Vectra Detect

Vectra Detect è un componente chiave della piattaforma Vectra AI che impiega l'intelligenza artificiale e l'apprendimento automatico per rilevare e dare priorità alle minacce informatiche in tempo reale. Monitora continuamente il traffico di rete, il comportamento degli utenti e gli ambienti di cloud per identificare indicatori di compromissione, attività anomale o potenziali violazioni della sicurezza. Vectra Detect fornisce informazioni accurate e attuabili sulle minacce, consentendo ai team di sicurezza di rispondere in modo rapido ed efficace alle minacce emergenti.

Parte fondamentale della piattaforma di rilevamento degli attacchi informatici e di caccia alle minacce di Vectra AI , Vectra Detect è il modo più rapido ed efficiente per individuare e bloccare i cyberattaccanti negli ambienti cloud, nei data center e nelle aziende. Utilizza l'intelligenza artificiale per offrire visibilità degli attacchi in tempo reale e mettere i dettagli degli attacchi a portata di mano.

Come funziona Vectra Detect

Metadati ricchi

Vectra Detect offre visibilità in tempo reale sul traffico di cloud e delle aziende, estraendo i metadati di rete dai pacchetti piuttosto che eseguendo un'ispezione approfondita dei pacchetti, consentendo una protezione senza ficcanasare.

L'analisi dei metadati viene applicata a tutto il traffico interno (est-ovest), a quello diretto a Internet (nord-sud), all'infrastruttura virtuale e agli ambienti cloud . Vectra Detect identifica, tiene traccia e assegna un punteggio a tutti i dispositivi abilitati all'IP, dal sito cloud all'azienda.

Questa visibilità si estende a laptop, server, stampanti, dispositivi BYOD e IoT, nonché a tutti i sistemi operativi e alle applicazioni, compreso il traffico tra i carichi di lavoro virtuali nei data center e il sito cloud, persino le applicazioni SaaS.

I registri di sistema, di autenticazione e SaaS forniscono un arricchimento del contesto all'analisi dei metadati di rete per un'identificazione accurata di sistemi e utenti.

Vectra Detect utilizza le informazioni sulle minacce STIX per rilevare le minacce sulla base di indicatori di compromissione noti derivati dalle informazioni sulle minacce. Questi sono correlati con altri comportamenti degli aggressori per garantire un'accuratezza millimetrica dei punteggi di minaccia e certezza dell'host per dare priorità al rischio.

Identificare i comportamenti degli aggressori

I metadati raccolti vengono analizzati con algoritmi di rilevamento comportamentale che individuano gli aggressori nascosti e sconosciuti. In questo modo si scoprono i comportamenti fondamentali degli aggressori nel traffico di cloud e delle aziende, come strumenti di accesso remoto, tunnel nascosti, backdoor, abuso di credenziali, ricognizione interna e movimento laterale.

Vectra Detect apprende continuamente l'ambiente locale e tiene traccia di tutti gli host cloud e on-premises per rivelare segni di dispositivi compromessi e minacce interne. Un'ampia gamma di minacce informatiche viene rilevata automaticamente in tutte le fasi del ciclo di vita dell'attacco, tra cui:

  • Comando e controllo e altre comunicazioni nascoste
  • Ricognizione interna
  • Movimento laterale
  • Abuso delle credenziali dell'account
  • Infiltrazione di dati
  • Indicatori precoci di attività ransomware
  • Monetizzazione delle botnet
  • Campagne di attacco, compresa la mappatura di tutti gli host e degli indicatori di attacco ad essi associati.

Vectra Detect monitora e rileva anche gli accessi sospetti alle risorse critiche da parte dei dipendenti autorizzati, nonché le violazioni delle policy relative all'uso di storage cloud , storage USB e altri mezzi per spostare i dati fuori dalla rete.

La funzione integrata di security insights consente agli analisti della sicurezza di tracciare e valutare nuovi account, host e altri dispositivi (IoT) in un ambiente, facendo emergere ulteriori informazioni non legate alla sicurezza, come nuovi dispositivi e account che accedono alla rete e utilizzano nuovi protocolli di amministrazione.

