La plupart des SOC disposent déjà des éléments essentiels.
- Une solution SIEM pour centraliser les journaux.
- Une solution SOAR pour automatiser les flux de travail.
- Quelques outils qui alimentent les deux en données.
Même avec tous ces outils, les enquêtes de sécurité posent toujours un problème. Ce problème se manifeste lorsque l'on tente réellement d'utiliser cette pile dans le cadre d'une enquête.
Vous recevez une alerte. Vous lancez un playbook. Vous l'enrichissez peut-être de quelques recherches. Mais quand vient le moment de déterminer ce qui s'est réellement passé, les données de télémétrie d'investigation nécessaires à cette tâche restent dispersées entre différents systèmes. Non pas parce que les outils sont défaillants, mais parce que les données qui les sous-tendent ne sont pas interconnectées et, dans la plupart des cas, ne sont pas suffisamment exploitables pour étayer des décisions.
C'est précisément cette lacune que Vectra AI mission de combler.
Vectra AI de Vectra AI
Vectra AI cherche Vectra AI à remplacer votre SIEM ni votre SOAR. Au contraire, nous partons du principe que vous disposez déjà de ces outils et que c'est sur ceux-ci que votre équipe va consacrer la majeure partie de son temps.
Ce que Vectra AI , c'est ce que ces systèmes n'offrent généralement pas : un signal de haute fidélité, basé sur le comportement , qui est déjà corrélé entre l'identité, le réseau, cloud et les services SaaS.
Au lieu d'envoyer des alertes isolées à votre SIEM en espérant qu'il reconstitue une attaque a posteriori, Vectra AI un signal qui reflète déjà la manière dont un attaquant évolue dans l'environnement. Cela permet à lui seul de réduire considérablement le travail de corrélation manuelle.
Mais le signal n'est qu'une partie du problème. À un moment donné, il faut quand même vérifier ce que l'on voit.
La pièce qui casse le plus souvent : enquête
Même dans des environnements bien conçus, les enquêtes ont tendance à achopper au même stade. On reçoit une alerte. On dispose ensuite d'un certain contexte. Mais les preuves concrètes en matière de sécurité restent éparpillées.
Du coup, on se met à consulter les journaux, à utiliser un autre outil ou à exploiter un autre ensemble de données. C'est là que le temps s'envole. Pas dans l'analyse elle-même, mais dans les efforts pour rassembler les données nécessaires à cette analyse.
Après avoir examiné (sans jeu de mots) les obstacles auxquels se heurtent les professionnels de la sécurité dans leurs processus de travail et mis au point une solution réellement adaptée au SOC, Vectra AI les lacunes en matière d'agrégation des données grâce à notre API d'investigation.
Ce que fait réellement l'API Investigate Vectra AI
L'API Investigate permet aux équipes d'accéder directement aux données de sécurité issues de la télémétrie sous-jacente déjà Vectra AI , notamment l'activité réseau, les événements liés à l'identité, le DNS, cloud , bref, tout ce qui sous-tend la détection. Elle met ensuite ces données à disposition via une interface de requête accessible depuis n'importe où.
Ainsi, au lieu d'interrompre votre flux de travail pour aller chercher des données, vous pouvez les intégrer directement à celui-ci. Par exemple, un playbook SOAR peut :
- Effectuer une Vectra AI
- déterminer l'activité exacte qui se cache derrière
- et prendre une décision fondée sur des preuves concrètes, et non pas uniquement sur les métadonnées des alertes
Cela modifie en profondeur la manière dont se déroulent les enquêtes basées sur des API, car la collecte des preuves ne se fait plus manuellement.
L'API d'exploration Vectra AIpropose actuellement 28 tableaux provenant de 5 sources de données :
Concrètement, cela donne quoi ? 3 scénarios d'enquête
1. Valider une détection à l'aide de données provenant du réseau
Vous détectez une activité de commande et de contrôle sur un hôte. En temps normal, vous basculeriez vers votre SIEM, redéfiniriez la plage horaire et tenteriez de trouver les sessions correspondantes.
