Selon le Microsoft Digital Defense Report 2024, les clients de Microsoft sont confrontés chaque jour à plus de 600 millions d'attaques de cybercriminels et d'États-nations. Si elles ne sont pas détectées, ces attaques peuvent entraîner des interruptions d'activité coûteuses, des incidents liés à des ransomwares et le vol de données de grande valeur. La question est la suivante : les équipes de sécurité peuvent-elles s'appuyer uniquement sur des solutions de sécurité natives pour rester en sécurité ? Malheureusement, la réponse est non. Vectra AI a observé une augmentation de 6 fois des compromissions validées au cours du premier semestre de cette année parmi les organisations ayant déployé la licence de sécurité premium de Microsoft (E5). Dans tous les cas, Vectra AI a été en mesure de détecter et d'arrêter les attaques.
En effet, si Microsoft est capable de prévenir un grand nombre d'attaques, ses outils natifs n'offrent pas la couverture et la clarté nécessaires pour arrêter cybercriminels qui a contourné les défenses de première ligne. La posture native de Microsoft, la collecte de journaux et les règles simples ne sont pas suffisantes pour trouver et arrêter les attaquants modernes. Vectra AILes capacités complètes de détection et de réponse aux menaces de Microsoft sont conçues pour combler ces lacunes dans la sécurité native de Microsoft, en détectant les menaces dans les environnements Microsoft avant qu'elles ne causent des dommages.
Le problème de la surface de menace de Microsoft
Les attaques modernes contre l'infrastructure Microsoft ne se limitent plus à une seule surface d'attaque. Elles couvrent les réseaux, les points d'extrémité, les identités (humaines et non humaines), SaaS, cloud et, plus récemment, Gen AI.
L'exemple suivant représente l'état actuel des attaquants modernes cloud-ware, qui se répandent dans les endroits où se trouvent les données les plus précieuses.
Dans ces cas où la posture et la prévention échouent, les capacités de détection pilotées par l'IA - en corrélation avec les réseaux sur site, Active Directory, Microsoft Entra ID, Microsoft 365, Azure IaaS, Azure PaaS et les terminaux - sont essentielles pour stopper les menaces.
Les entreprises résolvent le problème de la surface de menace de Microsoft avec la plateforme Vectra AI
"Avant de déployer Vectra AI, nous avions une visibilité limitée sur les comportements malveillants à l'intérieur du trafic réseau ou de Microsoft 365", déclare Kevin Orritt, responsable de la sécurité des TIC au Greater Manchester Mental Health NHS Foundation Trust. "Nous sommes impressionnés par ce que nous pouvons maintenant voir".
Vectra AI comble les lacunes en offrant une couverture complète pour s'attaquer au problème de la surface d'attaque de Microsoft, une clarté basée sur l'IA pour éliminer le temps de latence de la détection, et des capacités de contrôle qui donnent à votre équipe de sécurité les réponses nécessaires pour enquêter rapidement et verrouiller en toute confiance les comptes compromis en quelques minutes au lieu de quelques heures.
Couverture pour réduire l'exposition
Ladétection, l'investigation et la réponse aux menaces réseau en temps réel, sans agent et sur site de Vectra détecte les menaces tout au long de la chaîne d'exécution, offrant une couverture est-ouest pour la reconnaissance et les mouvements latéraux, ainsi qu'une couverture nord-sud pour le commandement et le contrôle et l'exfiltration. La détection pilotée par l'IA ne repose pas sur des signatures, ce qui garantit une couverture tout aussi efficace des cadres d'attaque connus tels que Cobalt Strike, ainsi que des cadres inconnus et personnalisés utilisés par la nouvelle génération d'attaquants. Elle offre une visibilité non seulement sur ce qui est différent, mais aussi sur les comportements des attaquants, ce qui garantit que les activités bénignes ne font pas perdre de temps aux équipes de sécurité. Cette couverture centrée sur le réseau permet de détecter au plus tôt les attaquants qui ont contourné l'EDR et d'autres outils préventifs, offrant ainsi une protection résiliente pour tous les appareils, y compris les appareils IoT et OT où l'EDR ne peut pas être déployé.
