Comunicati e aggiornamenti

Copertura

Integrazione di Netskope SASE in anteprima pubblica

Man mano che gli utenti e le applicazioni si spostano oltre il perimetro aziendale, i difensori perdono visibilità sul traffico critico che scorre direttamente verso il cloud. Questo crea punti ciechi in cui possono nascondersi comandi e controlli avanzati (C2) e l'esfiltrazione dei dati, lasciando le organizzazioni esposte.

La nuova integrazione di Vectra AIcon Netskope CloudTAP colma questa lacuna. Ricevendo il traffico GENEVE da Netskope Stitcher, Vectra offre la stessa visibilità delle minacce e dei metadati per gli utenti remoti e cloud come per quelli on-premise, eliminando gli angoli morti nei moderni ambienti SASE.

Contattate il team del vostro account Vectra se siete interessati ad attivare l'integrazione Netskope di Vectra. Per i dettagli sull'implementazione, vedere Integrazione e ottimizzazione di Netskope SASE.

Miglioramenti al rilascio rapido

Dall'ultimo ciclo di rilascio del software sono stati apportati i seguenti miglioramenti agli algoritmi. I clienti collegati al servizio di aggiornamento di Vectra con il supporto remoto abilitato hanno ricevuto questi miglioramenti. Tutti gli altri clienti riceveranno i seguenti miglioramenti nell'ambito di questa release:

• Vectra AI ora rileva le query LDAP rivolte agli account Active Directory privi di pre-autenticazione Kerberos, un passaggio comune negli attacchi AS-REP roasting. Questo miglioramento offre una visibilità anticipata sulla ricognizione delle credenziali, aiutando i team di sicurezza a fermare gli aggressori prima che l'abuso delle credenziali abbia inizio.
• Vectra AI ha perfezionato la logica di rilevamento delle attività RDP brute-force e password-spray per migliorare la precisione e ridurre i falsi positivi negli ambienti con host condivisi o bastion. Il miglioramento chiarisce le soglie di rilevamento e le descrizioni, assicurando ai clienti avvisi di maggiore fedeltà e approfondimenti più efficaci durante l'analisi di potenziali comportamenti brute-force.
• Vectra AI ha migliorato le analisi LDAP per identificare la ricognizione degli utenti AD con i Service Principal Names (SPN), un precursore del Kerberoasting. Questo aggiornamento consente di rilevare più rapidamente gli attacchi mirati alle credenziali, offrendo ai clienti una visibilità più approfondita sulle minacce furtive di Active Directory.

Chiarezza

Impronte digitali JA4T/JA4TS: Recall e Stream

Vectra AI include ora le impronte digitali JA4T (TCP Client) e JA4TS (TCP Server) nei metadati, portando il fingerprinting di nuova generazione all'analisi del traffico criptato. Questo potente framework riduce le collisioni, collega le sessioni correlate e facilita l'individuazione delle infrastrutture degli aggressori che si nascondono dietro i protocolli comuni. Gli analisti ottengono così una visione più chiara e veloce, con meno rumore e un contesto migliore tra i vari rilevamenti. Le impronte digitali JA4T/JA4TS sono ora supportate in Stream e Recall, mentre JA4T/JA4TS sarà aggiunto ad Advanced Investigate (RUX) nel corso dell'anno. Ulteriori informazioni sui nuovi attributi sono disponibili qui.

Grafico dell'attacco: Vista focalizzata

Presentazione di Focused View, un nuovo modo di tagliare il rumore nei grafici di attacco complessi. Invece di sommergere gli analisti con ogni nodo e bordo, Focused View filtra i rilevamenti a bassa priorità e fa emergere solo i collegamenti e i percorsi di progressione più critici. Il risultato: meno disordine, meno confusione e una prospettiva chiara su come si è svolto un attacco. Con la chiarezza al posto del disordine, i team di sicurezza possono accelerare le indagini, pur passando al grafico completo quando necessario.

Architettura/Amministrazione

Introduzione del cervello virtuale Vectra per Nutanix

Vectra offre ora un'appliance Brain completamente virtualizzata per gli ambienti Nutanix. Disponibile con un throughput di 10 Gbps, questo Brain virtuale offre le stesse funzionalità avanzate delle appliance fisiche, ottimizzate per scalabilità, rapidità di implementazione ed efficienza operativa. Per le specifiche dettagliate e le configurazioni supportate, consultare la guida alle specifiche delle appliance e dei sensori. Per le istruzioni di implementazione, consultare la Nutanix Deployment Guide.

Maggiore sicurezza: accesso solo HTTPS all'interfaccia utente di Vectra

Per rafforzare la sicurezza della piattaforma, l'interfaccia utente di Vectra blocca ora l'accesso esterno sulla porta 80 (HTTP) invece di reindirizzare automaticamente alla porta 443 (HTTPS) come faceva in precedenza. Con questo aggiornamento, l'interfaccia utente di Vectra sarà ora accessibile esclusivamente tramite HTTPS, rafforzando ulteriormente la sicurezza della piattaforma e garantendo che tutte le connessioni siano crittografate per impostazione predefinita. Questo aggiornamento si applica solo a Vectra Brain, non richiede alcuna azione da parte degli utenti e mantiene il vostro ambiente allineato alle moderne best practice di sicurezza.

Copertura

Copertura di Command and Control Sliver

Vectra AI ha introdotto una nuova copertura di rilevamento per l'attività di Command & Control (C2) Sliver, un framework avanzato utilizzato da red team e attori delle minacce per eludere le difese tradizionali. L'uso di crittografia, codificatori a strati e modelli di dati e tempistiche variabili consente a Sliver di mascherare il beaconing dannoso all'interno del normale traffico crittografato. Il modello di apprendimento profondo di Vectra identifica questi schemi sottili senza affidarsi all'ispezione del payload, sfruttando il più grande set di dati del settore sul comportamento della rete. Questo aggiornamento migliora i nostri attuali algoritmi di beaconing C2, offrendo una maggiore visibilità sui canali C2 evasivi e aiutando i team di sicurezza a rilevare le attività sofisticate degli avversari nelle prime fasi della catena di attacco.

Nuovo rilevamento: Modifica della registrazione delle macchine virtuali sospette di Azure

Vectra AI ha introdotto un nuovo rilevamento che evidenzia i comportamenti sospetti legati alla modifica delle estensioni di registrazione per le macchine virtuali Window sand Linux, Virtual Machine Scale Sets e macchine ibride. Ciò fornisce una visibilità più approfondita sulle attività sospette che possono indicare tentativi di manomissione del monitoraggio della sicurezza (registri degradati o completamente disattivati).

Miglioramento del rilevamento: Azure Cryptomining

Sono stati introdotti miglioramenti al rilevamento di Azure Cryptomining per filtrare i comportamenti legati alla modifica delle istanze di calcolo esistenti. Questo miglioramento migliora la fedeltà degli avvisi relativi alla creazione di nuove istanze di calcolo. I clienti dovrebbero aspettarsi un minor numero di avvisi legati a questo comportamento nel loro ambiente.

Miglioramenti del rilevamento M365

Per migliorare l'ampiezza della copertura, sono stati introdotti miglioramenti nei seguenti rilevamenti:

• M365 Creazione di regole per le caselle di posta sospette e M365 Inoltro di posta sospetta: Questi rilevamenti sono stati migliorati per includere la copertura dei comportamenti relativi a UpdateInboxRule. In seguito a questo miglioramento, i clienti potrebbero osservare un leggero aumento dei volumi legati a questi avvisi.

Miglioramenti al rilascio rapido

Dall'ultimo ciclo di rilascio del software sono stati apportati i seguenti miglioramenti agli algoritmi. I clienti collegati al servizio di aggiornamento di Vectra con il supporto remoto abilitato hanno ricevuto questi miglioramenti. Tutti gli altri clienti riceveranno i seguenti miglioramenti nell'ambito di questa release:

• NDR-242: Vectra AI ha ampliato i suoi attuali algoritmi di segnalazione di Command & Control per rilevare le tecniche avanzate di segnalazione C2 che utilizzano dati e jitter temporali per eludere il monitoraggio tradizionale della rete. Il risultato è una migliore visibilità del comportamento furtivo del C2 e un rilevamento più tempestivo delle minacce sofisticate che tentano di nascondersi nella normale attività di rete.
• NDR-302: Vectra AI ha migliorato la copertura del rilevamento delle comunicazioni TCP in chiaro, identificando attività di comando sospette nascoste nel traffico testuale non crittografato. Questo aggiornamento rileva sottili modelli comportamentali, come il flusso anomalo dei pacchetti e la struttura del payload, per scoprire canali di comando nascosti che eludono l'ispezione tradizionale. Espande la visibilità oltre il traffico crittografato, rafforzando il rilevamento in tutti i tipi di comunicazione.
• NDR-314: Vectra AI ha ampliato la copertura per includere il canale HTTP inglese di Sliver, che camuffa il traffico di comando e controllo con stringhe di parole inglesi casuali per apparire legittimo. Questo miglioramento migliora il rilevamento dell'attività Sliver offuscata all'interno del normale traffico HTTP, rafforzando la visibilità delle tecniche avanzate di elusione C2.

Chiarezza

Riduzione del volume degli avvisi con AI-Triage migliorato

L'AI-Triage di Vectra offre ora funzionalità estese alla kill chain e alle reti moderne, riducendo in modo significativo i volumi di rilevamento. Esamina e risolve automaticamente gli avvisi benigni, riducendo l'affaticamento degli avvisi e mantenendo la piena visibilità sulle minacce reali.

Questa funzionalità personalizzata e rigorosamente testata identifica gli schemi a basso rischio che appaiono costantemente nel vostro ambiente e li risolve automaticamente, mantenendo il vostro team concentrato sui rischi significativi.

Aspettatevi un minor numero di rilevamenti benigni in rete C2, recon, Azure AD, M365, Copilot per M365 e AWS.

La visibilità non viene mai meno: i rilevamenti risolti rimangono ricercabili, verificabili e completamente tracciabili. Non vengono intraprese azioni per conto dell'azienda al di là della risoluzione.

Prossimamente: Ampliamento del contesto del processo EDR

A novembre, Vectra rilascerà Vectra AI Stitching con CrowdStrike EDR per tutti i clienti. Questa funzionalità semplifica le indagini trovando automaticamente il processo probabile legato a un rilevamento NDR e presentandolo insieme al rilevamento nella piattaforma e quando l'evento viene raccolto tramite API.

Il risultato è una NDR più potente, meno lavoro manuale e risultati migliori per i team di sicurezza. Qual è stato il processo che ha guidato un browser C2 o uno script PowerShell, è previsto o si distingue: sono domande a cui gli analisti devono rispondere immediatamente, e questa funzionalità lo rende immediato.

Per garantire un'erogazione senza problemi di questa funzionalità, invitiamo tutti i clienti di Crowdstrike a fornire le autorizzazioni di lettura e scrittura di NGSIEM per supportare la futura raccolta di queste informazioni. Per istruzioni su come concedere queste autorizzazioni, visitare le FAQ sull 'integrazione EDR di Crowdstrike.

