Il y a six mois, nous avons lancé la plateformeVectra AI avec la promesse de fournir à nos clients le site signal unifié qui alimente leur XDR. Six mois après le lancement de notre plateforme de détection et de réponse étendues (XDR), nous avons réalisé des progrès étonnants avec l'aide de nos clients qui continuent à nous pousser à proposer des moyens innovants pour les aider...
- Renforcer la résilience face à l'évolution constante et à la sophistication émergente des attaques hybrides.
- Moderniser leurs opérations de sécurité avec l'IA et le ML sans avoir besoin de tout recommencer.
- Se déplacer à la vitesse et à l'échelle des attaquants et les arrêter plus tôt dans leur progression.
Au cœur de notre plateforme XDR : Couverture, clarté et contrôle
La couverture consiste à intégrer les signaux d'attaque sur l'ensemble de la surface d'attaque hybride en tirant parti des détections natives pilotées par l'IA pour les centres de données et lesréseaux cloud (NDR), l'identité (ITDR), les sites publics cloud et SaaS (CDR). En 2024, nous ajouterons des détections tierces pour les terminaux (EDR), le courrier électronique, les renseignements sur les menaces et les signatures (Suricata).
La clarté vient de notre moteur de priorisation basé sur l'IA Attack Signal IntelligenceTM. Attack Signal Intelligence exploite un moteur de hiérarchisation basé sur l'IA cloud pour répondre à deux questions simples : est-ce réel et est-ce que cela m'intéresse ? La combinaison du profil de l'attaque (est-ce réel) et de l'importance de l'entité (est-ce que cela m'intéresse) donne ce que nous appelons un score d'urgence de l'attaque. Plus le score d'urgence est élevé, plus l'analyste SOC doit assurer un suivi.
Le contrôle consiste à permettre aux analystes de sécurité d'enquêter et de répondre à une attaque le plus tôt et le plus rapidement possible. Il s'agit de fournir aux analystes tout le contexte dont ils ont besoin sur une attaque hybride dans une seule console et de leur permettre des actions de réponse flexibles qui peuvent être exécutées manuellement ou automatiquement à n'importe quel stade de la progression de l'attaque.
Fidèles à nos clients et aux piliers de notre plateforme, nos équipes de produits et d'ingénieurs ont été très occupées à mettre sur le marché des améliorations de la plateforme et de nouvelles capacités au cours des six derniers mois. En voici un aperçu :
Annonces importantes :
- Vectra AI Vectra MXDR lance le premier service MXDR ouvert, 24x7 et mondial, conçu pour se défendre contre les attaques hybrides. Avec Vectra MXDR, les entreprises peuvent consolider tous les aspects de la détection et de la réponse aux menaces étendues dans un service unifié, éliminant ainsi le besoin de faire appel à plusieurs fournisseurs. Les intégrations avec les principales plateformes EDR du secteur, notamment CrowdStrike, SentinelOne et Microsoft Defender, permettent aux analystes MXDR de Vectra AIde surveiller l'état de santé de l'ensemble d'un système de sécurité et de prendre des mesures directes, quel que soit l'endroit où le signal est généré. Pour en savoir plus.
- Vectra AI et Gigamon annoncent un nouveau partenariat OEM pour offrir une détection et une réponse intelligentes et étendues (XDR) dans les environnements hybrides cloud . Vectra AI combine la puissance de sa solution Attack Signal Intelligence basée sur l'IA avec les capacités d'observation approfondie de la suite Gigamon GigaVUE Cloud pour détecter et répondre efficacement à des menaces jusqu'alors invisibles en utilisant les informations et les renseignements dérivés du réseau cloud . Pour en savoir plus.
Couverture de détection et clarté du signal
Notre conviction fondamentale est de construire et d'intégrer une couverture de détection complète sur l'ensemble des surfaces d'attaque hybrides afin de fournir le signal d'attaque hybride le plus précis, rapidement et à grande échelle. Vous trouverez ci-dessous un récapitulatif des nouvelles couvertures de détection ajoutées et améliorées au cours des six derniers mois, renforçant ainsi notre signal XDR.
- Nouvelle couverture de détection - Kerberoasting: Targeted Weak Cipher Response : En plus des deux détections Kerberoasting existantes pour Weak Cipher Downgrade et SPN Sweep, Vectra AI a introduit une nouvelle détection Kerberoasting pour lorsqu'un attaquant tente d'effectuer une attaque Kerberoasting silencieuse avec une seule tentative de Weak Cipher contre un service à haut privilège. En outre, nous avons ajouté la possibilité de configurer des règles de triage pour cette détection.