Vectra détecte les techniques d'attaques hybrides non détectées par Microsoft, telles que les attaques d'identifiants utilisant des techniques zero-day et l'utilisation abusive d'identifiants à privilèges pour des déplacements latéraux. La technologie brevetée d'analyse de l'accès aux privilèges de Vectra compare les privilèges réels d'une identité à un score de confiance zéro idéal, ce qui garantit le déclenchement d'une alerte dès qu'un justificatif d'identité s'écarte des privilèges réels. La couverture s'étend à l'ensemble de la chaîne de destruction des identités de l'attaquant, avec des alertes pour les attaquants ciblant les informations d'identification par des techniques telles que Kerberoasting, la force brute et l'abus de protocole explicite de RDP, SSH, NTLM, LDAP, DCERPC, SMB et bien plus encore.
Vectra détecte le moment où les attaquants accèdent pour la première fois à un identifiant Microsoft Entra ID, mais fournit également une couverture complète de ce que les attaquants font ensuite, comme l'identification de l'abus de privilèges cloud , l'enregistrement de nouveaux appareils et la création d'un accès par porte dérobée. L'IA appropriée est utilisée dans l'ensemble de la couverture de Vectra pour fournir une visibilité inégalée. Les lignes de base à long terme qui suivent plus de 20 attributs de l'authentification de chaque utilisateur sont examinées simultanément pour déterminer les informations d'identification qui sont sous contrôle. L'IA de Vectra, basée sur le comportement, a prouvé qu'elle pouvait fournir une couverture zéro jour pour Entra ID en se concentrant sur les privilèges des utilisateurs et les opérations exécutées. Toute cette couverture est unifiée au sein de la plateforme Vectra, reliant le réseau et l'identité cloud afin de fournir une visibilité intégrée à travers l'entreprise Microsoft.
Vectra détecte les attaques hors sol dans Microsoft 365, en surveillant l'ensemble de la surface d'attaque M365, y compris Teams, Exchange, OneDrive, eDiscovery, Power Automate et SharePoint, ce qui permet une surveillance complète des menaces sur les données critiques de l'entreprise.
Vectra détecte les attaquants qui accélèrent leur attaque en s'appuyant sur Gen AI de Microsoft pour accélérer la découverte de données ciblées qui leur permettent de progresser dans l'environnement ou de voler des informations de grande valeur.
La couverture de Vectra en matière de détection et de réponse aux menaces réseau s'étend de manière transparente aux environnements IaaS en s'appuyant sur les paquets pour offrir des capacités de détection des menaces sans compromis. Elle permet une visibilité hybride complète, reliant les points entre les menaces qui se déplacent de manière transparente entre les systèmes sur site et cloud .
Vectra détecte les attaques contre Azure PaaS à l'aide d'identifiants humains et non humains, offrant ainsi une visibilité hybride sur toutes les ressources critiques et l'infrastructure Azure. Cela inclut la surveillance des politiques Azure, d'Azure App Service, des comptes d'automatisation Azure et bien plus encore.
Endpoint
Le service MXDR de Vectra combine les signaux des EDR, y compris Defender for Endpoint, avec les capacités complètes de Vectra pour fournir une couverture complète des menaces ciblant les terminaux, les environnements hybrides et multicloud . Il offre une surveillance 24 heures sur 24 et 7 jours sur 7 par des analystes experts qui enquêtent sur les menaces, y répondent et y remédient, garantissant ainsi la sécurité complète de l'entreprise.
