La plupart des piles de sécurité semblent complètes. Vous disposez d'un SIEM qui centralise toutes les informations. Une couche SOAR permet d'automatiser les interventions. Des outils Endpoint, à l'identité, cloud et au réseau alimentent ces deux systèmes en données. D'un point de vue architectural, tous les critères sont remplis.
Mais ce n'est pas parce que tout est connecté que ça fonctionne pour autant.
Quand on examine de plus près le fonctionnement réel du SOC, on commence à en voir les failles. Non pas parce qu’il manque des outils, mais parce qu’ils n’ont pas été conçus pour fonctionner comme un système cohérent. Chacun produit sa propre version du signal, sa propre structure, sa propre manière d’être interprété.
Ainsi, même dans des environnements bien conçus, la charge repose toujours sur le SOC, qui doit donner du sens aux données, déterminer ce qui est important et décider des mesures à prendre. C'est là que le bât blesse.
Au lieu d'ajouter une nouvelle couche à la pile, nous souhaitons nous concentrer sur le renforcement de l'élément dont dépendent tous les systèmes : la qualité et la facilité d'utilisation du signal qui circule entre eux.
Le rôle Vectra AI: le signal qui relie tout
Vectra AI conçu pour être un outil de plus avec lequel vous devez composer. Nous sommes la couche qui permet au reste de votre infrastructure de fonctionner plus efficacement.
Au cœur de Vectra AI une intelligence issue du réseau qui alimente notre solution détection et réponse aux incidents NDR). Contrairement aux journaux ou endpoint , qui peuvent être désactivés, manipulés ou tout simplement ignorés, le réseau offre une vue passive et continue de la manière dont les systèmes, les identités, cloud et les charges de travail communiquent entre eux. Il s'agit d'une source de données de référence que les attaquants doivent toujours traverser, quel que soit l'endroit où ils opèrent.
Cette visibilité offre Vectra AI vue d'ensemble du comportement des attaquants sur l'ensemble des domaines liés à l'identité, au réseau, cloud et aux services SaaS. Grâce à une détection des menaces basée sur l'IA et s'appuyant sur le comportement réel des attaquants, Vectra AI des signaux déjà corrélés entre les différents domaines, classés par ordre de priorité en fonction du risque réel et liés au déroulement des attaques en temps réel.
Mais un signal n'a d'intérêt que s'il peut être exploité. S'il reste bloqué dans une console ou s'il nécessite une interprétation avant de pouvoir être mis à profit, il perd rapidement toute valeur. C'est pourquoi Vectra AI sur un principe simple : s'adapter au SOC là où il opère, et non l'inverse.
L'intégration, c'est la base. Mais la faire fonctionner, c'est une autre histoire.
Tous les fournisseurs vantent l'intégration de leurs solutions SIEM et SOAR. Ce n'est plus ce qui les distingue. Ce qui compte, c'est de savoir si les données fournies permettent de passer à l'action et si la fiabilité de la détection qui sous-tend ces signaux est suffisamment solide pour inspirer confiance.
Vectra AI sur la manière dont ses signaux sont transmis à ces systèmes. Les alertes sont transmises en étant déjà enrichies du contexte dont les analystes ont besoin pour mener leurs enquêtes. Le risque ne s'estompe pas discrètement à mesure que les éléments d'une attaque sont triés. Les données circulent de manière fiable, sans lacunes ni doublons. Et la structure est suffisamment cohérente pour que l'automatisation ne soit pas perturbée à chaque fois qu'une détection change de forme.
Le résultat est subtil, mais important. Votre SIEM ne se contente pas de collecter Vectra AI . Votre SOAR ne se contente pas de déclencher des playbooks. Ils exploitent des signaux suffisamment complets pour être fiables.
Découvrez-en plus sur notre intégration SIEM et SOAR dans cet article de blog.
Mais Signal a encore besoin de preuves
Même avec des systèmes de détection plus performants, chaque enquête se retrouve confrontée au même dilemme : vous disposez d'un signal qui mérite d'être examiné. Il vous faut désormais déterminer ce qui s'est réellement passé.
C'est là que les choses ont tendance à ralentir. Non pas parce que l'analyse est difficile, mais parce que les données de télémétrie de sécurité nécessaires à cette analyse sont dispersées. Il faut alors se tourner vers les journaux, extraire des données d'un autre système, reconstituer la chronologie des événements et essayer de tout mettre en correspondance.
On ne passe pas la plupart du temps à réfléchir. On le passe à accumuler.
