Ottimizzazione del SIEM per una piattaforma XDR Vectra AI

Il SIEM è buono solo quanto i dati che ottiene

Con l'espansione della superficie di attacco, aumenta anche la quantità di dati da indicizzare, arricchire e analizzare. Il vostro SIEM è in grado di coprire tutto?

Può proteggere tutti gli host e gli account?
Vi avviserà riguardo agli attacchi di tipo living off the land e ad altriattacchi che si nascondono in piena luce?
State sfruttando al massimo il vostro SIEM?

La sfida

Il SIEM da solo non può proteggere la vostra organizzazione

Lacune di rilevamento critiche. Dati di sicurezza isolati. Copertura dei registri mai abbastanza completa e costi che continuano ad aumentare. Non c'è da stupirsi che il 44% delle organizzazioni stia cercando di aumentare le proprie soluzioni SIEM. Avete bisogno di un modo affidabile per individuare i segni degli attacchi ibridi moderni in corso.

Blog

Scalare il SIEM con Vectra AI

Quanto di più potrebbe ottenere il vostro team SOC con una moderna piattaforma XDR? Per un grande rivenditore, l'integrazione con Vectra AI ha portato a:

6 milioni di dollari in meno di costi di log ingest
37 casi d'uso SIEM in meno
92.500 dollari di risparmi annuali sulla manutenzione

Per saperne di più

La soluzione

Combinare l'intelligenza artificiale con il vostro SIEM

Integrando con il vostro SIEM, la piattaforma Vectra AI vi permette di vedere e fermare gli attacchi reali in tempo reale.

Semplificare le operazioni di sicurezza

Trovate più minacce con meno lavoro e meno costi.

Meno rischi

I rilevamenti guidati dall'intelligenza artificiale si concentrano su entità, identità e host, non solo sulle anomalie, per far emergere immediatamente le minacce. Il risultato è un 90% in meno di minacce non rilevate.

Carichi di lavoro più leggeri

Il triage e la prioritizzazione guidati dall'intelligenza artificiale utilizzano l'apprendimento automatico per comprendere l'ambiente ed eliminare il rumore degli avvisi dell'85% o più.

Costi inferiori

Vectra AI I clienti risparmiano il 30% o più consolidando gli strumenti, scaricando i casi d'uso e riducendo il volume dei log.

Come funziona

Perché integrare la piattaforma Vectra AI con il vostro SIEM?

Vectra AI fornisce il segnale integrato necessario per trovare gli attacchi, indipendentemente dalla lastra di vetro.

Individuare i primi segni di attività dell'attaccante

Anche le tecnologie SIEM più avanzate non sono state costruite per gestire le decine di migliaia di attacchi quotidiani che vi trovate ad affrontare. Vectra AIIl segnale integrato di SIEM analizza automaticamente i comportamenti degli aggressori dopo la violazione, in modo da poter bloccare gli attacchi in tempo reale.

"Il fatto che la piattaforma Vectra AI avesse una funzionalità cloud e una soluzione on-premise era fondamentale per noi. Ora è molto facile per noi scalare, non abbiamo nemmeno intenzione di mettere il SIEM nei nostri ambienti".

Vicepresidente di SecOps

Società di tecnologia sportiva

Ingerire solo i dati necessari

Vectra AI invia dati arricchiti al vostro SIEM, senza dover pagare un sovrapprezzo per conservarli. Grazie alla piattaforma Vectra AI , i nostri clienti risparmiano fino al 50% sui costi annuali di manutenzione e conservazione dei log.

"Ora ci concentriamo sulle indagini e sulla caccia proattiva alle minacce, invece di inseguire i log".

John Shaffer

CIO, Greenhill

Espandere la capacità del vostro SOC

Scaricate il 50% (o più) dei vostri casi d'uso SIEM sulla piattaforma Vectra AI . Con integrazioni certificate per i flussi di lavoro SIEM, la nostra AI per la sicurezza rende i carichi di lavoro di analisi 38 volte più leggeri.

"La piattaforma Vectra AI non richiede molto lavoro per essere un'arma efficace contro i cyberattacchi".

Daniel Luttermann

Caposquadra sicurezza, Rossman

Soddisfare o superare i requisiti di conformità

Modernizzate il vostro centro operativo di sicurezza senza compromettere la conformità. La piattaforma Vectra AI supporta tutte le aree di conformità, dal GDPR al NIS2. Anche la nostra certificazione di conformità AI SOC 2 Type 2 è una pietra miliare per il settore.

"Vectra AI raccoglie e archivia tutti questi metadati storici, invece dei payload dei pacchetti, per proteggere la privacy dei dati e supportare il GDPR. Non c'è nessuna infrastruttura di big data da acquistare, installare o gestire".

Rizwan Majeed

Responsabile della sicurezza ICT, Pennine Care NHS Foundation Trust

Individuare i primi segni di attività dell'attaccante

Anche le tecnologie SIEM più avanzate non sono state costruite per gestire le decine di migliaia di attacchi quotidiani che vi trovate ad affrontare. Vectra AIIl segnale integrato di SIEM analizza automaticamente i comportamenti degli aggressori dopo la violazione, in modo da poter bloccare gli attacchi in tempo reale.