- Nouvelle couverture de détection - Info : Single Weak Cipher Response :Cette détection est similaire à la nouvelle détection Kerberoasting Targeted Weak Cipher Response mais elle est conçue pour détecter lorsque la cible Kerberoasting n'est pas privilégiée et qu'un examen supplémentaire par un analyste doit être envisagé car il peut s'agir d'une activité bénigne en fonction de l'environnement. En outre, nous avons ajouté la possibilité de configurer des règles de triage pour cette détection.
- Nouvelle couverture de détection pour les bases de données relationnelles AWS (RDS) : Avec cette amélioration, Vectra AI ajoute une couverture concernant l'abus des bases de données relationnelles dans AWS hébergeant des informations sensibles. La détection AWS Suspect Public RDS Change est la première d'une série de détections concernant RDS et couvre les méthodes qu'un attaquant peut utiliser pour exfiltrer les sauvegardes (snapshots) des bases de données RDS. La détection rapide de ce comportement peut freiner l'exfiltration et avoir un impact sur les étapes d'une attaque AWS cloud .
- Nouvelle couverture de détection pour identifier les miroirs de trafic AWS malveillants : Vectra AI a ajouté une couverture pour mettre en évidence les comportements malveillants de mise en place d'un miroir de trafic afin d'intercepter des informations sensibles telles que les informations d'identification. La nouvelle détection AWS Suspect Traffic Mirror Creation couvre les méthodes qu'un attaquant peut utiliser pour créer une instance EC2 en tant que cible pour le trafic en miroir. La détection des comportements entourant la mise en miroir du trafic au sein des VPC où le trafic n'est généralement pas crypté permet aux SecOps d'empêcher les adversaires de progresser vers leur objectif d'impact.
- Nouvelle couverture pour Amazon Machine Images (AMI) : Avec cette amélioration, Vectra AI ajoute une couverture pour arrêter l'exfiltration malveillante d'Amazon Machine Images (AMI). Ces images sont des modèles qui contiennent des informations précieuses et peuvent être utilisées pour lancer des instances EC2 afin d'extraire des données sensibles. La nouvelle détection AWS Suspect Public AMI Change couvre les méthodes qu'un attaquant peut utiliser pour exfiltrer ces AMI. La détection rapide de ce comportement peut freiner l'exfiltration et avoir un impact sur les étapes d'une attaque AWS cloud .
- Nouvelle couverture de détection pour AWS Organizations : AWS Organizations est un service de conformité qui permet de mettre en place des garde-fous et une gestion centralisée pour tous les comptes membres d'une organisation. Une tactique courante utilisée par les attaquants consiste à supprimer un compte compromis de l'organisation qui lui est associée afin de contourner ces garde-fous de conformité. La nouvelle détection de sortie d'organisation suspecte d'AWS met en évidence ce comportement, ce qui permet aux SecOps de contrecarrer les tentatives de contournement des défenses.
- Amélioration du triage par groupe de comptes : Pour aider nos clients à gérer efficacement leur charge de travail en matière de détection, nous avons ajouté la prise en charge du tri par groupe de comptes à notre fonctionnalité de tri basée sur l'IA. Désormais, les clients peuvent spécifier des groupes de comptes et trier automatiquement les détections par rapport à n'importe quel membre de ces groupes, ce qui simplifie l'expérience des analystes. Par exemple, en créant un groupe de comptes pour vos administrateurs informatiques et en spécifiant les comportements attendus des administrateurs, vous pouvez facilement gérer l'ajout de nouveaux administrateurs informatiques par le biais de ces groupes de comptes.
- Amélioration de la couverture de la détection - M365 : Les détections M365 Disabling of Security Tools et M365 Risky Exchange Operations ont été améliorées pour couvrir un plus grand nombre d'activités des attaquants. Ces améliorations incluent des techniques telles que la détection des rétrogradations de licence, l'accès à PowerShell, les règles de transfert de courrier électronique et l'usurpation d'identité des utilisateurs.
- Amélioration de la couverture de détection des techniques d'escalade des privilèges : De nouvelles méthodes d'escalade des privilèges ont été ajoutées à la couverture. Plus précisément, les techniques couvertes par la détection AWS Suspect Privilege Escalation ont été étendues pour inclure les méthodes utilisées par les adversaires pour escalader les autorisations non seulement en utilisant les politiques, mais aussi les services AWS tels que les instances EC2. Ces améliorations permettent de détecter des méthodes trouvées dans des outils d'attaque tels que CloudGoat.