Controllo

Miglioramenti al grafico degli attacchi

L'Attack Graph di Vectra AIè appena diventato più intelligente grazie a due potenti aggiornamenti. C2 Blast Radius rivela istantaneamente tutti gli host che comunicano con lo stesso endpoint di comando e controllo, eliminando i riferimenti incrociati manuali e velocizzando il triage. I Rilevamenti mirati tracciano il punto iniziale di compromissione e il movimento dell'attaccante, fornendo agli analisti un percorso chiaro di come ogni host o account è stato raggiunto. Insieme, questi miglioramenti offrono una visibilità più nitida, indagini più rapide e risposte più precise. Esplorate le FAQ dell'Attack Graph per saperne di più.

Architettura / Amministrazione

Verifica dei file SHA256 per il portale di supporto

Tutti i file presenti e futuri in Risorse aggiuntive > Download sul nostro Portale di assistenza includono ora un hash SHA256 per convalidare che il file scaricato è lo stesso che è stato servito dal Portale di assistenza. Oggi questo vale per i download dei file OVA e Vectra Match .

Riconoscimento ampliato dei codici TLS/SSL

Vectra AI ha ampliato la mappatura delle suite di cifratura TLS/SSL per includere le più recenti suite di cifratura TLS 1.3 e moderne, garantendo che le sessioni crittografate siano identificate con precisione e visualizzate con nomi chiari e leggibili dall'uomo. Questo aggiornamento migliora la visibilità e l'accuratezza dell'analisi del traffico criptato in Recall e Stream, con il supporto di Advanced Investigations previsto per una release futura.

Gruppi basati sull'appartenenza ad Active Directory su Quadrant UX

Portate senza problemi i gruppi AD esistenti in Vectra e manteneteli perfettamente sincronizzati: niente più ricreazioni manuali o noiose operazioni di manutenzione. L'importazione massiva elimina il lavoro ripetitivo degli amministratori, in modo che i vostri team possano concentrarsi sulla caccia alle minacce, non sulla gestione dei gruppi. Semplificando le regole di triage e riducendo il rumore, potrete agire più rapidamente sugli avvisi che contano davvero. Questa è efficienza e chiarezza dei segnali, integrata nel sistema. Per ulteriori informazioni, visitate il sito Active Directory (AD) Groups.

Introduzione alla ricerca assistita dall'intelligenza artificiale

Stiamo rendendo la ricerca e l'investigazione delle minacce più veloce e più intelligente. Con la ricerca assistita dall'intelligenza artificiale, è possibile porre domande in un linguaggio semplice, in qualsiasi lingua, e ottenere immediatamente risposte ricche di contesto, approfondimenti visivi e suggerimenti per le fasi successive. Niente sintassi delle query, niente congetture: solo informazioni utili a portata di mano. I primi utenti hanno ridotto i tempi di indagine fino a tre ore per caso, scoprendo esposizioni che avrebbero potuto sfuggire. Disponibile ora per i clienti RUX con almeno 14 giorni di metadati.

Agente di prioritizzazione AI

L'agente di prioritizzazione AI ora rileva quando gli aggressori implementano nuovi sistemi, dai laptop rogue ai Raspberry Pis, e ne tiene conto nel punteggio delle minacce.

Inoltre, impara dalle tendenze storiche per segnalare i tipi di rilevamento più rari in tutto l'ambiente, offrendo una prioritizzazione più rapida e accurata con meno rumore.

Il cliente potrebbe vedere un piccolo numero di host con punteggi aggiornati. Per maggiori informazioni, guardare questo prodcast. https://youtu.be/DvsvR57xCS8

La nuova documentazione dell'API REST è disponibile

Siamo lieti di presentare il nuovo portale Vectra REST API Documentation, la destinazione unica per costruire, testare e integrare le API Vectra più velocemente che mai. RAD sostituisce i PDF statici con una documentazione OpenAPI dinamica e sempre accurata, completa di un client integrato per provare le richieste direttamente dal browser. Gli sviluppatori possono ora esplorare, convalidare e generare integrazioni senza soluzione di continuità, garantendo un'automazione più rapida, un minor numero di errori e una maggiore sicurezza dell'ambiente. A partire dall'API v3.5, tutta la documentazione sarà fornita esclusivamente attraverso il portale REST API Documentation: https://apidocs.vectra.ai.

Miglioramenti al rilascio rapido

Dall'ultimo ciclo di rilascio del software sono stati apportati i seguenti miglioramenti agli algoritmi. I clienti collegati al servizio di aggiornamento di Vectra con il supporto remoto abilitato hanno ricevuto questi miglioramenti. Tutti gli altri clienti riceveranno i seguenti miglioramenti nell'ambito di questa release:

• Vectra AI ora rileva le query LDAP rivolte agli account Active Directory privi di pre-autenticazione Kerberos, un passaggio comune negli attacchi AS-REP roasting. Questo miglioramento offre una visibilità anticipata sulla ricognizione delle credenziali, aiutando i team di sicurezza a fermare gli aggressori prima che l'abuso delle credenziali abbia inizio.
• Vectra AI ha aggiornato la descrizione del suo rilevamento RDP brute-force e password-spray per allinearlo meglio al suo comportamento di rilevamento. Mentre la logica sottostante rimane invariata, la descrizione rivista chiarisce come l'attività di password-spray viene rappresentata nell'interfaccia utente, aiutando gli analisti a interpretare gli avvisi con maggiore precisione.
• Vectra AI ha migliorato l'analisi LDAP per identificare la ricognizione degli utenti AD con servicePrincipalNames (SPN) - un precursore di Kerberoasting. Questo aggiornamento consente di rilevare più rapidamente gli attacchi mirati alle credenziali, offrendo ai clienti una visibilità più approfondita sulle minacce furtive di Active Directory.

Riduzione del volume degli avvisi con AI-Triage migliorato

L'AI-Triage di Vectra offre ora funzionalità estese alla kill chain e alle reti moderne, riducendo in modo significativo i volumi di rilevamento. Esamina e risolve automaticamente gli avvisi benigni, riducendo l'affaticamento degli avvisi e mantenendo la piena visibilità sulle minacce reali.

Questa funzionalità personalizzata e rigorosamente testata identifica gli schemi a basso rischio che appaiono costantemente nel vostro ambiente e li risolve automaticamente, mantenendo il vostro team concentrato sui rischi significativi.

Aspettatevi un minor numero di rilevamenti benigni in rete C2, recon, Azure AD, M365, Copilot per M365 e AWS.

La visibilità non viene mai meno: i rilevamenti risolti rimangono ricercabili, verificabili e completamente tracciabili. Non vengono intraprese azioni per conto dell'azienda al di là della risoluzione.

Grafico dell'attacco: Vista focalizzata

Presentazione di Focused View, un nuovo modo di tagliare il rumore nei grafici di attacco complessi. Invece di sommergere gli analisti con ogni nodo e bordo, Focused View filtra i rilevamenti a bassa priorità e fa emergere solo i collegamenti e i percorsi di progressione più critici. Il risultato: meno disordine, meno confusione e una prospettiva chiara su come si è svolto un attacco. Con la chiarezza al posto del disordine, i team di sicurezza possono accelerare le indagini, pur passando al grafico completo quando necessario.

Espansione della registrazione delle risorse per l'account di archiviazione (CDR per Azure)

Vectra AI ora consuma i registri delle risorse di Azure legati agli account di archiviazione a supporto di nuovi e imminenti casi d'uso per il rilevamento. Questi nuovi registri consentiranno a Vectra di rilevare i comportamenti di impatto e di esfiltrazione osservati nelle ultime fasi della catena di distruzione cloud . Tutti i nuovi connettori CDR for Azure acquisiranno automaticamente i log come parte della configurazione del connettore. Per i clienti esistenti di CDR per Azure, gli script di distribuzione automatica associati a CDR per Azure dovranno essere eseguiti nuovamente. I team di account Vectra si metteranno in contatto per facilitare l'espansione dei log per i clienti esistenti.

Miglioramenti dell'API per il CDR per gli avvisi di Azure

Vectra AI ha introdotto miglioramenti API per includere un contesto Human Readable arricchito (nomi di identità e ID applicazione) nel CDR per gli avvisi Azure consumati tramite API. Ciò supporta i flussi di lavoro investigativi riducendo in modo significativo il tempo richiesto da un analista per raccogliere il contesto chiave. In precedenza, questi valori arricchiti erano disponibili solo nella piattaforma Vectra. I nuovi miglioramenti garantiscono la presenza di questi valori nei flussi di lavoro incentrati sull'API che i clienti possono avere in atto.

Copertura di Command and Control Sliver

Vectra AI ha ampliato la copertura per includere il canale HTTP inglese di Sliver, che camuffa il traffico di comando e controllo con stringhe di parole inglesi casuali per apparire legittimo. Questo miglioramento migliora il rilevamento dell'attività Sliver offuscata all'interno del normale traffico HTTP, rafforzando la visibilità sulle tecniche di evasione C2 avanzate.

Copertura di Command and Control TCP

Vectra AI ha migliorato la copertura del rilevamento delle comunicazioni TCP in chiaro, identificando attività di comando sospette nascoste nel traffico testuale non crittografato. Questo aggiornamento rileva sottili modelli comportamentali, come il flusso anomalo dei pacchetti e la struttura del payload, per scoprire canali di comando nascosti che eludono l'ispezione tradizionale. Espande la visibilità oltre il traffico crittografato, rafforzando il rilevamento in tutti i tipi di comunicazione.

Nuovo rilevamento: Modifica della registrazione delle macchine virtuali sospette di Azure

Vectra AI ha introdotto un nuovo rilevamento che evidenzia i comportamenti sospetti legati alla modifica delle estensioni di registrazione per le macchine virtuali Window sand Linux, Virtual Machine Scale Sets e macchine ibride. Ciò fornisce una visibilità più approfondita sulle attività sospette che possono indicare tentativi di manomissione del monitoraggio della sicurezza (registri degradati o completamente disattivati).

Miglioramento del rilevamento: Azure Cryptomining

Sono stati introdotti miglioramenti al rilevamento di Azure Cryptomining per filtrare i comportamenti legati alla modifica delle istanze di calcolo esistenti. Questo miglioramento migliora la fedeltà degli avvisi relativi alla creazione di nuove istanze di calcolo. I clienti dovrebbero aspettarsi un minor numero di avvisi legati a questo comportamento nel loro ambiente.

Miglioramenti del rilevamento M365

Per migliorare l'ampiezza della copertura, sono stati introdotti miglioramenti nei seguenti rilevamenti:

• M365 Creazione di regole per le caselle di posta sospette e M365 Inoltro di posta sospetta: Questi rilevamenti sono stati migliorati per includere la copertura dei comportamenti relativi a UpdateInboxRule. In seguito a questo miglioramento, i clienti potrebbero osservare un leggero aumento dei volumi legati a questi avvisi.

