I nostri clienti si affidano a Vectra AI per rilevare, indagare e rispondere agli attacchi alla velocità e alla scala degli aggressori ibridi. Tuttavia, anche con capacità di rilevamento avanzate, i nostri utenti spesso desiderano comprendere gli avvisi che ricevono e il contesto dei rilevamenti. Queste informazioni aggiuntive vengono utilizzate per contestualizzare i risultati e rispondere a domande cruciali come l'identità degli attori coinvolti, se l'attività è dannosa o legittima, dove si sta verificando l'attività e se gli attori persistono altrove.
Comprendere il flusso di lavoro investigativo: Quando e come l'Vectra AI viene in soccorso
Nell'ambito della nostra ricerca UX in corso, abbiamo notato che i team SOC di solito indagano quando ricevono un rilevamento che non comprendono appieno, quando le informazioni mancano o non vengono analizzate correttamente. Quando gli analisti si imbattono in un rilevamento, l'indagine diventa importante come modo per raccogliere ulteriori informazioni per comprendere gli indicatori di compromissione o ciò che l'attore ha fatto nelle ultime ore, in modo da poter individuare e confrontare il comportamento normale con quello dannoso. Queste informazioni sono essenziali per dimostrare cosa è successo, costruire prove e avere un contesto sufficiente per agire.
"Il nostro primo passo è capire chi è l'attore e la legittimità dell'attività".
- Ricerca sui casi d'uso, risposta di più utenti
In caso di attacco malevolo, la risposta degli analisti SOC diventa una critica corsa contro il tempo. In un breve lasso di tempo, gli analisti devono valutare rapidamente le circostanze, determinare la legittimità dell'attività, identificare gli attori coinvolti e isolare i sistemi compromessi.
Attraverso le ricerche e le numerose conversazioni approfondite con i clienti, è chiaro che troppo spesso le indagini possono essere lunghe e complesse: gli analisti SOC devono spesso passare da uno strumento all'altro per trovare informazioni cruciali e creare una comprensione coerente degli eventi, dovendo imparare linguaggi di interrogazione complessi per interrogare i dati. Agire rapidamente diventa fondamentale quando è necessario rispondere a potenziali attività dannose. Per questo motivo, avere un facile accesso ai dati rilevanti è estremamente importante in queste situazioni.
Ecco perché Vectra AI ha iniziato a creare strumenti per facilitare il flusso di lavoro degli analisti SOC , raccogliendo senza problemi i dati provenienti da fonti cloud e di rete e consolidandoli all'interno di un'unica piattaforma facilmente accessibile - che consente di svolgere indagini senza sforzo in qualsiasi momento.
Indagini semplificate: Introduzione dell'accesso istantaneo con la piattaforma Vectra AI
Per aiutare i team SOC a indagare il più rapidamente possibile su schemi e potenziali comportamenti dannosi, la Vectra AI Platform include una serie di query predefinite direttamente nella pagina delle entità. Ciò consente agli analisti di ottenere una rapida comprensione delle attività di un attore e di avere a portata di mano i dati più preziosi.
Instant Investigation offre agli utenti una raccolta curata di query contenenti i dati più pertinenti e aggregati. Queste query sono facilmente accessibili nell'ambito di un'entità, facilitando il confronto tra i rilevamenti attivati dall'attore e il suo comportamento tipico, eliminando la necessità di imparare un nuovo linguaggio, di dedicare tempo alla creazione di query o di andare a caccia di informazioni rilevanti. In questo modo gli analisti hanno a disposizione le informazioni più importanti.
Queste query riflettono l'esperienza combinata dei nostri professionisti per quanto riguarda i dati primari da analizzare a fronte di vari rilevamenti, guidando al contempo gli utenti ad approfondire le attività che dovrebbero essere prioritarie per un'indagine completa in risposta a potenziali minacce alla sicurezza.