La clarté pour éliminer le temps de latence dans la détection des menaces
Priorité aux menaces en fonction des risques
L'IA de Vectra priorise les menaces urgentes avant qu'elles ne causent des dommages en corrélant les comportements observés avec l'hôte, les identités humaines et les identités de la machine. La priorisation de l'IA excelle à concentrer les équipes sur l'histoire complète qui requiert leur attention, maximisant leur temps en tenant compte de l'activité observée, de la classe du système, des privilèges et des paramètres de priorité personnalisés.
Corrélation unifiée des attaques dans les environnements hybrides
Les algorithmes de corrélation relient les points entre les comportements des attaquants dans les centres de données sur site, Active Directory, Microsoft Entra ID, Microsoft 365 et Azure, créant ainsi un récit d'attaque unifié pour des investigations plus rapides et plus précises. Chaque événement d'attaque observé est attribué à un compte ou à une machine avec le nom de l'acteur - et non simplement à des IP ou à des ID d'objets indéchiffrables, ce qui maximise le contexte pour les équipes et leur temps de réponse.
Élimination des faux positifs et des signaux bénins
Notre IA filtre les comportements bénins et ne remonte que les événements suspects. Elle combine le filtrage automatisé avec un filtre manuel optionnel pour permettre aux équipes de sécurité de se concentrer sur les véritables menaces sans risquer de manquer une attaque.
Des métadonnées améliorées pour les enquêtes
Les métadonnées enrichies vont au-delà de ce qui peut être collecté et traité dans n'importe quel SIEM. Un contexte supplémentaire piloté par l'IA est ajouté aux métadonnées qui débloquent de nouvelles capacités pour l'équipe de sécurité avec des contextes tels que les scores de privilège des actifs, les événements de balise, JA3 et le vrai nom de l'acteur et plus encore.
Contrôler pour stopper les attaques et maximiser les talents
Contrôle actif de la posture
Vectra permet aux équipes de passer à gauche en identifiant les lacunes de sécurité dans les réseaux, les identités, les services cloud et les outils GenAI comme Microsoft Copilot for M365. Nous surveillons activement plus de 20 flux de données améliorés par l'IA et des centaines d'attributs pour trouver comment les attaquants pourraient contourner le contrôle dans votre environnement lors d'une future attaque avec le contexte pour réduire votre surface d'attaque.
Enquêtes accélérées et chasse aux menaces intuitive
Vectra fournit instantanément des réponses aux principales questions des analystes à partir des métadonnées du réseau, de cloud et de l'identité dans tous les cas, sans qu'il soit nécessaire d'écrire une seule requête. Lorsqu'une investigation plus approfondie est nécessaire, les équipes ont accès aux 20 flux de données avec un contexte intégré, ce qui accélère le processus d'identification des menaces.
Capacités de réaction globales
Les intégrations natives de Vectra avec EDR, AD et Entra ID permettent aux analystes de sécurité de prendre manuellement ou automatiquement la bonne action au bon moment pour arrêter un attaquant, où qu'il se trouve dans l'environnement.
Intégration avec Microsoft Sentinel
Vectra s'intègre nativement à Microsoft Sentinel, améliorant les flux de travail existants, éliminant le besoin de gérer des analyses personnalisées et maximisant le temps des équipes.
Découvrez vos lacunes en matière de sécurité dans les environnements Microsoft
Pour résoudre efficacement le problème de la surface de menace de Microsoft, il faut d'abord comprendre les lacunes actuelles en matière de sécurité. Les équipes de sécurité sont encouragées à effectuer des tests de sécurité sur leur réseau, leur identité et leurs environnements en utilisant des outils qui simulent les comportements d'un attaquant moderne. Cloud en utilisant des outils qui simulent les comportements d'attaquants modernes. Vectra AI est là pour vous aider à détecter les attaquants au moment où ils se compromettent et à chasser ceux qui sont déjà à l'intérieur grâce à une défense complète basée sur l'IA.
Pour en savoir plus sur la plateforme Vectra AI , consultez notre page sur la plateforme ou planifiez une démonstration dès maintenant.