Miglioramenti al rilascio rapido

Dall'ultimo ciclo di rilascio del software sono stati apportati i seguenti miglioramenti agli algoritmi. I clienti collegati al servizio di aggiornamento di Vectra con il supporto remoto abilitato hanno ricevuto questi miglioramenti. Tutti gli altri clienti riceveranno i seguenti miglioramenti nell'ambito di questa release:

• NDR-242: Vectra AI ha ampliato i suoi attuali algoritmi di segnalazione di Command & Control per rilevare le tecniche avanzate di segnalazione C2 che utilizzano dati e jitter temporali per eludere il monitoraggio tradizionale della rete. Il risultato è una migliore visibilità del comportamento furtivo del C2 e un rilevamento più tempestivo delle minacce sofisticate che tentano di nascondersi nella normale attività di rete.
• NDR-302: Vectra AI ha migliorato la copertura del rilevamento delle comunicazioni TCP in chiaro, identificando attività di comando sospette nascoste nel traffico testuale non crittografato. Questo aggiornamento rileva sottili modelli comportamentali, come il flusso anomalo dei pacchetti e la struttura del payload, per scoprire canali di comando nascosti che eludono l'ispezione tradizionale. Espande la visibilità oltre il traffico crittografato, rafforzando il rilevamento in tutti i tipi di comunicazione.
• NDR-314: Vectra AI ha ampliato la copertura per includere il canale HTTP inglese di Sliver, che camuffa il traffico di comando e controllo con stringhe di parole inglesi casuali per apparire legittimo. Questo miglioramento migliora il rilevamento dell'attività Sliver offuscata all'interno del normale traffico HTTP, rafforzando la visibilità delle tecniche avanzate di elusione C2.

Impronte digitali JA4+

Vectra AI include ora le impronte digitali JA4L, JA4X e JA4H nei metadati, portando il fingerprinting di nuova generazione all'analisi del traffico criptato. Questo potente framework riduce le collisioni, collega le sessioni correlate e facilita l'individuazione delle infrastrutture degli aggressori che si nascondono dietro i protocolli comuni. Gli analisti ottengono così approfondimenti più chiari e veloci, con meno rumore e un contesto migliore tra i vari rilevamenti. JA4+ è supportato in Investigate (RUX), Stream e Recall. Ulteriori informazioni sui nuovi attributi sono disponibili qui.

Avvisi di app esterne (notifiche Webhook)

Con gli avvisi delle app esterne, la Vectra AI Platform invia notifiche istantanee agli strumenti di collaborazione del team quando si verificano eventi critici per la sicurezza, come host o account ad alta priorità e avvisi di sistema chiave. Niente più screen-watching o risposte ritardate: si ottengono informazioni in tempo reale che spingono ad agire più rapidamente. Disponibile da subito con integrazione diretta con Microsoft Teams e supporto Slack in arrivo. Per i dettagli sull'implementazione, vedere Avvisi di app esterne.

Utilizzo del motore di scripting di Azure AD

Vectra AI ha introdotto miglioramenti per migliorare l'ampiezza dei comportamenti e degli agenti utente coperti da questo rilevamento. Gli aggiornamenti del livello di analisi filtrano ora gli agenti utente in modo più accurato dai registri, aumentando la fedeltà e riducendo i falsi positivi.

Miglioramenti dell'interfaccia utente per i rilevamenti Entra ID e M365

Sono stati introdotti miglioramenti in diversi rilevamenti per fornire un contesto aggiuntivo e snellire i flussi di lavoro investigativi:‍

• Anomalia delle operazioni di privilegio di AzureAD: ora include i dettagli dell'agente utente quando disponibili.
• Registrazione di fattori sospetti in Azure AD: Aggiornato per includere il campo result_reason dai log.‍
• Azure AD Suspicious Sign In: aggiornato per visualizzare lo stato del dispositivo per migliorare il contesto.‍
• M365 Spearphishing: aggiornato per visualizzare i nomi dei file, consentendo un triage più rapido.

Miglioramento del modello di rilevamento di Azure Cloud

I miglioramenti apportati al rilevamento di Azure Diagnostic Logging Disabled ampliano la copertura per includere l'eliminazione delle estensioni di registrazione per le macchine virtuali Windows e Linux. Ciò fornisce una visibilità più ampia sulle attività sospette che possono indicare tentativi di disabilitare il monitoraggio della sicurezza.

Miglioramenti al rilascio rapido

Dall'ultimo ciclo di rilascio del software sono stati apportati i seguenti miglioramenti agli algoritmi. I clienti connessi al servizio di aggiornamento di Vectra AIcon il supporto remoto abilitato hanno ricevuto questi miglioramenti. Tutti gli altri clienti riceveranno i seguenti miglioramenti con la versione 9.3:

• NDR-251: aggiunge una copertura di rilevamento per gli accessi Mimikatz sospetti sul traffico SMB. Questo migliora la nostra capacità di individuare potenziali tecniche di furto di credenziali comunemente utilizzate negli attacchi.
• NDR-117: espande la copertura dell'algoritmo dell'attività di amministrazione del Remote Desktop Protocol (RDP) per una migliore copertura della sicurezza.
• NDR-241: Aggiunge una copertura di rilevamento per identificare gli attacchi di forza bruta dell'autenticazione NTLM, impedendo agli aggressori di entrare negli account attraverso ripetuti tentativi di accesso.

Integrazione di Zscaler Internet Access SSE in anteprima pubblica

Vectra AI e Zscaler si sono uniti per eliminare i punti oscuri nel traffico crittografato e cloud . Grazie all'integrazione con Zscaler Internet Access (ZIA), Vectra riproduce il traffico degli utenti da PCAP sicuri per il rilevamento delle minacce a tutto campo, scoprendo C2 ed esfiltrazioni avanzate che gli strumenti tradizionali non riescono a individuare. Si tratta di una svolta per la sicurezza degli ambienti remoti e cloud. Per informazioni, consultare il comunicato stampa e il podcast di Vectra AI. Contattate il vostro account team di Vectra AI se siete interessati ad attivare l'integrazione ZIA di Vectra. Per i dettagli sull'implementazione, consultare Zscaler ZIA Integration and Optimization.

Gestione integrata delle regole di Vectra Match

Vectra Match ora semplifica il rilevamento degli Indicatori di Compromissione (IOC) noti con firme compatibili con Suricata, senza bisogno di strumenti esterni. A partire dalla versione 9.3, è possibile gestire, modificare, attivare o disattivare le regole direttamente nella piattaforma e le modifiche vengono mantenute anche dopo gli aggiornamenti di Emerging Threats. È più veloce da configurare, più semplice da mantenere e mette nelle vostre mani il pieno controllo della logica di rilevamento. Per ulteriori informazioni, visitate il sito Gestione dei set di regole Vectra AI Match .

Rapporto di sintesi

Vectra AI presenta l'Executive Overview Report, l'istantanea sulla sicurezza pronta per la sala riunioni. Pensato per i CISO e i leader della sicurezza, fornisce metriche chiare e di grande impatto, come le tendenze di rumore e segnale e l'evoluzione dei modelli di attacco. In pochi minuti, avrete le informazioni necessarie per mostrare l'impatto di Vectra, orientare le decisioni strategiche e dimostrare come state riducendo il rischio di violazione, senza bisogno di approfondimenti.

Grafici di attacco Visualizzazioni in Quadrant UX

Il nuovo Grafico degli attacchi offre una chiarezza immediata sulle minacce attive, mappando visivamente il modo in cui gli aggressori si muovono attraverso la rete, il cloud e gli ambienti di identità. Grazie all'Vectra AI Prioritization di Vectra AI , ogni minaccia viene ora visualizzata direttamente nella pagina dell'host o dell'account, consentendo di capire immediatamente da dove è partito l'attacco, con quali sistemi ha interagito e come si è evoluto il suo livello di rischio nel tempo.

I team di sicurezza possono scegliere tra tre visualizzazioni intuitive per indagare sulle minacce nel modo più adatto al loro flusso di lavoro:

• Grafico dell'attacco - Per vedere come le diverse entità sono collegate durante l'attacco.
• Flusso dell'attacco - Vedere la sequenza di azioni dell'attaccante in un percorso strutturato.
• Timeline dell'attacco: per vedere come è cambiato e si è aggravato il rischio di minaccia. 

Questa funzionalità consente ai team SOC di agire con rapidità e sicurezza, facendo emergere il contesto e l'urgenza in un'unica visualizzazione attivabile. Per ulteriori informazioni, visitate le FAQ sull'Attack Graph.

Impronte digitali JA4/JA4S

Vectra AI ora include le impronte digitali JA4 e JA4S nei metadati, portando il fingerprinting di nuova generazione all'analisi del traffico criptato. Questo potente framework riduce le collisioni, collega le sessioni correlate e facilita l'individuazione delle infrastrutture degli aggressori che si nascondono dietro i protocolli comuni. Gli analisti ottengono così approfondimenti più chiari e veloci, con meno rumore e un contesto migliore tra i vari rilevamenti. JA4 è supportato in Investigate (RUX), Stream e Recall, mentre altri attributi della suite JA4+ sono in arrivo. Ulteriori informazioni sui nuovi attributi sono disponibili qui.

UI di convalida del traffico di rete in Quadrant UX

A partire dalla versione 9.3, Vectra AI ha introdotto nuove pagine di convalida del traffico. Queste pagine trasformano il report JSON della convalida del traffico in un dashboard intuitivo, che visualizza gli approfondimenti in modo più rapido e senza il fastidio di analizzare i dati grezzi. Le statistiche chiave vengono controllate automaticamente rispetto a soglie di salute predefinite, con chiari indicatori rossi o gialli che evidenziano le aree che potrebbero richiedere attenzione. Per ulteriori informazioni, leggete le FAQ.

L'AI-Triage ora risolve automaticamente più minacce benigne

L'intelligenza artificiale proprietaria di Vectra AIè appena diventata più intelligente. Il nostro algoritmo AI-Triage aggiornato ora indaga e risolve automaticamente il 50% dei C&C benigni e il 25% dei rilevamenti Recon benigni, riducendo drasticamente gli eventi benigni. Sfrutta sia gli schemi locali che le intuizioni globali per fornire il segnale più chiaro che ci sia. Per maggiori dettagli su AI-Triage, consultate l'articolo e il video su AI-Triage.

Miglioramento della classificazione delle minacce con la prioritizzazione dell'IA

Vectra AI Prioritization è stata migliorata per far emergere meglio le minacce che rispecchiano i recenti cambiamenti nel comportamento degli aggressori. Ci si aspetta una migliore separazione tra le minacce critiche e quelle ad alto rischio, una prioritizzazione più intelligente in tutto l'ambiente e una più rapida assegnazione delle priorità alle minacce. Si noti che i punteggi delle minacce e della certezza di alcuni host e account potrebbero cambiare in base alla logica di punteggio aggiornata una volta aggiornato il sistema.

Migliori pratiche di triage

Vectra AI sta introducendo una nuova serie di Best Practices progettata per aiutare gli utenti a sfruttare al meglio le funzioni chiave della piattaforma Vectra AI . La prima versione di questa serie è incentrata sul Triage. La guida alle Best Practice per il Triage include la terminologia comune, quando e perché effettuare il triage, le istruzioni per l'uso, le FAQ e molto altro ancora. Visitate l'articolo sulle migliori pratiche di triage per affinare il vostro flusso di lavoro di triage.