Migliorare l'analisi: Presentati gli strumenti di indagine avanzata di Vectra AI
Indagini avanzate per approfondimenti completi
Se i dati presentati in Instant Investigation sono insufficienti o se ci sono indicazioni di potenziali attività dannose, gli utenti possono passare senza problemi a un'indagine più avanzata e iniziare immediatamente ad analizzare i dati grazie a una raccolta curata di colonne predefinite realizzate dai nostri esperti che includono le informazioni più rilevanti.
Migliorare la comprensione con la ricerca aziendale
La funzione di ricerca aziendale di Vectra AI, costruita sulla base di Vectra AI Attack Signal IntelligenceTM, arricchisce la comprensione degli avvisi ricevuti da parte degli utenti, aggiungendo un nuovo livello di dettaglio e di contesto. I nostri clienti possono ora indagare efficacemente sugli incidenti direttamente all'interno dell'interfaccia utente di Vectra, eliminando la necessità di uscire dalla piattaforma per trovare le risposte che cercano.
Interazione flessibile con i dati
Questa funzione avanzata presenta una vista completa e non aggregata dei dati in un formato completo. Gli utenti possono interagire facilmente con i dati manipolando la vista tabellare, aggiungendo colonne, creando filtri personalizzati ed estendendo l'intervallo di tempo. Queste funzionalità consentono di ricercare in modo proattivo altre informazioni pertinenti e di approfondire le indagini, se necessario.
Creazione di query facili da usare
Durante i test di usabilità dei nostri nuovi strumenti di indagine, abbiamo osservato che l'apprendimento di un nuovo linguaggio di interrogazione per l'esplorazione dei dati è impegnativo e richiede tempo, e potrebbe non corrispondere alle preferenze o alle esigenze di tutti i clienti. Nella corsa contro il tempo che caratterizza le indagini su eventi potenzialmente dannosi, la capacità di risparmiare tempo creando query efficienti diventa fondamentale.
Soluzione di interrogazione potente e facile da usare
Advanced Investigation è una soluzione di ricerca aziendale potente e personalizzata che offre la flessibilità e la guida necessarie agli analisti per condurre indagini approfondite senza dover imparare un altro linguaggio di interrogazione.
Grazie all'implementazione di questo nuovo workflow investigativo e all'introduzione di un query builder di facile utilizzo, la Vetra AI Platform consente agli analisti di ogni livello, da quelli junior a quelli senior, di condurre indagini con maggiore efficienza ed efficacia.
Esplorazione dei dati semplificata per tutti i livelli di competenza
Quando abbiamo testato questa funzione, abbiamo notato che si è rivelata particolarmente vantaggiosa per gli analisti più giovani, che potrebbero non essere in grado di utilizzare linguaggi di query avanzati. Abbiamo osservato che queste persone hanno trovato questo metodo di creazione delle query facile da usare e molto efficace.
Ora chiunque, a prescindere dal livello di competenza, può approfondire i dati e creare una query semplicemente aggiungendo alcuni filtri. Questo processo semplificato consente a tutti gli analisti di proteggere meglio le loro organizzazioni dalle minacce informatiche.
Concentrarsi sui dati rilevanti
Secondo il feedback dei nostri clienti, gli analisti SOC devono affrontare la sfida di gestire una grande quantità di dati grezzi. Vectra AI garantisce che i team SOC interagiscano solo con i campi più rilevanti, consentendo loro di navigare rapidamente tra le informazioni essenziali per il flusso di lavoro delle indagini.
Collegare i punti attraverso le superfici di attacco
Inoltre, per aiutare i clienti a riconoscere i modelli di comportamento degli attori nel loro ambiente di cloud ibrido, la Vectra AI Platform migliora i dati collegando le attività dell'attore attraverso diverse superfici di attacco. Questo approccio consente una comprensione completa dei movimenti potenzialmente minacciosi in quanto interagiscono con diversi set di dati.
"Advanced Investigation è di facile lettura e consente di determinare rapidamente cosa sta accadendo e di approfondire le ricerche. È molto utile". - Cliente MSSP
Scoprite come armare il vostro SOC con Instant Investigations leggendo la panoramica tecnologica o provando il nostro tour autoguidato della piattaforma.