Vectra AI Rilevamenti

Introduzione alle rilevazioni di Vectra AI

Rilevamenti attraverso la catena di morte

Vectra AI impiega meccanismi avanzati di rilevamento delle minacce per rilevare e neutralizzare le minacce informatiche in tutte le fasi della catena di attacco.

Dopo un exploit iniziale, il malware contatterà il suo Command & Control server da cui sarà controllato in remoto in modo automatizzato o da un essere umano.

L'attacco di solito progredisce lungo un percorso opportunistico: il malware unisce l'host a una botnet e il bot herder ruba le informazioni dall'host infetto e sfrutta le risorse dell'utente per guadagnare attaccando altri sistemi su Internet(Botnet Activity).

In questo caso, l'host infetto si orienta nella vostra rete(Reconnaissance), si diffonde lateralmente per avvicinarsi ai vostri gioielli della corona(Lateral Movement) e ruba i vostri dati per inviarli a un sistema esterno(Exfiltration).

Vectra AI Modello di valutazione delle minacce

L'intelligenza artificiale di Vectra correla i comportamenti delle minacce a un host o a un account e li classifica in base a quattro livelli di gravità: Critico, Alto, Medio e Basso.

Questa classificazione si basa sulla comprensione da parte del modello di punteggio di Vectra di quanto i comportamenti collettivi degli aggressori siano allineati a un vero attacco in escalation.

I team di sicurezza che monitorano la console di Vectra devono basare il loro giudizio su quali host o account esaminare per primi e sulla base della classifica di gravità calcolata.

Vectra AI cruscotto di valutazione delle minacce informatiche per dare priorità alle indagini e alla caccia alle minacce

Gli host e gli account classificati come critici o di gravità elevata hanno un elevato potenziale di danno alle operazioni aziendali e presentano comportamenti associati ad attacchi in corso che giustificano un'indagine.

Gli account classificati come di gravità bassa o media presentano rischi meno direttamente osservabili e possono essere utilizzati come punti di partenza per le attività di threat hunting piuttosto che per un'indagine immediata.

Oltre alla classifica di gravità, per ogni account prioritario vengono calcolati i punteggi di minaccia e di certezza in base ai comportamenti correlati, per consentire un ordinamento a grana più fine.

I rilevamenti ricevono anche punteggi di minaccia e certezza che caratterizzano le gravità specifiche del rilevamento in base alla minaccia del comportamento associato e alla certezza dei modelli di rilevamento sottostanti.

I dettagli su come vengono calcolati la minaccia e la certezza di ciascun rilevamento sono presentati nelle pagine singole dei rispettivi rilevamenti.

Elenco dei rilevamenti di Vectra AI

Rilevamenti di attività di ricognizione

  • Un host o un account sta mappando l'interno della rete o dell'ambiente cloud .
  • L'attività può indicare che si tratta di un attacco mirato.
  • I tipi di rilevamento comprendono le scansioni veloci e le scansioni lente: il vostro scanner di vulnerabilità apparirà in questa sezione perché svolge più o meno le stesse attività di un aggressore.

Rilevamenti di movimenti laterali

  • Copre scenari di azione laterale volti a favorire un attacco mirato.
  • Ciò può comportare il tentativo di rubare le credenziali dell'account o di rubare i dati da un'altra risorsa.
  • Può anche comportare la compromissione di un altro host o account per rendere più duratura la posizione dell'attaccante o per avvicinarsi ai dati dell'obiettivo.

Rilevamenti di attività C2

  • Un host o un account sembra essere sotto il controllo di un'entità esterna.
  • Il più delle volte, il controllo è automatizzato in quanto l'host o l'account fa parte di una botnet o ha installato adware o spyware.
  • L'host o l'account possono essere controllati manualmente dall'esterno: questo è il caso più minaccioso e rende altamente probabile che si tratti di un attacco mirato.

Rilevamenti di attività di esfiltrazione

  • Copre scenari in cui i dati vengono inviati all'esterno o raccolti in modo da nascondere il trasferimento dei dati.
  • Sebbene i dati vengano costantemente inviati al di fuori della rete o dell'ambiente cloud , di solito non vengono utilizzate tecniche volte a nascondere il trasferimento.
  • L'host o l'account che trasmette i dati, il luogo in cui li trasmette, la quantità di dati e la tecnica utilizzata per inviarli sono tutti indicatori di esfiltrazione.

Rilevamenti di attività di botnet

  • Un host sta guadagnando soldi per il suo bot herder
  • I modi in cui un host infetto può essere utilizzato per produrre valore possono spaziare dal mining di bitcoin all'invio di e-mail di spam, fino alla produzione di falsi click pubblicitari.
  • Il bot herder utilizza il computer host, la sua connessione di rete e, soprattutto, la reputazione incontaminata dell'IP assegnato per ottenere un profitto.

Rilevamenti per superficie di attacco

Rilevamenti nella rete

Rilevamenti in Azure AD e M365

Rilevamenti in AWS