Rimozione da VirusTotal

Vectra AI ha rimosso l'integrazione di VirusTotal da Quadrant UX a causa di modifiche alle licenze. Il popup Destinazione esterna non visualizza più i dati di VirusTotal e nella prossima release è prevista una pulizia completa dell'interfaccia utente per evitare confusione. Per feedback o domande su questa rimozione, contattate il vostro team di account Vectra AI .

Nuova suite di rilevamento: AWS S3

Vectra AI ha introdotto tre nuovi rilevamenti per far emergere comportamenti sospetti relativi all'uso di AWS S3 nelle fasi di impatto e di esfiltrazione della catena di distruzione cloud :

• Eliminazione batch S3 sospetta di AWS: Questo rilevamento rileva comportamenti associati a download ed eliminazioni su larga scala associati a più file. Questo comportamento può indicare la fase di manipolazione distruttiva dell'attività ransomware nell'ambiente.
• Eliminazione sospetta di oggetti S3 di AWS: Come il nuovo rilevamento S3 Batch Deletion, questo rilevamento evidenzia comportamenti in cui singoli oggetti sono stati scaricati e poi eliminati da un bucket S3 in un modo che può indicare la fase di manipolazione distruttiva dell'attività ransomware nell'ambiente.
• Crittografia S3 sospetta di AWS: Questo rilevamento evidenzia attività di crittografia insolite che potrebbero indicare una fase di crittografia ransomware in corso. È progettato per rilevare la crittografia di molti oggetti S3 utilizzando una chiave KMS esterna (SSE-KMS) o una chiave controllata dal cliente (SSE-C).

Miglioramenti del segnale a M365, Azure AD e Azure

Sono stati introdotti miglioramenti ai seguenti rilevamenti AAD, Microsoft 365 e Azure per tenere meglio conto del rischio dei comportamenti sottostanti e farli emergere tempestivamente per la revisione. L'introduzione di questi miglioramenti può comportare modifiche al numero di entità prioritarie all'interno della Vectra AI Platform:

• M365 Attività sospetta di Power Automate: Questo rilevamento segnala potenziali comportamenti di esfiltrazione o C2 che utilizzano Power Automate all'interno dell'ambiente. I miglioramenti apportati a questo rilevamento comportano miglioramenti significativi nella fedeltà di questo rilevamento e una riduzione del tasso di falsi positivi osservati in questo rilevamento e in rilevamenti simili (M365 Creazione di flussi HTTP di Power Automate e M365 Creazione di flussi sospetti di Power Automate).
• Anomalia delle operazioni di privilegio di Azure AD: questo rilevamento segnala le operazioni anomale di Azure AD potenzialmente associate all'escalation dei privilegi. Vectra AI sta migliorando questo rilevamento per affinare i comportamenti considerati anomali. Il risultato atteso è una riduzione del rumore che circonda questo rilevamento.
• Operazioni di Exchange rischiose: Questo rilevamento segnala le operazioni privilegiate all'interno di Exchange che potrebbero essere abusate da un utente malintenzionato. Vectra AI sta migliorando l'ambito dei comportamenti presi in considerazione per questo avviso ed eliminando le azioni potenzialmente benevole in Exchange (come l'impostazione di risposte automatiche). I clienti possono aspettarsi una riduzione significativa del volume (oltre il 30%) grazie a questi miglioramenti.
• Registro diagnostico di Azure disabilitato: Questo rilevamento rileva i comportamenti di compromissione della difesa relativi all'eliminazione delle impostazioni dei registri diagnostici di Azure. Il rilevamento è stato migliorato per garantire una copertura più ampia dell'eliminazione dei registri diagnostici sulle macchine virtuali (VM). I clienti potrebbero osservare un lieve aumento dei volumi di rilevamento associati a questo miglioramento.

Miglioramenti al rilascio rapido

Dall'ultimo ciclo di rilascio del software sono stati apportati i seguenti miglioramenti agli algoritmi. I clienti connessi al servizio di aggiornamento di Vectra AIcon il supporto remoto abilitato hanno ricevuto questi miglioramenti. Tutti gli altri clienti riceveranno i seguenti miglioramenti con la versione 9.3:

• NDR-222: Aggiorna il titolo di un rilevamento di attività di protocollo sospetta per l'uso sospetto di Windows Remote Management (WinRM). Il nuovo titolo è "Possibile utilizzo dannoso di WinRM" per riflettere meglio la natura del comportamento.
• CS-10426: Risolto un problema che riguardava alcuni rilevamenti di Suspect Protocol Activity in cui gli indirizzi IP di origine e destinazione venivano attribuiti in modo errato a causa del client che fungeva da proxy. Questa correzione è stata applicata a tutti gli algoritmi di rilevamento pertinenti.
• NDR-251: espande la copertura del rilevamento contro le tecniche di penetrazione utilizzate da Kali Linux Package Repository.
• NDR-251: espande il rilevamento dell'attività Tor identificando gli IP di destinazione che corrispondono a nodi Tor noti.

Contesto più forte con i nuovi aggiornamenti del grafico degli attacchi

‍VectraVectra AI ha migliorato l'Attack Graph con due nuove potenti funzionalità. In primo luogo, gli analisti possono ora vedere i rilevamenti che hanno come obiettivo diretto l'entità su cui stanno indagando, rendendo più facile rispondere alla domanda: "Come è stata compromessa questa entità?". Questo aiuta a individuare rapidamente il "paziente zero" anche in scenari complessi di movimento laterale. In secondo luogo, l'Attack Graph ora visualizza il raggio d'azione dei canali di comando e controllo (C2), espandendosi automaticamente per mostrare tutte le entità legate allo stesso dominio o IP dannoso. Insieme, questi aggiornamenti accelerano le indagini, rivelano i collegamenti nascosti e forniscono ai team un contesto completo per fermare gli attacchi più rapidamente.

Accelerare le indagini con la caccia in cinque minuti

Siamolieti di annunciare che le Cacce in cinque minuti sono ora disponibili in Advanced Investigations. Queste ricerche guidate fanno emergere intuizioni significative nei metadati senza che i clienti debbano padroneggiare l'SQL o la terminologia specialistica. I team di sicurezza possono scoprire rapidamente gli schemi degli aggressori, dimostrare il valore proattivo "in tempo di pace" e aumentare l'efficienza con pochi clic. Dietro le quinte, la funzione è alimentata dal nostro framework flessibile di distribuzione dei contenuti, completo di layout adattivi, animazioni fluide e immagini accattivanti per un'esperienza analitica senza soluzione di continuità.

Avvisi di app esterne (notifiche Webhook)

Con gli avvisi delle app esterne, Vectra AI invia notifiche istantanee agli strumenti di collaborazione del team quando si verificano eventi critici per la sicurezza, come host o account ad alta priorità e avvisi di sistema chiave. Niente più screen-watching o risposte ritardate: avrete informazioni in tempo reale che vi consentiranno di agire più rapidamente. Disponibile da subito con integrazione diretta con Microsoft Teams e supporto Slack in arrivo. Per i dettagli sull'implementazione, vedere Avvisi di app esterne.

Impronte digitali JA4+

‍VectraVectra AI include ora le impronte digitali JA4, JA4S, JA4L, JA4X e JA4H nei metadati, portando il fingerprinting di nuova generazione all'analisi del traffico criptato. Questo potente framework riduce le collisioni, collega le sessioni correlate e facilita l'individuazione delle infrastrutture degli aggressori che si nascondono dietro i protocolli comuni. Gli analisti ottengono così approfondimenti più chiari e veloci, con meno rumore e un contesto migliore tra i vari rilevamenti. JA4+ è supportato in Investigate (RUX), Stream e Recall. Ulteriori informazioni sui nuovi attributi sono disponibili qui. ‍

Indagini più semplici con i dati CDR Azure leggibili dall'uomo

Vectra AI ha reso Azure CDR più facile da usare, sostituendo i confusi UUID con nomi chiari e leggibili. I nomi degli account nell'API REST ora riflettono gli ID Entra riconoscibili, mentre l'attività di rilevamento fa emergere nomi di oggetti e applicazioni intuitivi. Gli analisti non devono più decodificare gli ID grezzi: il triage è più veloce, le indagini più fluide e i dashboard più fruibili.

Gruppi basati sull'appartenenza ad Active Directory

Portate senza problemi i gruppi AD esistenti in Vectra e manteneteli perfettamente sincronizzati: niente più ricreazioni manuali o noiose operazioni di manutenzione. L'importazione massiva elimina il lavoro ripetitivo degli amministratori, in modo che i vostri team possano concentrarsi sulla caccia alle minacce, non sulla gestione dei gruppi. Semplificando le regole di triage e riducendo il rumore, potrete agire più rapidamente sugli avvisi che contano davvero. Questa è efficienza e chiarezza dei segnali, integrata nel sistema. Per ulteriori informazioni, visitate il sito Active Directory (AD) Groups. 

Integrazione di Zscaler Internet Access SSE in anteprima pubblica

Vectra AI e Zscaler si sono uniti per eliminare i punti oscuri nel traffico crittografato e cloud . Grazie all'integrazione con Zscaler Internet Access (ZIA), Vectra riproduce il traffico degli utenti da PCAP sicuri per il rilevamento delle minacce a tutto spettro, scoprendo C2 ed esfiltrazioni avanzate che gli strumenti tradizionali non riescono a individuare. Si tratta di una svolta per la sicurezza degli ambienti remoti e cloud. Per informazioni, consultare il comunicato stampa e il podcast di Vectra. Contattate il vostro team di account Vectra se siete interessati ad attivare l'integrazione ZIA di Vectra. Per i dettagli sull'implementazione, consultare Zscaler ZIA Integration and Optimization.

Approfondimento dei dirigenti con efficacia di segnale nei rapporti CISO

Vectra AI ora porta le metriche di efficacia del segnale direttamente nei report dei CISO, mostrando come i rilevamenti e le entità sono stati risolti come benigni, corretti o non classificati. Questo contesto aggiuntivo dimostra il valore dei rilevamenti più importanti per gli analisti e mette in evidenza i risultati della bonifica in un colpo d'occhio. I dirigenti ottengono una chiara visibilità sulla qualità delle minacce, consentendo di prendere decisioni più intelligenti in materia di sicurezza e dimostrando il valore misurabile di Vectra. 

Visibilità più intelligente con il dashboard Network Discovery

Vectra AI presenta la Network Discovery Dashboard, un nuovo potente modo di esplorare l'ambiente con una mappa di rete interattiva. Gli analisti possono ora tracciare visivamente host e IP, individuare le anomalie nel contesto e accelerare le indagini con una navigazione intuitiva. Questa dashboard semplifica gli ambienti complessi, trasformando i dati di rete grezzi in informazioni utili per una risposta più rapida e sicura alle minacce.

