Vectra Recall

Vectra Recall è una funzionalità della piattaforma Vectra AI che consente alle organizzazioni di indagare e analizzare gli incidenti di sicurezza passati. Fornisce un contesto storico e funzionalità forensi per comprendere la portata, l'impatto e le cause principali degli incidenti. Vectra Recall consente ai team di sicurezza di rivedere e analizzare gli eventi passati, di condurre indagini approfondite e di estrarre preziose informazioni per migliorare le misure di sicurezza e le difese future.

Pietra miliare della piattaforma di rilevamento dei cyberattacchi e di caccia alle minacce Vectra AI , Vectra Recall offre il modo più efficiente per eseguire la caccia alle minacce assistita dall'intelligenza artificiale nei carichi di lavoro di cloud e dei data center e nei dispositivi utente e IoT.

Vectra Recall consente ad analisti di sicurezza qualificati e cacciatori di minacce professionisti di condurre indagini conclusive sugli incidenti.

Fonte completa di metadati di rete arricchiti dalla sicurezza, Vectra Recall consente inoltre ad analisti di sicurezza qualificati e cacciatori di minacce professionisti di condurre indagini conclusive sugli incidenti.

I metadati di Vectra Recall sono organizzati per nome di host, non solo per indirizzo IP. In questo modo si elimina la necessità di cercare nei registri DHCP il dispositivo host che utilizzava un indirizzo IP in quel momento e di mettere insieme i cambiamenti di indirizzo IP durante un'indagine. La ricerca per dispositivo consente di risparmiare tempo quando la velocità è essenziale.

Vectra Recall sfrutta anche Privileged Access Analytics per analizzare automaticamente i comportamenti e utilizza l'intelligenza artificiale per identificare le entità dotate di privilegi e distinguere tra usi approvati e usi dannosi. È disponibile in tutta la piattaforma Vectra come arricchimento della sicurezza ricercabile in Vectra Stream e Vectra Recall e come rilevamento in Vectra Detect. Sono supportati anche casi d'uso personalizzati accedendo ai suoi attributi tramite l'API REST di Vectra.

Vectra Recall consente a chi risponde agli incidenti di seguire la catena di eventi a partire da un segnale iniziale di minaccia - sia esso proveniente da Vectra Detect, da un altro evento di sicurezza o da informazioni sulle minacce - utilizzando metadati di rete arricchiti di sicurezza e ricercabili per nome di host.

Vectra Recall è come un registro transazionale di ogni conversazione tra cloud e l'azienda. Tuttavia, la raccolta e l'archiviazione dei metadati storici, anziché dei payload dei pacchetti, garantisce la privacy dei dati e supporta i mandati di conformità come il GDPR.

E poiché Vectra Recall viene fornito come servizio all'interno di cloud, non c'è alcuna infrastruttura di big data da acquistare, installare e gestire. Basta un solo clic per inoltrare i metadati a Vectra cloud.

Sintesi delle capacità di Vectra Recall

  • Fornisce ai cacciatori di minacce la raccolta e l'archiviazione in tempo reale di metadati di rete arricchiti dalla sicurezza e di eventi cloud , consentendo loro di sfruttare la loro profonda conoscenza dei cyberattacchi avanzati.
  • Consente un'indagine intelligente dell'attività dei dispositivi associando dispositivi, carichi di lavoro e nomi di host, indipendentemente dalle modifiche dell'indirizzo IP.
  • Fornisce visibilità a livello di infrastruttura sulle azioni di tutti i carichi di lavoro di cloud e del data center e dei dispositivi utente e IoT.
  • Offre la scalabilità illimitata di cloud per archiviare e cercare metadati per tutto il tempo necessario, mentre Vectra gestisce l'infrastruttura.

Il potere di rilevare e Recall

Vectra Recall consente agli analisti della sicurezza di eseguire indagini approfondite sulla base degli incidenti ad alta fedeltà e perseguibili identificati da Vectra Detect, che automatizza il rilevamento e la risposta ai cyberattacchi guidati dall'intelligenza artificiale. Con Vectra Recall, gli analisti di sicurezza senior possono anche eseguire la caccia alle minacce sulla base di avvisi provenienti da soluzioni di sicurezza di terze parti e utilizzare nuove informazioni sulle minacce di alta qualità per la caccia retrospettiva.

Come funziona Vectra Recall

Visibilità ad alta fedeltà in tutta l'azienda Vectra Recall fornisce visibilità sul traffico di rete estraendo i metadati da tutti i pacchetti e memorizzandoli in cloud per la ricerca e l'analisi. Ogni dispositivo abilitato all'IP sulla rete viene identificato e tracciato e i dati possono essere archiviati per qualsiasi periodo di tempo.

I metadati acquisiti comprendono tutto il traffico interno (est-ovest), il traffico verso Internet (nord-sud), il traffico dell'infrastruttura virtuale e il traffico negli ambienti di elaborazione cloud .

Questa visibilità si estende a laptop, server, stampanti, dispositivi BYOD e IoT, nonché a tutti i sistemi operativi e alle applicazioni, compreso il traffico tra i carichi di lavoro virtuali nei data center e il sito cloud, persino le applicazioni SaaS.

