Le défi d’aujourd’hui dans la mise en place d’une fonction SOC de premier plan
La mise en place d’une fonction d’opérations de sécurité de premier plan est un défi et nécessite un réglage constant. Les processus et les runbooks de réponse qui fonctionnaient hier peuvent créer des frictions inutiles et des retards de réponse aux incidents (IR) aujourd’hui. Les surfaces d’attaque changeant de jour en jour, le simple fait de rester au-dessus de l’eau peut sembler écrasant. Pour la plupart, prendre le temps d’affiner de manière proactive les opérations et les détections n’est qu’une autre priorité dans une longue liste de « choses à faire » et est généralement inférieur à la lutte contre les incendies d’alerte.
Les équipes SOC sont résistantes et, même face à tous ces obstacles et à d'innombrables alertes, elles se responsabilisent pour faire progresser leurs fonctions et atteindre l'excellence en matière d'opérations de sécurité. Afin d'aider les équipes à réagir plus rapidement aux menaces imminentes et à construire sur une base de proactivité, Vectra AI a le plaisir de mettre en avant certaines des fonctionnalités de ses produits récemment publiées.
Vectra AI Amélioration des produits de la plate-forme
En utilisant une approche multidimensionnelle de la détection des menaces visant à trouver les aiguilles cachées dans la botte de foin, le dernier lot de détections aide à mettre en évidence les angles morts et les menaces d’attaquants avec une efficacité et un contexte élevés. Quelques exemples sont répertoriés ci-dessous, avec plus d’informations disponibles dans nos notes de version (8.1 et 8.2).
- Nouvelle couverture de détection pour les attaquants qui ajoutent la persistance Entra ID/Azure AD : alerte les analystes lorsque le comportement d’un attaquant à la suite d’une compromission d’identité tente d’enregistrer un appareil ou de s’authentifier à partir d’emplacements anormaux. Ceci, ainsi qu’un événement d’authentification suspect, sera rapidement priorisé pour l’examen des analystes.
- Couverture améliorée des techniques d’élévation de privilèges dans AWS : cela inclut une nouvelle logique qui intègre des tactiques d’attaquant utilisées pour élever les autorisations non seulement par le biais de stratégies, mais également par le biais de services AWS natifs tels que les instances EC2. Ces améliorations permettent d’activer les méthodes de détection couramment utilisées dans les outils d’attaque tels que CloudGoat.
Vectra AI Verrouillage automatique pour Active Directory (AD)
La possibilité d’intégrer automatiquement des fonctionnalités de réponse dans les procédures opérationnelles et les playbooks existants permet aux analystes et aux intervenants de réagir aux menaces le plus rapidement possible. Avec le verrouillage automatique pour Active Directory (AD), les équipes ont la possibilité de verrouiller un compte de manière proactive en fonction du score d’urgence de l’alerte et de l’importance de l’entité. Cette approche à double configuration garantit que lorsqu’une entité dépasse des seuils prédéfinis, le compte entre automatiquement dans un état de verrouillage (pour une durée définie par l’utilisateur). Cette période de confinement donne aux intervenants le temps de mener une enquête approfondie et d’intervenir de manière appropriée. Les options de personnalisation incluent des seuils configurables de score d’urgence et d’importance de l’entité, ainsi que la durée du verrouillage. Grâce à cette automatisation définie par l’utilisateur, les équipes peuvent réduire considérablement la fenêtre d’opportunité pour les attaquants.
Gestion optimisée des utilisateurs sur le Respond UX
Les administrateurs système sur la plate-forme Vectra AI peuvent désormais facilement voir et accéder aux utilisateurs configurés sur leur système et aux rôles qui leur sont attribués, ce qui garantit une précision maximale lors du provisionnement des utilisateurs et de l'audit de l'accès au système - le tout dans la même interface utilisateur. Ces fonctionnalités sont les suivantes :
- Gestion des utilisateurs : ajouter de nouveaux utilisateurs, gérer l'accès aux rôles des utilisateurs, supprimer des utilisateurs, voir la liste des rôles en corrélation avec les noms d'utilisateurs et les horodatages des dernières connexions.
- Gestion des rôles : renommer les rôles, ajouter et supprimer des autorisations, voir combien d'utilisateurs sont associés à chaque rôle.
Mais attendez ! Ce n'est pas tout !
Vectra AI offrira bientôt la possibilité de lister, créer, modifier et supprimer des utilisateurs de manière programmatique via l'API RUX v3. Cette fonctionnalité sera essentielle pour l'intégration d'un grand nombre de nouveaux utilisateurs, l'adaptation aux changements de personnel et l'opérationnalisation rapide de nouveaux déploiements. Restez à l'écoute pour des mises à jour avec des détails sur un nouveau guide de l'API v3.4, une bibliothèque Postman publique, et des détails sur les nouveaux points de terminaison.
Ces fonctionnalités sont un bref aperçu de l’engagement de notre équipe à fournir en permanence des capacités pour soutenir votre parcours d’excellence en matière d’opérations de sécurité. Nous vous encourageons à explorer nos notes de mise à jour et à nous faire part de vos idées sur les moyens d’améliorer notre produit.
Pour les équipes qui souhaitent en savoir plus sur la plateforme Vectra AI , inscrivez-vous à une démonstration et découvrez comment nous pouvons vous aider à stopper des attaques réelles en quelques minutes.