"Il fatto che la piattaforma Vectra AI avesse una funzionalità cloud e una soluzione on-premise era fondamentale per noi. Ora è molto facile per noi scalare, non abbiamo nemmeno intenzione di mettere il SIEM nei nostri ambienti".

Vicepresidente di SecOps

Società di tecnologia sportiva

Ingerire solo i dati necessari

Vectra AI invia dati arricchiti al vostro SIEM, senza dover pagare un sovrapprezzo per conservarli. Grazie alla piattaforma Vectra AI , i nostri clienti risparmiano fino al 50% sui costi annuali di manutenzione e conservazione dei log.

"Ora ci concentriamo sulle indagini e sulla caccia proattiva alle minacce, invece di inseguire i log".

John Shaffer

CIO, Greenhill

Espandere la capacità del vostro SOC

Scaricate il 50% (o più) dei vostri casi d'uso SIEM sulla piattaforma Vectra AI . Con integrazioni certificate per i flussi di lavoro SIEM, la nostra AI per la sicurezza rende i carichi di lavoro di analisi 38 volte più leggeri.

"La piattaforma Vectra AI non richiede molto lavoro per essere un'arma efficace contro i cyberattacchi".

Daniel Luttermann

Caposquadra sicurezza, Rossman

Soddisfare o superare i requisiti di conformità

Modernizzate il vostro centro operativo di sicurezza senza compromettere la conformità. La piattaforma Vectra AI supporta tutte le aree di conformità, dal GDPR al NIS2. Anche la nostra certificazione di conformità AI SOC 2 Type 2 è una pietra miliare per il settore.

"Vectra AI raccoglie e archivia tutti questi metadati storici, invece dei payload dei pacchetti, per proteggere la privacy dei dati e supportare il GDPR. Non c'è nessuna infrastruttura di big data da acquistare, installare o gestire".

Rizwan Majeed

Responsabile della sicurezza ICT, Pennine Care NHS Foundation Trust

Ottimizzate il vostro SIEM con Vectra AI

Copertura

Semplificate la ricerca, le indagini e la risposta alle minacce con una telemetria degli attacchi consolidata su reti pubbliche cloud, identità, SaaS e data center.

Chiarezza

Individuate i primi segni di attività di attacco grazie all'intelligenza artificiale delle minacce e a un segnale integrato per individuare rapidamente gli attacchi, indipendentemente dal vetro di cui disponete.

Controllo

Mantenete la conformità e il controllo con una moderna piattaforma SOC facile da usare, che non richiede ulteriori sforzi di prioritizzazione o triage.

DOMANDE FREQUENTI

Perché molti team stanno perdendo colpi nella lotta contro i moderni attacchi ibridi?

Molte operazioni SIEM tradizionali sono messe a dura prova dall'afflusso di dati sulla sicurezza e i team SOC ne risentono. Queste statistiche spaventose, tratte dal rapporto State of Threat Detection diVectra AI, la dicono lunga:

Il 70% degli analisti delle operazioni di sicurezza ammette che la propria organizzazione è stata probabilmente compromessa e non ne è ancora a conoscenza.

Il 97% teme di perdere un evento di sicurezza rilevante perché sepolto da una marea di avvisi.

Il 67% è esausto e sta pensando di lasciare il proprio lavoro, o sta già cercando attivamente una via d'uscita.

Per questo motivo, molti team SOC sono alla ricerca di modi economicamente vantaggiosi per ottenere più valore dagli investimenti SIEM esistenti.

Come potete ottenere ancora più valore dal vostro SIEM?

I feedback più comuni che riceviamo dai nostri clienti riguardano i costi, la complessità e il time to value. (Prima di Vectra AI, un cliente aveva un prezzo di 590.000 dollari solo per sviluppare casi d'uso SIEM). Ci vuole molto tempo per perfezionare i playbook, per non parlare della loro implementazione. Con un numero così elevato di cyberattacchi che utilizzano l'intelligenza artificiale, non potete permettervi di non automatizzare il vostro flusso di lavoro investigativo.

Tuttavia, avete investito molto nel vostro SIEM e non dovreste ricominciare da zero. Con Vectra AI, non dovrete farlo.

In che modo l'integrazione con Vectra AI migliorerà il vostro SIEM?

Le nostre semplici integrazioni consentono di portare l'intelligenza artificiale delle minacce in qualsiasi dashboard. Sia tramite syslog standard che tramite API, è possibile esportare il punteggio delle entità, i metadati di rete o l'output dei log di Vectra AI direttamente nel SIEM.

I nostri rilevamenti basati sull'intelligenza artificiale coprono oltre il 90% delle tecniche di MITRE ATT&CK , facendo emergere le minacce informatiche immediatamente, senza bisogno di sintonizzazioni o configurazioni personalizzate. Questo vi permette di risparmiare tempo e denaro, concentrandovi su un insieme più ristretto di playbook per proteggere ulteriormente la vostra organizzazione.

