Enquêtes sur les menaces - le besoin de vitesse !

13 septembre 2023
Ada Tirelli
Concepteur UX principal
Enquêtes sur les menaces - le besoin de vitesse !

Nos clients s'appuient sur Vectra AI pour détecter, enquêter et répondre aux attaques à la vitesse et à l'échelle des attaquants hybrides. Cependant, même avec des capacités de détection avancées, nos utilisateurs souhaitent souvent comprendre les alertes qu'ils reçoivent et le contexte des détections. Ces informations supplémentaires sont utilisées pour contextualiser les résultats et répondre à des questions cruciales telles que l'identité des acteurs impliqués, le caractère malveillant ou légitime de l'activité, l'endroit où l'activité se produit et si les acteurs persistent ailleurs.  

Comprendre le processus d'enquête : Quand et comment Vectra AI vient à la rescousse

Dans le cadre de notre recherche UX en cours, nous avons remarqué que les équipes SOC enquêtent généralement lorsqu'elles reçoivent une détection qu'elles ne comprennent pas entièrement - lorsque des informations sont manquantes ou ne sont pas correctement analysées. Lorsque les analystes tombent sur une détection, l'investigation devient importante car elle permet de recueillir des informations supplémentaires pour comprendre les indicateurs de compromission ou ce que l'acteur a fait au cours des dernières heures, afin qu'ils puissent repérer et comparer un comportement normal à un comportement malveillant. Ces informations sont essentielles pour démontrer ce qui s'est passé, constituer des preuves et disposer d'un contexte suffisant pour agir.

"Notre première étape consiste à comprendre qui est l'acteur et la légitimité de l'activité.
- Recherche de cas d'utilisation, réponse de plusieurs utilisateurs  

En cas d'attaque malveillante, la réponse des analystes SOC devient une véritable course contre la montre. Dans un laps de temps très court, les analystes doivent rapidement évaluer les circonstances, déterminer la légitimité de l'activité, identifier les acteurs impliqués et isoler les systèmes compromis.

Les analystes SOC doivent souvent passer d'un outil à l'autre pour trouver des informations cruciales et créer une compréhension cohérente des événements, et doivent apprendre des langages de requête complexes pour interroger leurs données. Agir rapidement devient crucial lorsqu'il est nécessaire de répondre à des activités malveillantes potentielles. Il est donc extrêmement important, dans de telles situations, d'avoir un accès facile aux données pertinentes.

C'est pourquoi Vectra AI a commencé à créer des outils pour faciliter le travail d'investigation des analystes SOC , en rassemblant de manière transparente des données provenant de cloud et de sources réseau et en les consolidant au sein d'une plateforme unique et facilement accessible - permettant une investigation sans effort à n'importe quel moment.

Enquêtes simplifiées : Accès instantané à la plateforme Vectra AI


Pour aider les équipes SOC à enquêter le plus rapidement possible sur les schémas et les comportements malveillants potentiels, la plateformeVectra AI intègre un ensemble de requêtes prédéfinies directement dans la page de l'entité. Cela permet aux analystes d'obtenir rapidement des informations sur les activités d'un acteur et d'avoir les données les plus précieuses à portée de main.

Instant Investigation offre aux utilisateurs une collection de requêtes contenant les données les plus pertinentes et les plus agrégées. Ces requêtes sont facilement accessibles dans le cadre d'une entité, ce qui facilite la comparaison entre les détections déclenchées par l'acteur et son comportement habituel. Il n'est donc plus nécessaire d'apprendre un nouveau langage, de passer du temps à construire des requêtes ou de rechercher des informations pertinentes. Les analystes peuvent ainsi disposer rapidement des informations les plus importantes.  

Ces requêtes reflètent l'expertise combinée de nos professionnels en ce qui concerne les données primaires à analyser face à diverses détections, tout en guidant les utilisateurs vers les activités qui devraient être priorisées pour une enquête complète afin de répondre aux menaces potentielles pour la sécurité.

