360 Response: controllo rafforzato su identità, dispositivi e traffico di rete
Contenimento decisivo durante gli attacchi attivi. Blocca le identità compromesse, isola i dispositivi e blocca il traffico degli aggressori utilizzando rilevamenti ad alta fedeltà.
Video dimostrativo
Guarda 360 Response in azione
Blocco dell'identità
Guarda Identity Lockdown che blocca automaticamente le identità compromesse.
- Identità compromessa rilevata
- Sessioni attive revocate
- Reimpostazione password obbligatoria
- Accesso dell'autore dell'attacco rimosso
Blocco dispositivo
Vedi Blocco dispositivo che isola gli endpoint compromessi prima che si spostino.
- Dispositivo compromesso identificato
- Isolamento host attivato
- Movimento laterale bloccato
- Endpoint dal gioco
Blocco del traffico
Visualizza Blocco del traffico interrompe la comunicazione dell'aggressore a livello di firewall.
- Host rischioso aggiunto alla lista dei blocchi
- Applicazione del firewall
- Comando e controllo bloccati
- Percorsi di esfiltrazione interrotti
PERCHÉ VECTRA AI
Risposta a 360 gradi:contenimento unificato per attacchi ibridi
La maggior parte degli strumenti cerca di bloccare gli aggressori interrompendo una singola connessione, con azioni come il reset TCP. Sembra efficace, ma non è sufficiente.
360 Response converte le informazioni sui segnali di attacco Vectra AIin azioni precise e mirate ovunque gli aggressori operino nel vostro ambiente ibrido:
Blocco dell'identità
Contenimento degli account in AD e Entra ID
- Disattiva o limita gli account compromessi
- Invalidare le sessioni attive e forzare la riautenticazione
- Supporta i flussi di lavoro di reimpostazione della password per rimuovere il vantaggio delle credenziali rubate
Risultato
Gli aggressori perdono il loro punto d'appoggio identitario negli cloud on-premise e cloud .
Blocco dispositivo
endpoint di host ed endpoint utilizzando il vostro EDR esistente
- Isolare gli host compromessi dalla rete
- Interrompere il movimento laterale e lo staging dei dati sul dispositivo
- Attivato manualmente o automaticamente da rilevamenti altamente affidabili
Risultato
Il endpoint da cui dipende endpoint aggressore viene rimosso dal gioco.
Blocco del traffico
Contenimento della rete applicato dai firewall
- Aggiungi gli indirizzi IP host rischiosi a un elenco di blocchi IP gestito da Vectra
- Consenti ai firewall di iscriversi a tale elenco come feed di minacce esterne.
- Blocca tutto il traffico proveniente da tali fonti in base alle tue politiche.
Risultato
Il comando e controllo, l'esfiltrazione e il pivoting interno vengono interrotti a livello di rete.
Tutti e tre i livelli lavorano insieme, guidati dallo stesso segnale AI, dalla stessa esperienza dell'analista.
approccio
Cos'è il flusso di lavoro di 360 Response?
Rilevare
- Vectra AI il comportamento relativo a identità, cloud, SaaS e rete, e assegna un punteggio alle entità in base all'urgenza e all'importanza.
Decidere
- Le minacce ad alto livello di affidabilità raggiungono 360 Response. Le politiche definiscono quando le azioni sono manuali e quando sono automatiche.
Lockdown
- Identity Lockdown impedisce agli aggressori di accedere alle identità
- Il blocco dei dispositivi isola gli endpoint compromessi
- Il blocco del traffico blocca la comunicazione a livello di firewall
Contenere
- I percorsi di attacco vengono interrotti su più livelli in pochi minuti, non in ore.
Rilasciare e migliorare
- I blocchi scadono secondo un calendario prestabilito o vengono revocati dagli analisti, e i dati vengono inseriti direttamente nei report e nelle metriche di resilienza.
RISULTATI
In che modo 360 Response restituisce il controllo ai difensori?
Con 360 Response, i difensori passano dalla speranza che l'interruzione sia sufficiente alla certezza che il contenimento sia effettivamente applicato.
Ottieni
- Controllo reale su identità, host e rete
- Contenimento che puoi spiegare e dimostrare alla tua leadership
- Automazione che prende di mira solo minacce ad alto livello di affidabilità
- Risposta scalabile senza aggiungere ulteriore lavoro manuale
La tua leadership vede
- Meno incidenti che progrediscono
- Tempi di contenimento più rapidi
- Prove più evidenti di resilienza e controllo in ambienti ibridi
360 Response trasforma ogni rilevamento ad alta fedeltà in un'azione decisiva che blocca gli aggressori e dimostra che il vostro team ha il controllo dell'ambiente.
Domande frequenti
Domande frequenti principali: Risposta a 360 gradi
Che cos'è la risposta a 360° nella Vectra AI ?