Grâce à l'API d'analyse, vous pouvez interroger directement cet hôte et cette plage horaire et récupérer toutes les données de session, y compris les adresses IP, les ports, le nombre d'octets et l'état de la connexion, en copiant-collant un corps JSON directement dans n'importe quel client API. Pour en savoir plus, cliquez ici et ici.
En quelques secondes, vous savez exactement ce que faisait cet hôte pendant la période de détection.
2. Détection des exfiltrations via le DNS
Vous souhaitez vérifier la présence de tunnels DNS. Au lieu de vous fier uniquement aux détections prédéfinies, vous pouvez analyser les enregistrements TXT et les chaînes de requête longues, puis les trier par longueur ou par fréquence. En combinant cela avec des indicateurs de comportement bruts, tels que des schémas DNS anormaux, des domaines suspects et des hôtes dont le comportement s'écarte de la norme, vous menez une véritable chasse aux menaces, et ne vous contentez pas de réagir aux alertes.
3. Analyse d'une identité compromise sur l'ensemble des systèmes à des fins de détection des menaces liées à l'identité
Une alerte se déclenche sur un compte utilisateur. Vous souhaitez désormais savoir ce qui s'est passé avant le déclenchement de l'alerte et sur quels systèmes d'identité et SaaS. Grâce à l'API d'investigation Vectra AI, vous pouvez exécuter des requêtes parallèles, par exemple sur l'activité de connexion à Entra (échecs, sessions à risque) et sur l'activité M365 (règles de messagerie, modifications d'accès).
En résumé, cela vous donne une image claire de ce qui s'est passé : échecs de connexion → nouvelle règle de boîte de réception → compromission potentielle.
Vous n'avez pas eu besoin de passer par trois outils différents pour y parvenir. Vous avez effectué votre requête directement via l'API Investigate Vectra AI.
Il ne s'agit pas de vous faire passer à une autre interface utilisateur
Une question évidente se pose ici : si l'on peut mener des enquêtes via l'API, pourquoi utiliser la Vectra AI ?
Pour être honnête, la réponse est la suivante : vous l'utiliserez probablement différemment.
Les professionnels préfèrent déjà travailler directement au sein de leur solution SIEM ou SOAR. Cela ne changera pas. L'API d'investigation ne cherche pas à vous en éloigner. C'est tout le contraire. Elle permet à Vectra AI là où vous travaillez déjà.
Au lieu de basculer vers la Vectra AI pour mener une enquête, vous restez dans votre flux de travail et y intégrez les données Vectra AI. Cela élargit le rôle Vectra AIau sein de votre infrastructure et de votre programme de sécurité. Désormais, chaque enquête peut s'appuyer sur les données Vectra AIpour fournir des indications plus pertinentes aux enquêtes de sécurité.
Le bilan
Les solutions SIEM et SOAR sont efficaces pour gérer les flux de travail, mais elles ne sont pas particulièrement performantes lorsqu'il s'agit de générer ou de valider seules des signaux de sécurité coordonnés et de haute qualité. Vectra AI cette lacune, et nous avons pour objectif de la combler, d'abord en fournissant des signaux qui reflètent le comportement réel des attaquants, puis en proposant une technologie qui rend les preuves sous-jacentes accessibles au sein des flux de travail de sécurité sur lesquels votre équipe s'appuie déjà.
Cela ne se limite pas aux enquêtes. Lorsque les équipes de sécurité ont accès à des signaux plus riches, basés sur le comportement, ainsi qu’à des preuves directes, elles prennent des décisions plus rapides et plus sûres. Les enquêtes gagnent en rapidité et en précision, car la corrélation des données télémétriques ne repose plus sur la reconstruction manuelle du contexte par les analystes à travers des outils cloisonnés. Les failles de sécurité deviennent plus faciles à identifier et à hiérarchiser. L’automatisation gagne en fiabilité, car les flux de travail s’appuient sur des données validées plutôt que sur des alertes fragmentées.
Il en résulte un SOC plus efficace et plus résilient : des coûts d'exploitation réduits, une diminution du temps de présence des attaquants, une meilleure visibilité sur les environnements hybrides et des résultats de sécurité plus probants, fondés sur des données factuelles plutôt que sur des hypothèses.
Vous conservez votre infrastructure. Avec Vectra AI, vous vous contentez de la faire fonctionner comme prévu.