Vectra AI identifica automaticamente i nuovi account ed etichetta gli host in base al ruolo che svolgono (ad esempio, controller di dominio o server DNS). Ciò consente agli analisti della sicurezza di valutare meglio i rischi connessi a un rilevamento e di adottare misure informate in fase di risposta.

Analisi automatizzata

Il Threat Certainty Index™ di Vectra Detect consolida migliaia di eventi e il contesto storico per individuare gli host che rappresentano una minaccia maggiore.

Invece di generare più eventi da analizzare, Vectra Detect riduce montagne di dati per mostrare ciò che conta di più. I punteggi di minaccia e certezza attivano le notifiche al personale o la risposta di altri punti di applicazione, SIEM e strumenti forensi.

La funzione Campagne di attacco automatizza ulteriormente i rilevamenti di sicurezza collegando i punti dei comportamenti correlati degli aggressori ed esponendo la relazione tra gli host attraverso i rilevamenti interni, i rilevamenti esterni avanzati di comando e controllo e la connettività alle infrastrutture comuni di comando e controllo.

L'indice di certezza delle minacce in Vectra Detect

Mentre gli aggressori eseguono la ricognizione e si spostano lateralmente tra gli host e i carichi di lavoro di cloud , Vectra Detect correla i comportamenti e i rilevamenti e presenta una visione sintetica dell'intera campagna di attacco.

Vectra Detect è in grado di visualizzare gli host o i rilevamenti di campagne correlate e di analizzare la cronologia degli eventi per tutta la loro durata, per comprendere meglio l'attività e l'intera portata dell'attacco. Quando si cerca un contesto completo, Vectra AI visualizza le informazioni in un'unica posizione consolidata ed elimina la necessità per gli analisti di passare ad altri strumenti.

Vectra Detect presenta una visione sintetica di un'intera campagna di attacco.

Risposta dell'unità

Rispondete in modo rapido e deciso alle minacce mettendo a portata di mano le informazioni e il contesto più rilevanti. A differenza dei prodotti di analisi della sicurezza, Vectra Detect elimina le indagini manuali dando automaticamente la priorità e correlando le minacce con gli host compromessi e le risorse chiave che sono l'obiettivo di un attacco.

Vectra Detect mette a portata di mano i dettagli del rilevamento delle minacce, tra cui il contesto dell'host, la cattura dei pacchetti e i punteggi delle minacce e della certezza.

Inoltre, Vectra Detect funziona con i firewall di nuova generazione, la sicurezza endpoint , il NAC e altri punti di applicazione per bloccare automaticamente i cyberattacchi sconosciuti e personalizzati. Vectra Detect fornisce anche un chiaro punto di partenza per le indagini sulle minacce, aumentando l'efficienza dei SIEM e degli strumenti di analisi forense.

Vectra Detect: Potenziato dall'intelligenza artificiale

Rilevamento in tempo reale dell'esfiltrazione dei dati in corso

Un contesto di sicurezza che fa risparmiare tempo

Vectra Detect alleggerisce e potenzia i team operativi di sicurezza che sono a corto di personale. Ciò si ottiene automatizzando la lunga analisi degli eventi di sicurezza ed eliminando la necessità di andare a caccia di minacce nascoste.

Ogni rilevamento viene spiegato in dettaglio, insieme all'evento sottostante e al contesto storico che ha portato al rilevamento. Gli analisti della sicurezza possono visualizzare istantaneamente una mappa delle connessioni di qualsiasi host per vedere gli altri host con cui il dispositivo sta comunicando e come.

Vectra Detect è l'unica soluzione che offre una visione unificata degli account sulla rete e sul sito cloud. La piattaforma è in grado di riconoscere e valutare le interazioni tra i carichi di lavoro e le identità, fornendo agli analisti le conoscenze sul funzionamento di un ambiente.

Vectra Detect fornisce anche l'accesso on-demand ai metadati arricchiti dei pacchetti catturati per ulteriori analisi forensi. Questo fornisce ai team di sicurezza la prova e l'accuratezza necessarie per intraprendere azioni immediate e decisive.