360 Response è la funzionalità di contenimento unificato Vectra AIche consente ai team di sicurezza di bloccare gli attacchi attivi a livello di identità, host e rete. È un componente fondamentale dell'approccio di controllo continuo Vectra AI , che trasforma i rilevamenti AI altamente affidabili in azioni di risposta applicate. 360 Response utilizza provider di identità esistenti, strumenti endpoint e risposta endpoint e firewall per contenere le minacce senza introdurre nuovi agenti o flussi di lavoro manuali. Coordinando il contenimento su più livelli, 360 Response aiuta le organizzazioni a riprendere il controllo durante le compromissioni attive e a ridurre il rischio di escalation in ambienti ibridi complessi.
In che modo 360 Response supporta il controllo continuo durante un attacco attivo?
360 Response supporta il controllo continuo consentendo un contenimento rapido e coordinato mentre è in corso un attacco ibrido. Applica azioni di risposta ai livelli più vulnerabili dell'ambiente ibrido, tra cui identità, endpoint e traffico di rete. Quando vengono rilevate minacce ad alto rischio, 360 Response può attivare manualmente o automaticamente il blocco di identità, dispositivi e traffico. Questa risposta coordinata interrompe contemporaneamente l'accesso degli aggressori, i movimenti laterali e i percorsi di comunicazione, aiutando i team di sicurezza ad agire con decisione e a mantenere il controllo mentre gli attacchi si svolgono, piuttosto che reagire dopo che il danno è stato fatto.
In che modo Identity Lockdown contribuisce a bloccare gli attacchi basati sull'identità?
Identity Lockdown aiuta a bloccare gli attacchi basati sull'identità disabilitando o limitando gli account utente compromessi in Active Directory e Entra ID. Quando viene attivato, può revocare le sessioni attive e supportare i flussi di lavoro di reimpostazione della password per invalidare le credenziali rubate. Ciò impedisce agli aggressori di riutilizzare identità valide per accedere cloud , applicazioni SaaS o risorse locali. L'abuso di identità è una delle tecniche di escalation più comuni negli attacchi moderni e Identity Lockdown elimina rapidamente questo vantaggio. Applicando tempestivamente il contenimento delle identità attraverso il rilevamento e il contenimento delle minacce all'identità, i team di sicurezza riducono la probabilità di escalation dei privilegi e di pivotaggio tra ambienti.
In che modo Device Lockdown isola i dispositivi compromessi senza aggiungere costi operativi aggiuntivi?
Device Lockdown isola i dispositivi compromessi utilizzando integrazioni native con strumenti endpoint e risposta endpoint già implementati nell'ambiente. Quando un dispositivo viene bloccato, viene rimosso dalla rete, impedendo il movimento laterale e bloccando l'attività degli aggressori da quel dispositivo. 360 Response non richiede un endpoint aggiuntivo, il che aiuta i team a evitare ulteriori complessità o attriti di implementazione. Il blocco dei dispositivi può essere avviato manualmente dagli analisti o automaticamente per le minacce ad alto livello di affidabilità, consentendo un contenimento rapido pur rimanendo coerente con le integrazioni di sicurezza esistenti con le principali piattaforme EDR.
In che modo Traffic Lockdown applica il contenimento a livello di rete?
Il blocco del traffico impone un contenimento a livello di rete bloccando le comunicazioni degli aggressori tramite controlli basati su firewall. Quando una minaccia entra in blocco, il suo indirizzo IP viene aggiunto a una lista di blocco gestita da Vectra che i firewall utilizzano come feed di minacce esterne. Le politiche del firewall negano quindi il traffico proveniente da tali IP, impedendo il comando e controllo, l'esfiltrazione dei dati e il pivoting interno. A differenza dei reset di connessione, questo approccio impone un blocco persistente e basato su politiche che gli aggressori non possono aggirare. Traffic Lockdown estende il valore delle funzionalità di rilevamento e risposta di rete (NDR) trasformando il rilevamento in un'azione imposta.
Come si inserisce 360 Response nel quadro di controllo continuo Vectra AI?
360 Response è uno dei cinque componenti fondamentali del framework di controllo continuo Vectra AI, insieme alla gestione proattiva dell'esposizione alle minacce, alla reportistica sul valore, all'esperienza degli analisti e ai servizi gestiti. Insieme, queste funzionalità aiutano le organizzazioni a ridurre l'esposizione prima della compromissione, a contenere le minacce durante gli attacchi attivi e a dimostrare la resilienza dopo la risoluzione degli incidenti. 360 Response si concentra sulla fase di risposta fornendo un contenimento forzato a livello di identità, host e rete. In combinazione con le funzionalità di rilevamento, indagine e reporting Vectra AI, consente ai team di sicurezza di dimostrare miglioramenti misurabili in termini di controllo, resilienza e maturità operativa.
Risorse
Potresti anche essere interessato a...
PROSSIMI PASSI
Ottieni il controllo, la chiarezza e la copertura necessari per bloccare gli attacchi ibridi
360 Response offre un controllo effettivo su identità, host e rete, in modo che gli aggressori perdano ogni percorso su cui fanno affidamento. In combinazione con l'ampia copertura della superficie di attacco Vectra AI , il segnale ad alta fedeltà e l'esperienza di indagine unificata, il vostro team ottiene il controllo necessario per applicare il contenimento all'intero ambiente ibrido.