I log di sistema, di autenticazione e SaaS forniscono un arricchimento del contesto all'analisi dei metadati di rete per un'identificazione accurata di sistemi e utenti.

Caccia alle minacce con Vectra Recall

La caccia alle minacce assistita dall'intelligenza artificiale con Vectra Recall può essere attivata dai rilevamenti di aggressori effettuati da Vectra Detect, dagli indicatori di compromissione esistenti e dalle anomalie nei dati identificate dagli analisti della sicurezza.

Caccia con indicatori di compromissione

Grazie alle funzionalità di ricerca completa dei metadati e all'archiviazione illimitata dei dati, Vectra Recall consente agli analisti della sicurezza di determinare l'esistenza di indicatori di compromissione nei metadati, compresi gli agenti utente, gli indirizzi IP e i domini. Vectra Recall fornisce anche informazioni approfondite per una ricerca più efficiente delle minacce, come ad esempio i comandi PowerShell da un computer remoto a un server o un tipo specifico di connessione da un sito remoto.

Ricerca di comportamenti anomali

Vectra Recall consente ai cacciatori di minacce professionisti di identificare comportamenti anomali che vengono visualizzati attraverso grafici visivi. I comportamenti anomali che possono essere esposti utilizzando Vectra Recall includono:

  • Uso atipico di porte e applicazioni TCP e UDP
  • Tassi di connessione insolitamente elevati
  • Indicatori euristici
  • Nuova attività di segnalazione
  • Soglie volumetriche per il conteggio delle connessioni, i fallimenti di login e i trasferimenti eccessivi di dati interni ed esterni In alcuni casi, le anomalie potrebbero consistere in una qualsiasi combinazione di questi comportamenti, come ad esempio quantità insolite di dati inviati a un indirizzo IP non comune.

> Scarica la nostra guida su come effettuare la caccia alle minacce con Vectra Recall

Vectra Recall offre funzionalità complete di ricerca dei metadati e archiviazione illimitata dei dati.
Vectra Recall offre funzionalità complete di ricerca dei metadati e archiviazione illimitata dei dati.

Indagini conclusive sugli incidenti con Vectra Recall

Schermata di Vectra Recall
Vectra Recall consente ai cacciatori di minacce di identificare i comportamenti anomali.

Vectra Recall consente agli analisti della sicurezza di condurre indagini sugli incidenti più approfondite e conclusive con notevole efficienza.

Gli analisti della sicurezza possono facilmente seguire la catena di eventi correlati, a partire dai rilevamenti di attacchi effettuati da Vectra Detect, dai prodotti di sicurezza di terze parti e dalle informazioni sulle minacce ricercabili e di alta qualità nei metadati storici della rete.

Quando si ricevono eventi o avvisi da Vectra Detect o da prodotti di sicurezza di terze parti, Vectra Recall garantisce agli analisti della sicurezza una visione completa a 360 gradi di tutte le attività del carico di lavoro e del dispositivo.

Con Vectra Recall, gli analisti della sicurezza possono indagare sugli incidenti con un'efficienza senza precedenti, utilizzando un contesto completo sugli incidenti, insieme a dettagli rilevanti su dispositivi, account e comunicazioni di rete associati.

Indagini basate sull'host

Vectra Recall consente agli analisti della sicurezza di identificare l'attività dei dispositivi host nei dintorni del momento del rilevamento di una minaccia e di rivelare cambiamenti significativi nel comportamento generale dei dispositivi host.

Attraverso grafici visivi e funzionalità di ricerca, Vectra Recall espone altri dispositivi host, account e domini esterni e indirizzi IP, consentendo agli analisti della sicurezza di identificare l'intera portata dell'incidente.

Gli analisti della sicurezza possono facilmente seguire un'ampia gamma di comportamenti sospetti per identificare le tracce che portano ad altri dispositivi host e cercare in modo efficiente gli indicatori di compromissione lungo il percorso.

Indagini basate sugli account

Vectra Recall migliora le indagini basate sugli account fornendo i dettagli necessari agli analisti della sicurezza per identificare tutti gli utilizzi e le azioni degli account potenzialmente compromessi in periodi di tempo specifici, nonché le azioni contro gli obiettivi.

Sfruttando Vectra Recall, gli analisti della sicurezza hanno a disposizione un quadro più ampio di un cyberattacco complessivo, che può essere utile durante le indagini su altri dispositivi host che potrebbero avere account compromessi.

Che cos'è il Cognito Recall?

Cognito Recall è il nome precedente della funzionalità Recall di Vectra. La piattaforma Vectra AI era originariamente denominata"Piattaforma Cognito". La Piattaforma e le sue funzionalità sono state ribattezzate per riflettere l'evoluzione dei nostri prodotti.

Qual è la differenza tra Vectra Recall e Vectra Detect?

Vectra Recall è complementare a Vectra Detect. Vectra Detect identifica gli host compromessi in tempo reale come punto di partenza dell'indagine. Vectra Recall trova le minacce che il rilevamento non ha rilevato analizzando i metadati storici.

DOMANDE FREQUENTI