- Amélioration de la couverture de détection des techniques d'évasion de la défense contre la journalisation : La couverture des méthodes des attaquants qui impliquent de compromettre la journalisation a été élargie. La détection de la désactivation de la journalisation AWS CloudTrail a été améliorée pour identifier les adversaires qui utilisent des sélecteurs d'événements ou des règles de cycle de vie S3 pour compromettre la journalisation. Il s'agit d'une technique utilisée par des outils d'attaque populaires tels que l'équipe rouge de Stratus et qui permet à un attaquant d'éviter la détection lorsqu'il se rapproche des états d'impact.
- Amélioration de la couverture de détection pour la persistance de l'administrateur : La couverture des attaquants qui ajoutent une persistance administrative aux locataires de Microsoft Azure AD a été étendue. En particulier, la création de comptes d'administration Microsoft Azure AD, les comptes d'administration nouvellement créés Azure AD et l'accès redondant Azure AD ont été améliorés afin d'alerter sur les comptes créés avec des types supplémentaires d'autorisations d'administration ou bénéficiant de ces autorisations.
- Amélioration de la couverture de détection pour Microsoft Azure AD : le délai de détection a encore été réduit pour les alertes Microsoft Azure AD en temps réel liées à l'accès initial d'un attaquant au compte Microsoft Azure AD. Plus précisément, les améliorations algorithmiques apportées aux détections de connexion suspecte à Azure AD, d'échec du MFA de connexion suspecte à Azure AD et d'accès compromis à Azure AD ont permis un signalement plus rapide des menaces sans impact sur la couverture.
Contrôle de l'enquête et de la réaction
- Intégration SIEM/SOAR améliorée pour Vectra Match Suricata Signatures : Lorsque l'option "Include Enhanced Details" est configurée pour les alertes Vectra Match , nous incluons désormais des informations propriétaires Vectra AI supplémentaires dans les alertes Vectra Match envoyées à SIEM/SOAR. Ces champs comprennent des champs HostID et des informations sur les capteurs qui sont inclus dans les détections et les métadonnées traditionnelles de Vectra AI et qui sont utiles pour faciliter les flux de travail d'investigation. Si vous souhaitez désactiver cet enrichissement, vous pouvez le faire en désactivant l'option "Included Enhanced Detail" dans la configuration Syslog de votre destination respective.
- Amélioration des enquêtes instantanées pour les attaques hybrides : Cette amélioration offre une vue plus complète et plus granulaire des attaques hybrides en ajoutant des métadonnées pour les appels RPC, l'accès SMB et les activités de services pour les comptes réseau. Dans les situations où le même acteur de la menace possède à la fois des comptes Microsoft Azure AD et Microsoft 365, nous lions ces comptes et fournissons des métadonnées pour les activités entre les domaines.
- Rétention prolongée des métadonnées pour les enquêtes avancées : Avec cette amélioration, les utilisateurs ont la possibilité de sélectionner des périodes de recherche allant jusqu'à 14 ou 30 jours, en fonction de leur plan d'abonnement. Il est important de noter que cette période étendue de rétention des métadonnées s'applique uniformément à toutes les sources de données activées sur un locataire, y compris le réseau, Azure AD et M365, et d'autres. La période de recherche étendue des métadonnées est exclusive à l'investigation avancée et ne s'applique pas à l'investigation instantanée.
- Ajout de la prise en charge de plusieurs AD : Nous avons ajouté la prise en charge de l'intégration avec plus d'un serveur Active Directory pour l'enrichissement du contexte de l'hôte et du compte et le verrouillage du compte Active Directory. Les détails de l'hôte et du compte affichent désormais le contexte de plusieurs AD et le verrouillage d'un compte désactivera ce compte à travers les multiples AD.
- Ajout d'options de configuration personnalisées pour Active Directory : Dans les cas où l'attribut UserAccountControl Active Directory n'est pas disponible pour effectuer le verrouillage des comptes, les administrateurs de Vectra AI ont désormais la possibilité d'utiliser l'attribut AccountExpires pour verrouiller les comptes réseau. Vous avez également la possibilité d'utiliser l'attribut Info pour envoyer un contexte supplémentaire, tel que le numéro d'incident, à votre Active Directory lorsque vous effectuez un verrouillage Active Directory sur un compte.
Pour plus d'informations sur la plateforme Vectra AI , consultez les ressources suivantes :
Vectra AI Page web de la plate-forme
Vectra AI Visite de la plate-forme