Nos clients s'appuient sur Vectra AI pour détecter, enquêter et répondre aux attaques à la vitesse et à l'échelle des attaquants hybrides. Cependant, même avec des capacités de détection avancées, nos utilisateurs souhaitent souvent comprendre les alertes qu'ils reçoivent et le contexte des détections. Ces informations supplémentaires sont utilisées pour contextualiser les résultats et répondre à des questions cruciales telles que l'identité des acteurs impliqués, le caractère malveillant ou légitime de l'activité, l'endroit où l'activité se produit et si les acteurs persistent ailleurs.
Comprendre le processus d'enquête : Quand et comment Vectra AI vient à la rescousse
Dans le cadre de notre recherche UX en cours, nous avons remarqué que les équipes SOC enquêtent généralement lorsqu'elles reçoivent une détection qu'elles ne comprennent pas entièrement - lorsque des informations sont manquantes ou ne sont pas correctement analysées. Lorsque les analystes tombent sur une détection, l'investigation devient importante car elle permet de recueillir des informations supplémentaires pour comprendre les indicateurs de compromission ou ce que l'acteur a fait au cours des dernières heures, afin qu'ils puissent repérer et comparer un comportement normal à un comportement malveillant. Ces informations sont essentielles pour démontrer ce qui s'est passé, constituer des preuves et disposer d'un contexte suffisant pour agir.
"Notre première étape consiste à comprendre qui est l'acteur et la légitimité de l'activité.
- Recherche de cas d'utilisation, réponse de plusieurs utilisateurs
En cas d'attaque malveillante, la réponse des analystes SOC devient une véritable course contre la montre. Dans un laps de temps très court, les analystes doivent rapidement évaluer les circonstances, déterminer la légitimité de l'activité, identifier les acteurs impliqués et isoler les systèmes compromis.
Les analystes SOC doivent souvent passer d'un outil à l'autre pour trouver des informations cruciales et créer une compréhension cohérente des événements, et doivent apprendre des langages de requête complexes pour interroger leurs données. Agir rapidement devient crucial lorsqu'il est nécessaire de répondre à des activités malveillantes potentielles. Il est donc extrêmement important, dans de telles situations, d'avoir un accès facile aux données pertinentes.
C'est pourquoi Vectra AI mission de créer des outils destinés à faciliter le processus d'investigation des analystes SOC , en collectant de manière transparente les données provenant à la fois cloud du réseau, puis en les regroupant au sein d'une plateforme unique et facilement accessible — — permettant ainsi de mener des investigations en toute simplicité à tout moment.
Des enquêtes simplifiées : découvrez l'accès instantané avec la Vectra AI
Afin d'aider les équipes SOC à analyser les schémas et les comportements malveillants potentiels aussi rapidement que possible, la Vectra AI intègre un ensemble de requêtes prédéfinies directement dans la page de l'entité. Cela permet aux analystes d'obtenir rapidement des informations sur les activités d'un acteur et d'avoir les données les plus pertinentes à portée de main.
Instant Investigation propose aux utilisateurs une sélection de requêtes contenant les données les plus pertinentes et agrégées. Ces requêtes sont facilement accessibles au sein d'une entité, ce qui facilite la comparaison entre les détections déclenchées par l'acteur et son comportement habituel, sans qu'il soit nécessaire d'apprendre un nouveau langage, de passer du temps à créer des requêtes ou de rechercher des informations pertinentes. Les analystes disposent ainsi immédiatement des informations les plus cruciales.
Ces requêtes reflètent l'expertise combinée de nos professionnels en ce qui concerne les données primaires à analyser face à diverses détections, tout en guidant les utilisateurs vers les activités qui devraient être priorisées pour une enquête complète afin de répondre aux menaces potentielles pour la sécurité.
Améliorez votre analyse : Vectra AI's Advanced Investigation Tools Unveiled
Investigation avancée pour une vision globale
Si les données présentées dans l'enquête instantanée sont insuffisantes ou s'il existe des indications d'activités malveillantes potentielles, les utilisateurs peuvent plonger en toute transparence dans une enquête plus avancée et commencer immédiatement à analyser les données grâce à une collection de colonnes par défaut élaborées par nos experts et comprenant les informations les plus pertinentes.