Vectra Detect sfrutta inoltre Privileged Access Analytics per analizzare automaticamente i comportamenti e utilizza l'intelligenza artificiale per identificare le entità dotate di privilegi e distinguere tra usi approvati e usi dannosi. È disponibile in tutta la piattaforma Vectra come arricchimento della sicurezza ricercabile in Vectra Stream e Vectra Recall e come rilevamento in Vectra Detect. Sono supportati anche casi d'uso personalizzati accedendo ai suoi attributi tramite l'API REST di Vectra.

Rafforzare l'infrastruttura di sicurezza esistente

Sia che fornisca l'intelligence per bloccare una nuova classe di minacce con i firewall, la sicurezza endpoint , il NAC e altri punti di applicazione, sia che fornisca un chiaro punto di partenza per una ricerca più approfondita con i SIEM e gli strumenti forensi, Vectra Detect offre più valore dalle tecnologie di sicurezza esistenti.

Vectra Detect si integra con le principali soluzioni di sicurezza endpoint per aggiungere automaticamente un contesto arricchito alle indagini e consentire ai team operativi di sicurezza di isolare i dispositivi host compromessi.

Una robusta API consente la risposta automatica e l'applicazione con praticamente qualsiasi soluzione di sicurezza. Vectra Detect genera anche messaggi syslog e log CEF per tutti i rilevamenti, nonché punteggi di priorità per gli host. Questo rende Vectra Detect molto più di una semplice fonte di log e fornisce un trigger ideale per le indagini e i flussi di lavoro all'interno del SIEM.

Rilevamento dell'intero ciclo di vita del ransomware

Vectra Detect identifica le campagne ransomware contro aziende e altre organizzazioni in tutte le fasi dell'attacco. Monitorando tutto il traffico di rete interno, Vectra Detect identifica in pochi secondi i comportamenti fondamentali di un attacco ransomware che tenta di prendere in ostaggio le risorse critiche.

Oltre a rilevare direttamente il ransomware, Vectra Detect espone i precursori del ransomware, tra cui il traffico di comando e controllo, le scansioni di rete e il comportamento di diffusione su cui il ransomware si basa per trovare e criptare le risorse critiche.

Osservare gli osservatori

Se inizialmente gli aggressori possono compromettere un dispositivo dell'utente finale, il vero premio consiste nel requisire le credenziali dell'amministratore o del sistema. Vectra Detect va oltre il semplice monitoraggio del comportamento degli utenti per rilevare i segni di amministratori compromessi.

Il rilevamento di Vectra Detect Ransomware

Vectra Detect tiene traccia dei protocolli amministrativi e apprende le macchine specifiche o i sistemi di salto utilizzati per gestire host, server e carichi di lavoro specifici. Questa vigilanza rivela rapidamente quando un criminale informatico tenta di utilizzare le credenziali e i protocolli amministrativi per intensificare un attacco.

Esempio di rilevamento del server Shell Knocker nell'interfaccia utente di Vectra Detect

Unificare le operazioni del data center I data center moderni richiedono un coordinamento costante tra i team di rete, di sviluppo delle applicazioni, di virtualizzazione e, naturalmente, di sicurezza. Vectra Detect semplifica la sincronizzazione tra tutti i gruppi e la visibilità completa da cloud all'impresa, anche quando i carichi di lavoro sono in continuo movimento.

Che cos'è Cognito Detect?

Cognito Detect è il nome precedente della funzionalità Vectra Detect. La Piattaforma Vectra AI era originariamente denominata"Piattaforma Cognito". La piattaforma e le sue funzionalità sono state ribattezzate per riflettere l'evoluzione dei nostri prodotti.

Qual è la differenza tra Vectra Detect e Vectra Recall?

Vectra Recall è complementare a Vectra Detect. Vectra Detect identifica gli host compromessi in tempo reale come punto di partenza dell'indagine. Vectra Recall trova le minacce che il rilevamento non ha rilevato analizzando i metadati storici.

DOMANDE FREQUENTI