lasciano spesso tracce di errori API.
Cosa rileva: entità che eseguono ripetute chiamate API AWS non riuscite, con contesto di errore completo.
SELEZIONA vectra.entity.resolved_identity.canonical_name, event_name, error_code, COUNT(*) come "failureCount" , MIN(timestamp) come "firstSeen" , MAX(timestamp) come "Ultimo visto"
DA aws.cloudtrail._all DOVE COALESCE(codice_errore, '' ) != ''
GRUPPO PER vectra.entity.resolved_identity.canonical_name, event_name, error_code AVENTI count(*) > 10
ORDINA PER "failureCount" DESC LIMITE 100 Inizia ora
Con Vectra Investigate, il tuo team agisce più velocemente, caccia in modo più intelligente e condivide le conoscenze in modo più efficace, assicurando che le attività sospette non passino inosservate.
Utilizza queste ricerche oggi tramite la tua libreria Ricerche salvate in Vectra AI Piattaforma o guarda questa demo per saperne di più.