Quali casi d'uso del SIEM è possibile scaricare?

Grazie alla mappatura dei casi d'uso SIEM comuni con le famiglie di rilevamento diVectra AI , i nostri clienti risparmiano tempo e denaro accelerando il rilevamento e la risposta.

Sostituite questi casi d'uso del SIEM:	Con il corrispondente rilevamento di Vectra AI :
- Attacco di forza bruta contro il portale Azure - Accesso riuscito al cliente da un IP e fallimento da un altro IIP - Microsoft Entra ID (ex Azure AD) - Più fallimenti di autenticazione seguiti da un successo	Forza bruta
- Tentativo di cracking distribuito della password in Azure AD - Entra ID - Accesso fallito a un account da più fonti - Entra ID - Accessi falliti a un account da un'unica fonte - Entra ID - Attacco spray alla password contro Azure AD	Tentativo di forza bruta
Passaggio alla configurazione IP attendibile	Tentativi di aggirare la regola di accesso condizionato in Entra ID
Estrazione di criptovalute	- Estrazione di criptovalute tramite dirottamento delle risorse - Eventi DNS relativi alle piscine di estrazione
Tentativo di account disabilitato	Tentativi di accesso ad account disabilitati
Palo Alto - rilevato un potenziale beaconing	Tunnel nascosto HTTP/HTTPS
MFA disabilitato per un utente	MFA disattivato
Entra ID - Nuovo utente creato e aggiunto al gruppo di amministratori integrato.	Creazione di un nuovo account amministratore/creazione di un account amministratore
Entra ID - È stato assegnato un ruolo ad alto privilegio	Creazione di un nuovo account amministratore/creazione di un account amministratore/creazione di un accesso ridondante
Registro eventi di sicurezza cancellato	M365 disabilita gli strumenti di sicurezza/Tentativo di disabilitazione del registro M365
Rilevato DDoS di rete	DoS in uscita
- Firewall - Rilevata una potenziale scansione della porta locale - Palo Alto - Possibile scansione interna di porte esterne	Scansione della porta
Azure - All'utente sono stati concessi i diritti di amministratore dell'abbonamento	Creazione di accessi ridondanti
- Trasferimento dei dati a VPC non attendibili - Anomalia delle serie temporali per la dimensione dei dati trasferiti su Internet pubblico	Colpisci e afferra
DNS - Raro numero di NXDomain elevato	Dominio sospetto
- Raro consenso all'applicazione - Azure - Concessione del consenso ad applicazioni di terze parti con autorizzazioni sospette - Azure - Consenso dell'applicazione sospetta per l'accesso offline	Autorizzazioni sospette per le applicazioni
- Entra ID - Utente aggiunto a un gruppo privilegiato - Entra ID - Account aggiunto e rimosso dai gruppi privilegiati - Entra ID - Account utente aggiunto al gruppo locale o globale del dominio incorporato.	Operazione Entra ID sospetta
Concessione sospetta di autorizzazioni a un account	Operazione Entra ID sospetta/Creazione di un account amministratore/account amministratore appena creato
Invocazione powershell sospetta	Esecuzione remota sospetta
Attività sospette di download di massa	Attività di condivisione sospette
Posizione di accesso anomala per account utente e applicazione di autenticazione	Accesso sospetto
Agente utente malformato	HTTP sospetto
DNS - proxy tor	Attività di Tor

Dovreste invece considerare le alternative SIEM?

Se non siete soddisfatti degli attuali casi d'uso per il rilevamento, l'investigazione e la risposta alle minacce (TDIR) all'interno del vostro SIEM, la piattaforma Vectra AI è agentless e agnostica rispetto ai dispositivi e può essere operativa in pochi giorni.

Vectra AI è un sostituto del SIEM?

La scelta è vostra. Potete integrare Vectra AI con il vostro SIEM esistente per ottimizzare i flussi di lavoro investigativi, oppure passare alla nostra piattaforma SOC guidata dall'intelligenza artificiale per un rilevamento e una risposta estesi (XDR).

Che tipo di risultati ci si può aspettare con le ottimizzazioni SIEM di Vectra AI?

Vectra AI accelera i rilevamenti e traduce i risultati in fattori noti, in modo da poter rispondere più rapidamente agli eventi. I nostri clienti sperimentano:

Copertura di oltre il 90% delle tecniche di MITRE ATT&CK

Riduzione fino al 50% dei costi annuali di manutenzione e conservazione dei registri

Fedeltà di allarme superiore all'85%

Risposta agli incidenti più veloce del 99%

(Ci vogliono in media 328 giorni* per identificare e contenere le violazioni di dati derivanti da credenziali compromesse. Vectra AI vi aiuta a rilevarle e a reagire il giorno stesso in cui si verificano).

‍

*Fonte: Rapporto IBM sulle violazioni dei dati

Ottimizzate il vostro SIEM, trasformate i vostri processi SOC.