Améliorer la compréhension grâce à la recherche en entreprise
La fonction de recherche d'entrepriseVectra AI, basée sur sur les donnéesVectra AI sur les signaux d'attaqueVectra AI Attack Signal IntelligenceTM, enrichit la compréhension qu'ont les utilisateurs des alertes qu'ils reçoivent, en ajoutant un nouveau niveau de détail et de contexte. Nos clients peuvent désormais enquêter efficacement sur les incidents directement depuis l'interface utilisateur de Vectra, ce qui leur évite de devoir quitter la plateforme pour trouver les réponses qu'ils cherchent.
Interaction flexible des données
Cette fonction avancée présente une vue complète et non agrégée des données dans un format exhaustif. Les utilisateurs peuvent facilement interagir avec les données en manipulant la vue tabulaire, en ajoutant des colonnes, en créant des filtres personnalisés et en étendant la période de temps. Ces capacités leur permettent de rechercher de manière proactive des informations plus pertinentes et de mener une enquête plus approfondie si nécessaire.
Création de requêtes conviviales
Lors des tests d'utilisation de nos nouveaux outils d'investigation, nous avons observé que l'apprentissage d'un nouveau langage d'interrogation pour l'exploration des données est à la fois difficile et chronophage, et qu'il peut ne pas correspondre aux préférences ou aux besoins de tous les clients. Dans la course contre la montre qui caractérise les enquêtes sur des événements potentiellement malveillants, la capacité à gagner du temps en élaborant efficacement des requêtes devient cruciale.
Solution d'interrogation puissante et conviviale
Advanced Investigation est une solution de recherche d'entreprise puissante et personnalisée qui offre la flexibilité et les conseils dont les analystes ont besoin pour mener des enquêtes approfondies sans avoir à apprendre un autre langage d'interrogation.
Grâce à la mise en place de ce nouveau processus d'enquête et à l'introduction d'un générateur de requêtes convivial, la plateforme Vetra AI permet aux analystes de tous niveaux, des débutants aux plus expérimentés, de mener leurs enquêtes avec une efficacité et une efficience accrues.
Exploration simplifiée des données pour tous les niveaux de compétence
En testant cette fonctionnalité, nous avons remarqué qu'elle s'avérait exceptionnellement bénéfique pour les analystes débutants qui ne maîtrisent pas forcément les langages de requête avancés. Nous avons observé que ces personnes trouvaient cette méthode de création de requêtes à la fois conviviale et très efficace.
Désormais, n'importe qui, quel que soit son niveau de compétence, peut se plonger dans les données et élaborer une requête en ajoutant simplement quelques filtres. Ce processus rationalisé permet à tous les analystes de mieux protéger leur organisation contre les cybermenaces.
Se concentrer sur les données pertinentes
D'après les commentaires de nos clients, les analystes SOC sont confrontés au défi de traiter une grande quantité de données brutes. Vectra AI garantit que les équipes SOC n'interagissent qu'avec les champs les plus pertinents, ce qui leur permet de naviguer rapidement dans les informations essentielles pour leur flux de travail d'investigation.
Relier les points entre les surfaces d'attaque
De plus, afin d'aider les clients à identifier les schémas de comportement des acteurs au sein de leur cloud hybride, la Vectra AI enrichit les données en reliant les activités des acteurs sur différentes surfaces d'attaque. Cette approche permet une compréhension globale des mouvements potentiellement menaçants à mesure qu'ils interagissent avec divers ensembles de données.
"L'enquête avancée est facile à lire, ce qui permet de déterminer rapidement ce qui se passe et d'effectuer des recherches plus approfondies. C'est très utile. - Client MSSP
Découvrez comment équiper votre SOC de la fonctionnalité « Instant Investigations » en consultant la présentation technique ou en suivant notre visite guidée de la plateforme.