Ampliamento dell'offerta di GCP Brain

A partire dalla versione 9.2, Vectra introduce ulteriori offerte di Brain ospitati su Google Cloud Platform, o GCP. I nuovi GCP Brain sono in grado di gestire 5Gb/s e 15Gb/s e supportano tutte le stesse funzionalità degli altri Cloud Brain. 

Aggiunto il supporto per i gruppi Aggiunto per la v2.x. API QUX

A partire dalla versione 9.2, Vectra supporta l'ottenimento dei membri del gruppo dall'endpoint/groups. Per ulteriori informazioni, vedere: https://support.vectra.ai/vectra/article/KB-VS-1638

AI-Triage per i rilevamenti di AWS Cloud e Azure Cloud

Vectra AI ha introdotto AI Triage, la sua soluzione proprietaria di AI agenziale, nei suoi portafogli di copertura AWS e Azure. AI-Triage ora indaga automaticamente sugli avvisi di AWS Cloud e Azure Cloud in base a fattori quali la prevalenza e i profili delle minacce per filtrare le attività benigne negli ambienti dei clienti. L'impatto di AI-Triage è una riduzione delle entità prioritarie e dei corrispondenti carichi di lavoro di indagine per gli analisti SOC.

Attività di protocollo sospetta: Rilevamenti interni

Vectra AI sta ampliando la copertura dei rilevamenti di Suspect Protocol Activity. Ora Suspect Protocol Activity include rilevamenti che coprono gli attacchi interni laterali/record e supporta i protocolli LDAP, Kerberos, NTLM e SMB. Questa funzione è disattivata per impostazione predefinita, ma può essere attivata dal cliente ed è inclusa nella linea di prodotti Detect standard. Per ulteriori informazioni su SPA, consultare https://support.vectra.ai/s/article/KB-VS-1793.

Attività di protocollo sospetta: Forza bruta

Vectra AI sta ampliando la copertura dei rilevamenti di Suspect Protocol Activity. Ora SPA è in grado di rilevare i tentativi di brute force su tutti i protocolli. Questa regola rileva gli attacchi brute force in cui un aggressore tenta più richieste di autenticazione in un breve periodo. Gli attacchi di forza bruta possono colpire vari protocolli come SMB, LDAP, FTP, RDP, SSH e HTTP e sono spesso utilizzati dagli avversari per ottenere l'accesso non autorizzato agli account.

Nuovo rilevamento: Attività di rilancio NTLM

Vectra AI ha introdotto un nuovo rilevamento per NTLM Relay Activity. Questo migliora la visibilità di Vectra sulle tecniche di movimento laterale utilizzate dagli aggressori. Questo rilevamento identifica i tentativi di sfruttare l'autenticazione NTLM osservando quando un aggressore interroga un host e ritrasmette l'autenticazione acquisita a un altro host, spesso nell'ambito di tentativi di escalation dei privilegi o di compromissione del dominio.

Nuovo rilevamento: Rilevamento dei dati sensibili di M365 Copilot

Vectra AI ha introdotto un nuovo rilevamento per i comportamenti di scoperta relativi a M365 CoPilot. Il nuovo rilevamento M365 CoPilot Sensitive Data Discovery prevede che una sessione CoPilot sia stata sfruttata da un'identità per accedere a file che potrebbero contenere informazioni sensibili. Questo rilevamento mira a individuare gli attori delle minacce che utilizzano un account nell'ambiente per scoprire informazioni sensibili.

Nuova suite di rilevamento: Rilevamenti AWS Bedrock

Vectra AI ha introdotto quattro nuovi rilevamenti per far emergere comportamenti sospetti relativi all'uso di AWS Bedrock, un servizio completamente gestito offerto da AWS che semplifica la creazione e la distribuzione di applicazioni di intelligenza artificiale generativa.

• Configurazione della registrazione di AWS Bedrock disabilitata: Questo rilevamento evidenzia i casi in cui è stato osservato un responsabile disabilitare la registrazione dei prompt per AWS Bedrock a livello regionale. La disabilitazione della registrazione dei prompt interrompe l'acquisizione di tutte le attività di prompt e di risposta nei modelli AWS Bedrock e può indicare un tentativo di compromettere le difese o di nascondere un utilizzo dannoso.
• AWS Bedrock Novel Model Enabled: Questo rilevamento identifica attività sospette relative all'abilitazione di un modello AWS Bedrock da parte di un'identità che non ha precedenti nell'esecuzione di tali azioni. Segnala un potenziale accesso non autorizzato ai servizi di IA generativa che possono essere sensibili alla sicurezza e associati a costi elevati.
• Attività Bedrock sospetta di AWS: Questo rilevamento identifica attività sospette relative all'abilitazione e all'invocazione di un modello Bedrock AWS da parte di un'identità che non ha precedenti nell'esecuzione di tali azioni. La combinazione di abilitazione e invocazione di un modello suggerisce che un aggressore sta testando e utilizzando il modello, generando risposte a spese della vittima.
• AWS Bedrock Novel Enabled: Rileva ogni istanza in cui un modello fondativo AWS Bedrock è abilitato, poiché questa azione è poco comune e può avere implicazioni di costo o di sicurezza. Si tratta di un rilevamento informativo e non contribuisce al punteggio o alla prioritizzazione dell'entità. È inteso come un'intuizione rilevante per la sicurezza e potrebbe non essere considerato immediatamente sospetto.

Miglioramenti del segnale

Riduzione significativa degli avvisi di priorità benigna grazie ai miglioramenti apportati all'algoritmo di priorità AI di Vectra e agli aggiornamenti del rilevamento. In alcuni casi, i clienti possono vedere fino al 50% in meno di avvisi di priorità per host e account, senza sacrificare la copertura delle minacce reali.

• Azure AD e M365: Gli avvisi di priorità per gli account con rilevamenti specifici sono stati perfezionati, riducendo gli avvisi benigni e mantenendo il rilevamento degli attacchi moderni. I rilevamenti interessati includono M365 Suspicious Download Activity, che ora incorpora il contesto dell'Autonomous System Number (ASN) e Azure AD Suspicious Scripting Engine, con un'analisi migliorata per gli utenti ag

Miglioramenti al rilascio rapido

Dall'ultimo ciclo di rilascio del software sono stati apportati i seguenti miglioramenti agli algoritmi. I clienti collegati al servizio di aggiornamento di Vectra con il supporto remoto abilitato hanno ricevuto questi miglioramenti. Tutti gli altri clienti riceveranno i seguenti miglioramenti con la versione 9.2:

• NDR-166: Questa release migliora il rilevamento dei tunnel DNS ampliando la copertura di tutti i tipi di risposta DNS, fornendo un rilevamento delle minacce più ampio e accurato.
• NDR-144: migliora i rilevamenti C2 contro le tecniche utilizzate dal Covenant C2 Framework.
• NDR-202: questa release migliora le prestazioni dell'algoritmo che alimenta i nostri rilevamenti di Exfiltration, consentendo una più rapida identificazione delle minacce.
• NDR-195: migliora i rilevamenti HTTP contro le tecniche di penetrazione utilizzate da Kali Linux Package Repository.
• NDR-221: migliora i rilevamenti HTTP contro l'uso sospetto di Windows Remote Management (WinRM), rafforzando la visibilità sui potenziali abusi di questo protocollo.
• NDR-232: Migliora i rilevamenti dell'attività HTTP sospetta per tenere conto dell'uso del proxy, migliorando l'accuratezza del rilevamento negli ambienti proxy.

L'AI-Triage ora risolve automaticamente più minacce benigne

L'intelligenza artificiale proprietaria di Vectra AIè appena diventata più intelligente. Il nostro algoritmo AI-Triage aggiornato ora indaga e risolve automaticamente il 50% dei C&C benigni e il 25% dei rilevamenti Recon benigni, riducendo drasticamente gli eventi benigni. Sfrutta sia gli schemi locali che le intuizioni globali per fornire il segnale più chiaro che ci sia.Per maggiori dettagli su AI-Triage, consultate la KB di AI-Triage e il nostro recente video di aggiornamento.

Nuova suite di rilevamento: Rilevamenti AWS Bedrock

Vectra AI ha introdotto quattro nuovi rilevamenti per far emergere comportamenti sospetti relativi all'uso di AWS Bedrock, un servizio completamente gestito offerto da AWS che semplifica la creazione e la distribuzione di applicazioni di intelligenza artificiale generativa. 

• Configurazione della registrazione di AWS Bedrock disabilitata: Questo rilevamento evidenzia i casi in cui è stato osservato un responsabile disabilitare la registrazione dei prompt per AWS Bedrock a livello regionale. La disabilitazione della registrazione dei prompt interrompe l'acquisizione di tutte le attività di prompt e di risposta nei modelli AWS Bedrock e può indicare un tentativo di compromettere le difese o di nascondere un utilizzo dannoso. 
• AWS Bedrock Novel Model Enabled: Questo rilevamento identifica attività sospette relative all'abilitazione di un modello AWS Bedrock da parte di un'identità che non ha precedenti nell'esecuzione di tali azioni. Segnala un potenziale accesso non autorizzato ai servizi di IA generativa che possono essere sensibili alla sicurezza e associati a costi elevati. 
• Attività Bedrock sospetta di AWS: Questo rilevamento identifica attività sospette relative all'abilitazione e all'invocazione di un modello Bedrock AWS da parte di un'identità che non ha precedenti nell'esecuzione di tali azioni. La combinazione di abilitazione e invocazione di un modello suggerisce che un aggressore sta testando e utilizzando il modello, generando risposte a spese della vittima.
• AWS Bedrock Novel Enabled: Rileva ogni istanza in cui un modello fondativo AWS Bedrock è abilitato, poiché questa azione è poco comune e può avere implicazioni di costo o di sicurezza. Si tratta di un rilevamento informativo e non contribuisce al punteggio o alla prioritizzazione dell'entità. È inteso come un'intuizione rilevante per la sicurezza e potrebbe non essere considerato immediatamente sospetto. 

Nuova suite di rilevamento: AWS S3

Vectra AI ha introdotto tre nuovi rilevamenti per far emergere comportamenti sospetti relativi all'uso di AWS S3 nelle fasi di impatto e di esfiltrazione della catena di distruzione cloud : 

• Eliminazione batch S3 sospetta di AWS: Questo rilevamento rileva comportamenti associati a download ed eliminazioni su larga scala associati a più file. Questo comportamento può indicare la fase di manipolazione distruttiva dell'attività ransomware nell'ambiente. 
• Eliminazione sospetta di oggetti S3 di AWS: Come il nuovo rilevamento S3 Batch Deletion, questo rilevamento evidenzia comportamenti in cui singoli oggetti sono stati scaricati e poi eliminati da un bucket S3 in un modo che può indicare la fase di manipolazione distruttiva dell'attività ransomware nell'ambiente. 
• Crittografia S3 sospetta di AWS: Questo rilevamento evidenzia attività di crittografia insolite che potrebbero indicare una fase di crittografia ransomware in corso.È progettato per rilevare la crittografia di molti oggetti S3 utilizzando una chiave KMS esterna (SSE-KMS) o una chiave controllata dal client (SSE-C). 
  

