Il y a quelques mois, j'ai parlé de la nouvelle fonction de réponse automatique de la plateforme Cognito -Vectra Account Lockdown. En s'intégrant à un fournisseur d'identification (IdP) comme Active Directory et en tirant parti de nos capacités de détection de l'IA de classe mondiale, Account Lockdown peut automatiquement désactiver les comptes du réseau qui présentent une activité suspecte.
Les analystes ont également la possibilité de désactiver manuellement des comptes au cours d'une enquête de sécurité. La désactivation d'un compte peut ralentir considérablement une attaque active en limitant l'accès à des ressources supplémentaires. Cela limite le rayon d'action de l'attaque et donne à votre SOC plus de temps pour enquêter et mettre fin à l'attaque. Bien que cette solution ait été incroyablement bien accueillie par nos clients, en particulier lorsqu'elle est configurée pour se déclencher automatiquement sur des seuils d'évaluation de haute fidélité - à savoir la menace, la certitude et le privilège observé - nous savions que notre travail n'était pas terminé.
Pour une application immédiate et précise, vous devez vous rendre directement à la source d'une attaque et verrouiller le site endpoint lui-même.
C'est précisément ce que permet notre intégration avec Microsoft Defender pour Endpoint . En plus d'enrichir les hôtes Detect avec des données contextuelles endpoint , les analystes de la sécurité peuvent désormais effectuer le Host Lockdown sur les hôtes Microsoft Defender ATP, directement à partir de l'interface Cognito Detect. Tout comme le verrouillage de compte Vectra, le verrouillage d'hôte peut être effectué manuellement par un analyste en cliquant sur un bouton ou configuré pour un déclenchement automatisé de l'application en fonction des seuils de notation de la menace, de la certitude et des privilèges observés de l'hôte.
En ce qui concerne les actions automatisées d'application active, les organisations doivent toujours équilibrer les risques. D'un côté, une application trop zélée des mauvaises alertes provoquera des pannes généralisées, perturbera les opérations et, dans certains cas, causera plus de dégâts que certaines attaques réelles. D'un autre côté, ne pas agir peut permettre aux attaquants de s'implanter plus solidement dans votre environnement réseau.
Avec Vectra Host Lockdown, nous tirons parti de nos détections d'IA basées sur le comportement, les meilleures du secteur, avec les mesures d'application précises que vous obtenez de Microsoft Defender pour Endpoint. Vous bénéficiez ainsi du meilleur des deux mondes. C'est un excellent moyen de s'assurer que l'automatisation provoque le moins de perturbations possible tout en vous donnant l'assurance que les attaquants sont stoppés dans leur élan.
En savoir plus sur Host Lockdown et sur notre intégration avec Microsoft Defender pour Endpoint. J'y ai également créé une vidéo qui montre comment nos produits fonctionnent ensemble. Et comme toujours, n'hésitez pas à nous contacter pour en savoir plus ou pour planifier une démonstration.