Perché i SOC moderni hanno bisogno di CrowdStrike + Vectra AI
Gli hacker non si fermano agli Endpoint e nemmeno il tuo sistema di rilevamento dovrebbe farlo
L'EDR è fondamentale. Tuttavia, gli autori degli attacchi moderni sfruttano le identità, cloud, il SaaS, i dispositivi non gestiti e il traffico di rete crittografato: aree in cui endpoint sola endpoint non è in grado di garantire una copertura completa. Gli hacker moderni non operano in silos e non hanno bisogno di un endpoint per agire. Con i team di sicurezza responsabili di centinaia di migliaia di risorse, installare un agente ovunque è poco pratico e la maggior parte delle soluzioni EDR rimane vulnerabile alle comuni tecniche di evasione. Il risultato sono punti ciechi, affaticamento da allarmi e minacce non rilevate su una superficie di attacco in continua espansione.
Read the full guide below, or download to read later.
I 5 motivi per cui l'EDR non è sufficiente
1. Gli agenti non possono essere ovunque
Fino al 50% dei dispositivi potrebbe non disporre di un agente EDR e, poiché l'EDR monitora solo i sistemi su cui è in esecuzione un agente, i dispositivi non gestiti (ad esempio, risorse IoT/OT, apparecchiature di rete, sistemi di appaltatori) creano notevoli punti ciechi che gli aggressori sfruttano consapevolmente.
Come collaborano Vectra AI CrowdStrike
Vectra AI una visibilità della rete senza agenti su data center on-premise, identità, cloud e risorse non gestite, arricchendo i rilevamenti di CrowdStrike Falcon Insight XDR con un contesto completo della superficie di attacco.
2. L'EDR viene aggirato, eluso o disattivato
I comportamenti degli autori degli attacchi, come l'uso improprio dei driver del kernel, la manomissione degli agenti e gli strumenti per la rimozione degli hook EDR, dimostrano che endpoint non è infallibile al 100%.
Come collaborano Vectra AI CrowdStrike
Quando gli aggressori aggirano endpoint , la telemetria di rete basata sull'intelligenza artificiale di Vectra rileva i comportamenti successivi alla compromissione, quindi attiva automaticamente l'isolamento dell'host CrowdStrike tramite integrazione.
- Vectra AI il comportamento.
- CrowdStrike isola l'host.
3. La visibilità incentrata sull'host non rileva i movimenti laterali e l'uso improprio delle identità
L'EDR offre una visibilità limitata sui movimenti laterali est-ovest, sul traffico SSL crittografato nel C2, sull'uso improprio di Kerberos e cloud . Poiché le identità sono altamente trasferibili, gli aggressori possono spostarsi da un sistema all'altro, passare a host privi di EDR e assumere il controllo di altri account compromessi. Per garantire una risposta e un ripristino efficaci, è necessaria una visibilità completa sul raggio d'azione dell'attacco su tutti gli host e le identità interessati.
Come collaborano Vectra AI CrowdStrike
Vectra AI cloud relativi alla rete, alle identità, al SaaS e cloud utilizzando la nostra intelligenza artificiale brevettata, mentre CrowdStrike fornisce endpoint approfonditi endpoint e funzionalità di risposta.
Insieme:
- Rilevamenti unificati
- Avvisi correlati
- Indagini più rapide all'interno di Falcon Next-Gen SIEM
4. I SOC sono sommersi da una valanga di avvisi
I SOC ricevono circa 3.800-4.000 segnalazioni al giorno, ma meno dell'1% di queste richiede un intervento concreto. Un numero maggiore di strumenti non garantisce necessariamente segnali di migliore qualità.
Come collaborano Vectra AI CrowdStrike
Vectra AI il rumore dando priorità ai comportamenti reali degli aggressori grazie a un sistema basato sull'intelligenza artificiale.
CrowdStrike Falcon SIEM di nuova generazione:
- Correlazione di petabyte di dati
- Consente di eseguire ricerche in un batter d'occhio
- Fornisce flussi di lavoro investigativi unificati
Risultato:
- Meno avvisi
- Rilevamenti con maggiore precisione
- MTTR più rapido
5. Requisiti della triade di visibilità SOC
Una visibilità efficace del SOC dipende dai log (SIEM), dagli endpoint (EDR) e dalla rete (NDR). Se uno di questi elementi viene rimosso, gli aggressori sfrutteranno la lacuna che ne deriva.
Posizionamento di Vectra AI CrowdStrike
Insieme, formano un'architettura XDR completa basata sull'intelligenza artificiale.
Come funziona la partnership
Insieme è meglio: rilevamento e risposta unificati
- CrowdStrike rileva endpoint sospetti endpoint
- Vectra AI cloud relativi alla rete, all'identità e cloud
- Falcon Next-Gen SIEM centralizza le attività investigative
- Isolamento automatico degli host tramite CrowdStrike
- SOC visualizza una vista delle entità con priorità
Con il sostegno di:
- Integrazione bidirezionale
- Perno unico tra le piattaforme
- Acquisizione integrata dei segnali Vectra tramite SIEM di nuova generazione
Cosa significa questo per i responsabili della sicurezza
Copertura
Visibilità ibrida su:
- Endpoint
- Rete
- Identità
- Cloud
- SaaS
Chiarezza
- Correlazione delle minacce basata sull'intelligenza artificiale tra i vari vettori di attacco
- Riduzione del rumore di allarme fino all'80–99%
Controllo
- Isolamento automatizzato di identità, dispositivi e traffico
- Indagine coordinata supportata da metadati potenziati dall'intelligenza artificiale
- Integrazione perfetta con SIEM
Per garantire la resilienza agli attacchi moderni non basta l'EDR
L'EDR è fondamentale.
Ma la resilienza informatica moderna richiede:
- Dati di riferimento della rete
- Visibilità dell'identità
- Cloud
- Correlazione basata sull'intelligenza artificiale
- Risposta automatica
La potenza combinata della piattaforma CrowdStrike Falcon e Vectra AI.
Un unico livello di rilevamento e risposta: monitorare ciò che accade endpoint su tutti i dispositivi ad esso collegati.
Apprezzato da esperti e aziende in tutto il mondo