Abilitazione del CDR di Azure senza soluzione di continuità

Vectra AI ha semplificato l'abilitazione del CDR di Azure con una nuova correzione del servizio Redirector. I clienti possono ora implementare senza problemi il CDR di Azure senza che restrizioni VPN o IP blocchino la configurazione. Questo elimina l'attrito nell'onboarding della telemetria cloud , garantendo un time-to-value più rapido e una visibilità immediata sulle minacce di Azure. I team di sicurezza ottengono una copertura più rapida con meno problemi. 

Gestione integrata delle regole di Vectra Match

Vectra Match ora semplifica il rilevamento degli Indicatori di Compromissione (IOC) noti con firme compatibili con Suricata, senza bisogno di strumenti esterni. A partire dalla versione 9.3, è possibile gestire, modificare, attivare o disattivare le regole direttamente nella piattaforma e le modifiche vengono mantenute anche dopo gli aggiornamenti di Emerging Threats. È più veloce da configurare, più semplice da mantenere e mette nelle vostre mani il pieno controllo della logica di rilevamento. Per ulteriori informazioni, visitate Gestione dei set di regole Vectra Match .

Introduzione: Rapporto di sintesi

Vectra presenta il rapporto Executive Overview sulla Vectra AI Platform. Questo rapporto si rivolge ai CISO e ai dirigenti della sicurezza che hanno bisogno di portare metriche di alto livello alle riunioni del consiglio di amministrazione o a livello esecutivo. Le metriche comprendono il rapporto tra rumore e segnale, il tempo di indagine risparmiato con Vectra, le tendenze degli attacchi e altro ancora. Questo report consente ai dirigenti di prendere decisioni strategiche e di valutare come Vectra riduce il rischio di violazione della sicurezza per la loro organizzazione.

Presentazione: Vista globale

Global View consente alle grandi aziende e agli MSSP di gestire e analizzare le minacce in modo centralizzato su più Brain e tenant da un'unica implementazione RUX, il che lo rende ideale per le operazioni globali con ambienti complessi.

Introduzione: Grafici di attacco

Il nuovo grafico degli attacchi fa chiarezza immediata sulle minacce attive, mappando visivamente il modo in cui gli aggressori si muovono attraverso la rete, il cloud e gli ambienti di identità. Grazie all'AI-Prioritization di Vectra, ogni minaccia viene ora visualizzata direttamente sulla pagina dell'host o dell'account, consentendo di capire immediatamente da dove è partito l'attacco, con quali sistemi ha interagito e come si è evoluto il suo livello di rischio nel tempo.

I team di sicurezza possono scegliere tra tre visualizzazioni intuitive per indagare sulle minacce nel modo più adatto al loro flusso di lavoro:

• Grafico della connettività: consente di vedere come le diverse entità sono collegate tra loro durante l'attacco.
• Grafico ad albero - Visualizza la sequenza delle azioni dell'attaccante in un percorso strutturato.
• Punteggio storico nel tempo - Per capire come è cambiato e si è aggravato il rischio della minaccia.

Questa capacità consente ai team SOC di agire con rapidità e sicurezza, facendo emergere il contesto e l'urgenza in un'unica vista azionabile.

Rapporto di convalida del traffico Download Problema risolto

Abbiamo risolto un problema che impediva ad alcuni clienti, in particolare a quelli che operano in ambienti RUX di grandi dimensioni, di scaricare il report di convalida del traffico di rete quando le sue dimensioni superavano i 6 MB circa. Il flusso di lavoro è stato migliorato per supportare il download di report più grandi, garantendo un accesso affidabile ai dati di convalida del traffico indipendentemente dalle dimensioni del report.

Introduzione della rete di sistemi Vectra X47/M47

A partire dalla versione 9.1, Vectra introduce i nuovi sistemi X47 e M47. Come gli altri sistemi della serie X, l'X47 può essere distribuito come cervello, sensore o in modalità mista. L'M47 supporta Vectra Stream con velocità fino a 75 Gbps. L'hardware è dotato di 4x1Gbps in rame e 2 x 10/25 Gbps SFP28. Per ulteriori informazioni sulle specifiche dell'appliance, consultare le specifiche dell'appliance e del sensore. 

Per le guide all'installazione, consultare la Guida rapida X47 o la Guida rapida M47. 

Modifica del tipo di gruppo su Quadrant UX Network

A partire dalla versione 9.1, Vectra supporta la conversione tra gruppi statici e dinamici per le implementazioni QUX. I filtri di triage esistenti che fanno riferimento a un gruppo statico continueranno a funzionare senza richiedere alcuna modifica dopo la ridefinizione del gruppo mediante una regex nella configurazione del gruppo dinamico. Questo dovrebbe consentire una maggiore flessibilità e facilità di implementazione quando i clienti passano ai gruppi dinamici. Per ulteriori informazioni sui gruppi dinamici, consultate le FAQ sui gruppi dinamici.

Miglioramenti alla gestione delle chiavi SSL

A partire dalla versione 9.1, Vectra AI supporta ora i certificati ECC (Elliptic Curve Cryptography). I clienti possono caricare il proprio certificato tramite i comandi esistenti. Inoltre, sono stati aggiornati i comandi che supportano le richieste di firma dei certificati (CSR). Utilizzo:

• `certificate replace-key` per generare una nuova chiave e una certificazione autofirmata da utilizzare per il server HTTPS, essenzialmente ripristinando il valore predefinito ma consentendo al cliente di personalizzare la lunghezza della chiave.
• `certificate info` per stampare alcune informazioni sul certificato HTTPS corrente per l'utente.

Per i dettagli completi sull'installazione del certificato, consultare: Installazione del certificato SSL (solo Quadrant UX).

Aggiornamento della versione di Vectra Match Suricata

Vectra AI ha aggiornato Suricata per supportare le nuove funzionalità del motore Suricata, tra cui JA4, e ha abilitato il parsing dei protocolli OT. Anche la configurazione di base suricata.yaml è stata aggiornata per riflettere le ultime funzionalità di Suricata. Per maggiori dettagli sulla configurazione di Suricata di Vectra, vedere: Configurazione di Vectra Match Suricata.

Aggiunto il supporto Oauth2 per la versione 2.x. API QUX

Vectra ai ha aggiornato le API di QUX v2.x per includere il supporto all'autenticazione OAuh2. Ora, sia l'attuale Personal Access Token (PAT) che il flusso Oauth2 sono supportati nella v2.x. Il token di accesso Oauth2 sarà valido per 6 ore, dopodiché scadrà e sarà necessario richiedere un nuovo token utilizzando le credenziali del client API. La creazione del client API deve essere effettuata esclusivamente nell'interfaccia utente di Vectra. L'accesso alle API v2.x più vecchie della v2.5 funziona come per la v2.5. La raccolta pubblica di Postman è stata aggiornata per tutte le versioni v2.x. Per maggiori informazioni vedere: Guida rapida alle API REST per Postman v2.5 con OAuth2 (QUX).

Miglioramento del rilevamento dei tunnel nascosti

Il rilevamento dei tunnel nascosti è stato migliorato per identificare le nuove connessioni beaconless che contattano sistemi esterni. Questo miglioramento fornisce una nuova copertura per gli strumenti di attacco beaconless basati su linee di comando a tunnel nascosto. Per ulteriori informazioni sul rilevamento del tunnel nascosto in generale, consultare la sezione Comprendere i rilevamenti di Vectra AI .

Miglioramento del rilevamento RDP Recon

Il rilevamento RDP Recon è stato migliorato per rilevare gli attacchi RDP Password Spray, in cui un aggressore può tentare di testare un piccolo numero di password contro un gran numero di account. La versione precedente di RDP Recon si concentrava sul tentativo di un aggressore di provare un gran numero di password contro un account, mentre questo miglioramento estende RDP Recon agli scenari in cui viene condotto un attacco brute force molto superficiale su molti account.

Miglioramenti del rilevamento AWS

Sono stati introdotti miglioramenti ai seguenti rilevamenti AWS per migliorare la fedeltà ad essi associata. L'introduzione di questi miglioramenti comporta una copertura più ampia dei comportamenti dannosi e può essere associata a lievi aumenti delle entità prioritarie negli ambienti dei clienti.

• AWS Cryptomining: Questo rilevamento segnala i comportamenti relativi all'avvio di più istanze di calcolo ad alta potenza. È stato ampliato per rilevare una gamma più ampia di attività di cyptomining attribuite a soggetti umani e non umani. I clienti potrebbero osservare un piccolo aumento del volume dei rilevamenti.

• Strumenti di attacco AWS: Questo rilevamento segnala gli strumenti di attacco noti in un ambiente AWS. È stato migliorato per garantire la fedeltà e ridurre il tasso di falsi positivi.

Miglioramenti del segnale 

Riduzione significativa degli avvisi di priorità benigna grazie ai miglioramenti apportati all'algoritmo di priorità AI di Vectra e agli aggiornamenti del rilevamento. In alcuni casi, i clienti possono vedere fino al 50% in meno di avvisi di priorità per host e account, senza sacrificare la copertura delle minacce reali.

• Azure AD e M365: Gli avvisi di priorità per gli account con rilevamenti specifici sono stati perfezionati, riducendo gli avvisi benigni e mantenendo il rilevamento degli attacchi moderni. I rilevamenti interessati includono M365 DLL Hijacking Activity, Azure AD Suspicious Access from Cloud Provider e Azure AD Suspicious Sign-on.

• Rete: Gli avvisi di priorità per gli host con rilevamenti specifici sono stati perfezionati, riducendo gli avvisi benigni e mantenendo il rilevamento degli attacchi moderni. I rilevamenti interessati includono pattern come l'attività sospetta dell'amministratore e la co-occorrenza di Port Scanning, Darknet Scanning e Port Sweeps.

Miglioramenti al rilascio rapido

Dall'ultimo ciclo di rilascio del software sono stati apportati i seguenti miglioramenti agli algoritmi. I clienti connessi al servizio di aggiornamento di Vectra con il supporto remoto abilitato hanno ricevuto questi miglioramenti. Tutti gli altri clienti riceveranno i seguenti miglioramenti con la versione 9.1:

• NDR-96: Questa versione introduce un miglioramento al nostro algoritmo RDP Recon, ampliando la copertura degli attacchi RDP Sweep in cui sono presenti evasioni per limitare la quantità di password tentate per account.
• NDR-106: migliora i nostri rilevamenti C2 contro le tecniche utilizzate da Mythic C2.
• NDR-104: questo rilascio introduce la copertura dell'attacco per l'exploit Apache Camel Case: CVE-2025-27636.
• NDR-73: questa versione introduce un miglioramento del segnale di attacco per l'Accesso remoto esterno per diminuire i rilevamenti veri positivi benigni verso le destinazioni più diffuse.
• NDR-108: Questa versione introduce un miglioramento per aumentare la scala e la salute di Beacon Detector in caso di carico pesante, limitando i metadati dei beacon per le destinazioni benigne più diffuse nell'ambiente.