Enquête instantanée sur la plateforme Vectra AI

Améliorez votre analyse : Vectra AI's Advanced Investigation Tools Unveiled

Investigation avancée pour une vision globale

Si les données présentées dans l'enquête instantanée sont insuffisantes ou s'il existe des indications d'activités malveillantes potentielles, les utilisateurs peuvent plonger en toute transparence dans une enquête plus avancée et commencer immédiatement à analyser les données grâce à une collection de colonnes par défaut élaborées par nos experts et comprenant les informations les plus pertinentes.

Améliorer la compréhension grâce à la recherche en entreprise

Vectra AILa fonction de recherche de l'entreprise, construite sur la base d'un système de gestion de l'information de l'entreprise. Vectra AI-driven Attack Signal IntelligenceTM, enrichit la compréhension qu'ont les utilisateurs des alertes qu'ils reçoivent, en ajoutant un nouveau niveau de détail et de contexte. Nos clients peuvent désormais enquêter efficacement sur les incidents directement dans l'interface utilisateur de Vectra, ce qui leur évite d'avoir à quitter la plate-forme pour trouver les réponses qu'ils recherchent.

Interaction flexible des données

Cette fonction avancée présente une vue complète et non agrégée des données dans un format exhaustif. Les utilisateurs peuvent facilement interagir avec les données en manipulant la vue tabulaire, en ajoutant des colonnes, en créant des filtres personnalisés et en étendant la période de temps. Ces capacités leur permettent de rechercher de manière proactive des informations plus pertinentes et de mener une enquête plus approfondie si nécessaire.  

Création de requêtes conviviales

Lors des tests d'utilisation de nos nouveaux outils d'investigation, nous avons observé que l'apprentissage d'un nouveau langage d'interrogation pour l'exploration des données est à la fois difficile et chronophage, et qu'il peut ne pas correspondre aux préférences ou aux besoins de tous les clients. Dans la course contre la montre qui caractérise les enquêtes sur des événements potentiellement malveillants, la capacité à gagner du temps en élaborant efficacement des requêtes devient cruciale.  

Solution d'interrogation puissante et conviviale

Advanced Investigation est une solution de recherche d'entreprise puissante et personnalisée qui offre la flexibilité et les conseils dont les analystes ont besoin pour mener des enquêtes approfondies sans avoir à apprendre un autre langage d'interrogation.

Grâce à la mise en œuvre de ce nouveau processus d'enquête et à l'introduction d'un générateur de requêtes convivial, la plateforme Vetra AI permet aux analystes de tous niveaux, du plus jeune au plus expérimenté, de mener des enquêtes avec une efficacité et une efficience accrues.

Exploration simplifiée des données pour tous les niveaux de compétence

En testant cette fonctionnalité, nous avons remarqué qu'elle s'avérait exceptionnellement bénéfique pour les analystes débutants qui ne maîtrisent pas forcément les langages de requête avancés. Nous avons observé que ces personnes trouvaient cette méthode de création de requêtes à la fois conviviale et très efficace.

Désormais, n'importe qui, quel que soit son niveau de compétence, peut se plonger dans les données et élaborer une requête en ajoutant simplement quelques filtres. Ce processus rationalisé permet à tous les analystes de mieux protéger leur organisation contre les cybermenaces.

Enquête avancée sur la plateforme Vectra AI

Se concentrer sur les données pertinentes

D'après les commentaires de nos clients, les analystes SOC sont confrontés au défi de traiter une grande quantité de données brutes. Vectra AI garantit que les équipes SOC n'interagissent qu'avec les champs les plus pertinents, ce qui leur permet de naviguer rapidement dans les informations essentielles pour leur flux de travail d'investigation.  

Relier les points entre les surfaces d'attaque

En outre, pour aider les clients à reconnaître les modèles de comportement des acteurs dans leur environnement hybride cloud , la plateforme Vectra AI améliore les données en reliant les activités de l'acteur à travers différentes surfaces d'attaque. Cette approche permet une compréhension globale des mouvements potentiellement menaçants qui interagissent avec divers ensembles de données.

"L'enquête avancée est facile à lire, ce qui permet de déterminer rapidement ce qui se passe et d'effectuer des recherches plus approfondies. C'est très utile. - Client MSSP

Découvrez comment armer votre SOC avec Instant Investigations en lisant l'aperçu technique ou en essayant notre visite guidée de la plateforme.

Foire aux questions