L'API Investigate : intégrer les éléments de preuve dans le flux de travail
L'API d'analyse Vectra AI change la donne en mettant à disposition les données de télémétrie sous-jacentes Vectra AI utilisées par Vectra AI , notamment l'activité réseau, le comportement DNS, les événements liés à l'identité et les journaux du plan cloud , via une interface de requête accessible par programmation.
Concrètement, cela signifie un accès à 28 tables réparties sur cinq sources de données, couvrant les environnements réseau, Entra ID, M365, AWS et Azure. Mais ce qui importe, ce n’est pas le nombre de tables. C’est l’endroit où ces données peuvent être utilisées. Au lieu d’interrompre votre flux de travail pour aller chercher des preuves, vous pouvez les intégrer directement dans le flux de travail que vous êtes déjà en train d’exécuter.
Un guide d'intervention SOAR permet de valider une détection avant de la transmettre à un niveau supérieur. Un workflow SIEM permet de récupérer les données d'activité à l'appui sans que l'analyste ait besoin de passer à un autre outil. Une enquête qui nécessiterait normalement plusieurs requêtes sur différents systèmes peut être réduite à une seule requête sur un ensemble de données cohérent.
La différence ne réside pas tant dans la rapidité que dans la complexité. On évite ainsi d'avoir à reconstituer manuellement le contexte.
Découvrez notre API d'investigation dans cet article de blog.
Pourquoi les métadonnées réseau changent la donne
Tout cela fonctionne grâce à la visibilité inter-domaines Vectra AI grâce aux métadonnées cloud et cloud . Lorsque l'on peut voir comment les systèmes et les identités communiquent réellement entre eux, il devient beaucoup plus facile de répondre à de nombreuses questions.
Si une endpoint se déclenche, vous n'avez pas à deviner si une infection se propage : vous pouvez voir toutes les connexions qui ont suivi. Si vous cherchez à comprendre le comportement d'une identité, vous ne vous contentez pas d'examiner les connexions ; vous observez ce que cette identité a fait sur l'ensemble du réseau. Si une nouvelle vulnérabilité est signalée, vous ne vous contentez pas de consulter l'inventaire des actifs ; vous examinez le comportement des systèmes exposés et avec qui ils interagissent.
Ce ne sont pas des cas marginaux. Ce sont le genre de questions qui se posent tous les jours dans un SOC. Et lorsque le signal sous-jacent est suffisamment fort, ces questions cessent d'être de simples enquêtes pour devenir des requêtes pertinentes.
Des co-défenseurs, pas un outil de plus
On assiste actuellement à une évolution dans la manière dont les plateformes de sécurité sont utilisées. Vectra AI cherche Vectra AI à remplacer votre SIEM ni votre SOAR. Nous partons du principe que c'est au sein de ces systèmes que votre équipe travaille, et nous avons conçu notre plateforme, nos analyses de sécurité et notre technologie pour s'intégrer à cet environnement.
L'objectif est simple : vous permettre de tirer pleinement parti de ce que Vectra AI , notamment en matière de détection, de hiérarchisation et de visibilité, tout en intégrant ces fonctionnalités à vos flux de travail existants. Dans le même temps, nous veillons à ce que cette valeur ne soit pas diluée. Le signal reste intact. Le contexte reste accessible. Et les données peuvent être utilisées partout où des décisions sont prises.
Le résultat : un SOC plus réactif et fonctionnant avec davantage d'assurance. Les analystes passent moins de temps à rassembler manuellement des preuves provenant d'outils cloisonnés et consacrent davantage de temps à agir sur la base de signaux plus riches, axés sur le comportement et s'inscrivant dans un contexte complet. Cela se traduit par des enquêtes plus rapides, une automatisation plus fiable, une réponse aux incidents rationalisée, une réduction de la fatigue liée aux alertes et une meilleure efficacité globale du SOC. Parallèlement, les équipes bénéficient d'une visibilité plus claire sur les vulnérabilités du réseau moderne, ce qui contribue à réduire le temps de présence des attaquants, à combler les lacunes en matière de visibilité et à valider l'efficacité de la sécurité en toute confiance.
Nous n’avons pas besoin d’un tableau de bord de plus à consulter. Nous avons besoin de systèmes qui réduisent les frictions et aident nos équipes à agir en toute confiance. Le rôle Vectra AIest d’agir comme un co-défenseur dans ce processus. Nous fournissons les informations qui permettent de faire le tri parmi le bruit ambiant, les preuves qui valident ce qui compte vraiment, ainsi que les intégrations qui rendent ces éléments exploitables au sein des flux de travail quotidiens du SOC.
Nous ne vous demanderons jamais de modifier votre façon de travailler. Nous sommes là pour l'améliorer.