Miglioramento della ricerca per nome del sensore

Abbiamo migliorato la funzionalità di ricerca nella pagina Rilevamenti per supportare la ricerca per nome del sensore anziché per LUID interno del sensore. Questo aggiornamento risponde al feedback dei clienti e rende più facile trovare i rilevamenti associati a sensori specifici utilizzando nomi riconoscibili.

Rilevamento migliorato dell'abuso di copilota in M365

In risposta al forte interesse dei clienti, stiamo ampliando la protezione contro i potenziali abusi di Microsoft Copilot. Oltre al rilevamento esistente di M365 Accesso sospetto a Copilot (che segnala gli accessi da posizioni insolite), stiamo introducendo un nuovo rilevamento: M365 Copilot Sensitive Data Discovery. Questo rilevamento identifica il comportamento degli aggressori che tentano di individuare documenti sensibili attraverso Copilot in Microsoft 365.

Arricchire il contesto di prioritizzazione dell'IA

Vectra ora presenta profili di attacco personalizzati quando i rilevamenti riguardano più superfici di attacco, aiutando a identificare minacce complesse con maggiore chiarezza. Sono stati introdotti due nuovi tipi di profilo:

• Avversario di rete ibrido: Indica un aggressore attivo sia nell'identità di rete che negli ambienti di identità cloud , suggerendo un'attività coordinata tra l'infrastruttura on-premise e quella cloud .
• Avversario di servizi Cloud : Rappresenta un attaccante che opera su più servizi cloud, come fornitori di identità, piattaforme SaaS o ambienti di cloud pubblico, senza un impegno diretto con i sistemi di identità di rete.

Questi profili sono progettati per riflettere la natura delle minacce ibride e migliorare il contesto delle minacce nell'interfaccia utente.

Supporto dell'AI Triage per i rilevamenti di Azure

Vectra sta migliorando il supporto per i rilevamenti Azure abilitando l'AI Triage per gli avvisi Azure CDRCloud Detection and Response). Per ogni tipo di rilevamento Azure esistente, stiamo valutando e applicando algoritmi di distillazione AI appropriati, definendo campi di contesto rilevanti e affrontando qualsiasi requisito di gestione specifico. Ciò contribuirà a far emergere approfondimenti ad alta fedeltà in modo più efficiente e a migliorare la chiarezza del rilevamento all'interno della piattaforma.

Introduzione dei gruppi dinamici su Quadrant

A partire dalla versione 9.0, Vectra AI supporta ora i gruppi dinamici su Quadrant UX. I gruppi dinamici sono una funzione della piattaforma Vectra AI che consente ai clienti di utilizzare le regole Regex per definire quali host o account devono appartenere a ciascun gruppo di triage, con il risultato che le entità vengono ordinate automaticamente nei gruppi non appena vengono rilevate. Questa funzione ridurrà il tempo che i clienti dedicano alla gestione e all'aggiornamento dei gruppi. Il supporto UX di risposta per questa funzione è stato introdotto nel dicembre 2024. Per ulteriori informazioni: https://support.vectra.ai/s/article/KB-VS-1839.

Rete di cervelli GCP ad alte prestazioni

Vectra ai ha creato una nuova variante a 64 core del GCP Brain e ha convalidato l'esistente Brain a 96 core per supportare un throughput complessivo superiore a quello pubblicato in precedenza. Per maggiori dettagli, consultare la Guida all'implementazione del GCP Brain.

Supporto proxy per attività di protocollo e Match sospette

A partire dalla versione 9.0, Vectra AI ha aggiunto il supporto proxy automatico per Match e SPA. Sebbene non sia richiesta alcuna azione da parte dell'utente, sono disponibili variabili aggiuntive per Match . Per maggiori dettagli, consultare le FAQ su Match https://support.vectra.ai/s/article/KB-VS-1635.

IP del Proxy Southside tramite CLI

A partire dalla versione 9.0, Vectra ha aggiunto il supporto per visualizzare gli IP dei proxy dell'elenco appreso Southside tramite la riga di comando. I proxy Southside identificano i proxy in cui Vectra si colloca tra il client e il proxy. Questo differisce dai proxy Northside che sono configurati in Gestione -> Proxy nell'interfaccia utente. Utilizzare "show proxy --southside" per visualizzare i proxy southside che il sistema ha appreso osservando il traffico di rete.

Rapporto di convalida del traffico migliorato

A partire dalla versione 9.0, Vectra AI ha aggiunto nuovi campi al report Enhanced Network Traffic Validation disponibile nella pagina Network Stats. I nuovi campi includono statistiche sugli errori NIC, sul troncamento dei pacchetti e sulle cadute/buchi nel traffico. Per ulteriori informazioni, consultare: https://support.vectra.ais/article/KB-VS-1648.

Interfacce S1 SFP+ supportate per l'uso di MGT1 o Capture

Starting in 9.0, Vectra now supports the use of the S1’s two onboard SFP+ interfaces for capture or management. The command “set management <default|sfp>” will alter the interface configuration for the MGT1 port. The command “set capture <default|sfp>” will alter the interface assignment used for capture. This creates 4 total configurations for management or capture. All options with new interface assignment diagrams for each are detailed in the S1 Quick Start Guide. Please note: The rated throughput of the S1 appliance does not change when using SFP+ ports. This only changes the physical interface assignments. Care should be taken to only forward a supported amount of traffic to the S1.

Dispositivo X29/M29 - Nuova sintassi per l'utilizzo di SFP+ per MGT

The X29/M29 appliances have an option to configure one of their SFP+ interfaces to be used as the MGT1 management port. The command has changed in version 9.0 to be consistent with the command syntax that is used now for all appliances that offer options to change similar interface options. The old command was “set management speed <1G|10G>” and the new command is “set management <default|sfp>”. Please see the X29 Quick Start Guide or the M29 Quick Start Guide for details.

Miglioramenti ai rilevamenti AWS

Sono stati introdotti miglioramenti ai seguenti rilevamenti AWS per migliorare la fedeltà ad essi associata. L'introduzione di questi miglioramenti comporta una copertura più ampia dei comportamenti dannosi e può essere associata a lievi aumenti delle entità prioritarie negli ambienti dei clienti.

• Registrazione di AWS CloudTrail disabilitata: Questo rilevamento segnala la tecnica di elusione della difesa che consiste nel disattivare la registrazione di AWS. Sono stati introdotti miglioramenti al modello per ampliare il profilo comportamentale che rappresenta questo comportamento dannoso.
• Logging di AWS CloudTrail modificato: Questo rilevamento segnala la tecnica di elusione della difesa che consiste nel declassare la registrazione di AWS. Sono stati introdotti miglioramenti al modello per ampliare il profilo comportamentale che rappresenta questo comportamento dannoso.
• Hijacking degli utenti AWS: Questo rilevamento segnala le tecniche di persistenza relative alla creazione di chiavi di accesso AWS. In questo modello è stato introdotto un apprendimento aggiuntivo per tenere conto della ripetizione dei comportamenti e del conseguente impatto sul volume degli avvisi emessi. Questo miglioramento consente di migliorare l'efficacia degli avvisi relativi a questo comportamento a rischio.

Miglioramenti del punteggio per i rilevamenti M365

Sono stati introdotti miglioramenti ai seguenti rilevamenti di Microsoft 365 per tenere meglio conto del rischio dei comportamenti sottostanti e farli emergere tempestivamente per la revisione. L'introduzione di questi miglioramenti può comportare modifiche al numero di entità prioritarie all'interno della piattaforma Vectra:

• M365 Attività sospetta di Power Automate: Questo rilevamento segnala potenziali comportamenti di esfiltrazione o C2 che utilizzano Power Automate all'interno dell'ambiente. I miglioramenti apportati a questo rilevamento comportano miglioramenti significativi nella fedeltà di questo rilevamento e una riduzione del tasso di falsi positivi osservati in questo rilevamento e in rilevamenti simili (M365 Creazione di flussi HTTP di Power Automate e M365 Creazione di flussi sospetti di Power Automate).

Fornire il supporto per l'autenticazione tramite OAuth

Vectra supporta sia l'attuale Personal Access Token (PAT) che il flusso Oauth2 nella versione 2.x. Il token di accesso Oauth2 sarà valido per 6 ore, dopodiché scadrà e sarà necessario richiedere un nuovo token utilizzando le credenziali del client API. La creazione del client API deve essere effettuata esclusivamente nell'interfaccia utente di Vectra. L'accesso alle API v2.x più vecchie della v2.5 funziona come per la v2.5. La raccolta pubblica di Postman è stata aggiornata per tutte le versioni v2.x.

Supporto GCC M365

Vectra supporta ora gli ambienti Microsoft 365 Government Community Cloud (GCC). Mentre in precedenza il supporto esisteva per i clienti GCC-High e Azure AD, questo aggiornamento estende la copertura ai clienti che operano in ambienti GCC, comunemente utilizzati dalle agenzie statali, locali e federali degli Stati Uniti. Grazie all'integrazione con gli endpoint specifici per il GCC di Microsoft, Vectra AI garantisce un'aggregazione dei log sicura e conforme per offrire visibilità completa e rilevamento delle minacce in tutti i livelli del cloud governativo di Microsoft.

Supporto Cybereason EDR

Vectra ha aggiunto il supporto per l'ingestione di avvisi EDR da Cybereason. I clienti che utilizzano Cybereason possono ora configurare la loro integrazione all'interno di Cantina per abilitare l'ingestione e la visibilità degli avvisi.

Modifica del tipo di gruppo

A partire dalla versione 9.1, Vectra supporta la conversione tra gruppi statici e dinamici per le implementazioni QUX. I filtri di triage esistenti che fanno riferimento a un gruppo statico continueranno a funzionare senza richiedere alcuna modifica dopo la ridefinizione del gruppo mediante una regex nella configurazione del gruppo dinamico. Questo dovrebbe consentire una maggiore flessibilità e facilità di implementazione quando i clienti passano ai gruppi dinamici. Per ulteriori informazioni sui gruppi dinamici, consultate le FAQ sui gruppi dinamici.

Supporto per la disabilitazione del rilevamento DNS

Gli utenti possono ora disabilitare l'ispezione dei pacchetti di risposta DNS nella pagina delle impostazioni. Se selezionato, viene visualizzato un messaggio di avviso per informare gli utenti che la disabilitazione della registrazione dei pacchetti di risposta DNS può avere un impatto sui relativi rilevamenti.

Indagine da qualsiasi luogo: Ultimo IP visto

Gli utenti possono ora accedere alle Indagini avanzate da punti di dati chiave al di fuori della pagina Indagini avanzate. Questo aggiornamento introduce un nuovo menu nel campo Ultimo IP visto all'interno delle schede Host della pagina Risponde. Passando il mouse sul campo Ultimo IP visto, gli utenti possono selezionare una query contenente l'indirizzo IP e passare direttamente ai risultati della query nella pagina Indagini avanzate.

Navigazione principale migliorata

Per supportare il numero crescente di dashboard, la navigazione è stata aggiornata passando da schede orizzontali a una barra laterale verticale pieghevole. Questa riprogettazione offre agli utenti un modo più scalabile e semplice di accedere e gestire i dashboard.

Miglioramenti alla riconciliazione dei conti federati

Questo aggiornamento aggiunge il supporto per la riconciliazione degli account federati in EntraID con i corrispondenti User Principal Name (UPN), compreso l'allineamento con le entità CDR di Azure e gli account M365/AzureAD.

Miglioramenti ai tempi di inattività del backup

A partire dalla versione 8.10, Vectra ha migliorato il tempo di inattività del backup, portandolo a meno di dieci minuti dal completamento. L'usabilità della funzione di backup rimane invariata, ma questa soluzione introduce un tempo di completamento dei backup drasticamente ridotto. 

Nuovo VMWare vSensor

A partire dalla versione 8.10, Vectra aumenta le capacità di larghezza di banda dei vSensori VMWare. I sensori VMWare sono in grado di gestire un traffico di 20 Gb/s e supportano tutte le stesse funzionalità degli altri sensori Cloud. Per ulteriori informazioni, consultare la nostra guida all'implementazione: https://support.vectra.ai/s/article/KB-VS-1075. 

Miglioramento del tunnel DNS nascosto NoReply

Nell'ambito della release 8.10, Vectra ha migliorato il rilevamento dei tunnel DNS nascosti per rilevare gli scenari in cui un utente malintenzionato può tentare di esfiltrare i dati tramite DNS utilizzando tecniche in cui il server non risponde (quindi il tunnel è solo un lato in cui l'utente malintenzionato trasmette i dati da dentro a fuori).

Miglioramenti del punteggio per i rilevamenti di Azure AD e M365

Sono stati introdotti miglioramenti ai seguenti rilevamenti di Microsoft 365 e Azure AD per tenere meglio conto del rischio dei comportamenti sottostanti e farli emergere tempestivamente per la revisione. L'introduzione di questi miglioramenti può comportare modifiche al numero di entità prioritarie all'interno della piattaforma Vectra:

• Azure AD/Entra ID
  
  • Impostazioni del dominio Azure AD modificate: Questo rilevamento avvisa quando un nuovo dominio non verificato o verificato viene aggiunto in modo sospetto all'ambiente. 
  • Modifica dell'accesso cross-tenant di Azure AD: Questo rilevamento avvisa quando le impostazioni di accesso cross tenant di un partner vengono aggiunte o aggiornate.
  • Azure AD Nuova autorità di certificazione registrata: Questo rilevamento avvisa quando una nuova Autorità di certificazione viene registrata nel tenant.
  • Azure AD Privilege Operation Anomaly: questo rilevamento segnala potenziali comportamenti di privilege escalation o account takeover all'interno dell'ambiente. I miglioramenti apportati a questo rilevamento comportano un miglioramento significativo della fedeltà del rilevamento e una riduzione del tasso di falsi positivi. 
• Microsoft 365
  
  • M365 Modifica della configurazione della simulazione di Phishing : Questo rilevamento avvisa quando la configurazione associata a un account Phishing viene modificata.

M365 Modifica casella di posta SecOps: Questo rilevamento avvisa quando la configurazione associata a un account SecOps viene modificata.

Lancio del CDR per Azure

Vectra AI aggiunge rilevamenti basati sull'intelligenza artificiale che rivelano i comportamenti degli aggressori che prendono di mira i servizi cloud di Microsoft Azure e Microsoft Copilot, fornendo il necessario rinforzo agli strumenti nativi dei clienti:

• Rileva gli aggressori che abusano di Azure Cloud
• Identifica gli attacchi reali in tempo reale collegando i punti di Azure IaaS, Active Directory, Microsoft 365, Copilot e Microsoft Entra ID in un unico pannello di vetro.
• Blocca la compromissione di Azure, consentendo ai team di sicurezza di 1) identificare le lacune di sicurezza per Azure Cloud, 2) accedere facilmente ai log delle attività e delle risorse di Azure arricchiti e 3) intraprendere azioni di risposta decisive per contenere rapidamente gli account Microsoft Entra ID coinvolti in un attacco.
  

Gruppi dinamici

I gruppi sono stati estesi per supportare l'appartenenza dinamica attraverso la definizione di un'espressione regolare (RegEx) per descrivere i nomi dei membri da includere. Ciò consente un enorme risparmio di lavoro nella gestione dei gruppi per il triage o lo scoring. L'appartenenza al gruppo viene valutata in fase di esecuzione, per garantire che le nuove entità siano correttamente classificate senza alcuno sforzo aggiuntivo da parte dell'utente. Questo vale per i gruppi di host o account.

Query salvate per l'Indagine avanzata

Semplificazione del processo di gestione delle query all'interno dell'esperienza Advanced Investigation di Respond UX grazie alla possibilità di salvare e condividere le query.

Gli analisti potranno creare, salvare, aggiornare e cancellare le query senza soluzione di continuità, riducendo le ripetizioni e promuovendo il riutilizzo. Gli analisti potranno inoltre condividere le query salvate con altri analisti, favorendo la collaborazione e la condivisione delle conoscenze all'interno dei team.

La regione Svizzera è abilitata

Ora supportiamo le implementazioni di Respond UX in Svizzera. Ciò consente ai clienti svizzeri di ospitare all'interno dei propri confini, se necessario. Questa nuova regione supporta tutti i prodotti Vectra.

La funzione PCAP selettiva è abilitata per i clienti della rete Respond UX.

Con questa versione, ora supportiamo pienamente le PCAP selettive per i nostri clienti della rete Respond UX. Questa funzione consente di sfruttare l'impronta del sensore Vectra per eseguire un'acquisizione di pacchetti personalizzata in remoto, senza dover accedere all'infrastruttura locale.

Match Vectra - Set di regole curate

Con questa release, Vectra ha introdotto un link scaricabile che consente agli utenti di recuperare il set di regole curate per Vectra Match. Un nuovo link apparirà nell'interfaccia utente della pagina di Vectra Match per i contenuti giornalieri aggiornati, oltre a poter essere consumato tramite API. Per maggiori dettagli, consultare il Vectra Match Curated Ruleset.

Copilot per il cruscotto della superficie delle minacce di M365

Si tratta di una nuova dashboard in Respond UX per M365, incentrata sull'utilizzo di Copilot a livello di organizzazione. Utilizzate questo dashboard per capire l'utilizzo di Copilot all'interno della vostra organizzazione e quali sono i file a cui si accede con Copilot.

Integrazione Gli endpoint di salute sono stati aggiunti all'API V3

Nuovo endpoint API sull'API V3 Respond UX per dare visibilità alle integrazioni come EDR, AD, ecc. consentendo di monitorare queste integrazioni critiche nel tempo.

Vectra Match è ora disponibile in Indagini istantanee e Avanzate

Con questa versione, Vectra Match è supportato da Respond UX. Il supporto di Respond UX offre tutto il supporto WebUI e API fornito in Quadrant UX e aggiunge il supporto per le indagini istantanee e avanzate per gli avvisi Match . Per ulteriori dettagli, consultare la Guida all'implementazione diMatch .

La gestione degli utenti è stata aggiunta all'API V3

Nuovo endpoint API sull'API Respond UX V3 per gestire gli utenti autonomi all'interno del tenant Respond UX. Utilizzate questa API per effettuare il provisioning o il deprovisioning automatico degli utenti dai vostri playbook di onboarding o offboarding.

Blocco automatico dell'account AzureAD

AzureAD Account Automatic Lockdown è stato progettato per dotare gli utenti di Vectra di meccanismi di difesa proattiva contro le minacce. Abilitando questa funzione, è ora possibile configurare due impostazioni fondamentali: Punteggio di urgenza e Importanza dell'entità. Questo approccio a doppia configurazione garantisce che quando un'entità supera le soglie predefinite di Punteggio di urgenza e Importanza, entri automaticamente in uno stato di blocco per una durata stabilita e configurata dall'utente. Questo periodo consente un'indagine approfondita, assicurando che le potenziali minacce vengano analizzate e affrontate in modo efficace.

Cruscotto della superficie delle minacce di rete

Rilascio iniziale di un nuovo cruscotto Threat Surface per i clienti della rete Respond UX. Questa dashboard svela una grande quantità di informazioni sul vostro ambiente e mette in luce i problemi di superficie di attacco e di conformità. Sfruttate questo dashboard per esplorare l'uso di protocolli obsoleti e deprecati all'interno del vostro ambiente e per garantire la conformità con le politiche stabilite per aree come SMBv1.

Rilevamento per AWS - Supporto per S3 copyObject nei log di CloudTrail

Per impostazione predefinita, CloudTrail popola i bucket S3 con eventi putObject. Al momento dell'ingest Vectra scartava gli eventi popolati con il comando copyObject. Con questa modifica, Vectra ingerisce gli eventi creati con copyObject o putObject.

Consolidamento di AzureAD e AD lockdown

Per i clienti che hanno la possibilità di bloccare sia gli account AzureAD che AD (clienti con rete e Detect per AzureAD), abbiamo armonizzato l'esperienza per offrire una migliore esperienza complessiva, integrando queste due diverse funzionalità e consentendo una maggiore visibilità e selettività per l'azione che si desidera eseguire. Scegliete di bloccare Azure AD o AD, o entrambi, tutti dalla stessa esperienza.

Blocco automatico dell'account AD

AD Account Automatic Lockdown è stato progettato per dotare gli utenti di Vectra di meccanismi di difesa proattiva contro le minacce. Abilitando questa funzione, è possibile configurare due impostazioni fondamentali: Punteggio di urgenza e Importanza dell'entità. Questo approccio a doppia configurazione garantisce che quando un'entità supera le soglie predefinite di Punteggio di urgenza e Importanza, entri automaticamente in uno stato di blocco per una durata stabilita e configurata dall'utente. Questo periodo consente un'indagine approfondita, assicurando che le potenziali minacce vengano analizzate e affrontate in modo efficace.

Miglioramenti alla gestione degli utenti

Questo miglioramento offre agli amministratori di Respond UX l'aspetto familiare dell'interfaccia di gestione degli utenti offerta dalla nostra piattaforma Quadrant UX. Gli amministratori possono ora gestire facilmente gli utenti e i loro ruoli, garantendo la massima precisione nel provisioning degli utenti e nella verifica degli accessi al sistema.

Accesso sospetto ad Azure AD da parte del fornitore di Cloud

Vectra ha introdotto la capacità di rilevare gli aggressori che compromettono un'identità e vi accedono da un provider di cloud pubblico, come Amazon, Azure o GCP, per tentare di eludere il rilevamento e nascondere la loro vera posizione. Il rilevamento utilizza l'apprendimento automatico per identificare se un utente accede normalmente al proprio account dal cloud pubblico. Gli avvisi di Bening possono attivarsi quando un utente utilizza un'applicazione che passa attraverso un cloud pubblico o macchine virtuali ospitate cloud . Questo nuovo avviso darà priorità a un account quando si verifica con altri avvisi in modo simile all'avviso Azure AD Suspicious Sign-On.