Il y a quelques semaines, mon collègue et moi-même avons discuté de l'application de la théorie de la charge cognitive à la cybersécurité dans un blog récent. Le principal enseignement de cette discussion est que Vectra AI vise à concevoir son interface utilisateur et son flux de travail de manière à minimiser la charge cognitive et à optimiser le traitement de l'information. Des exemples de la manière dont nous avons procédé sur la plateforme Vectra AI peuvent être consultés sur notre page Hunt ou dans le module Respond.
Nous venons de lancer une nouvelle fonctionnalité sur la plateforme d'Vectra AI de Vectra AI qui ne se limite pas à la théorie de la charge cognitive, mais qui optimise, rationalise et accélère les enquêtes sur les attaques et les menaces pour l'analyste de sécurité moderne. Attack Graphs de Vectra fait partie intégrante de la protection du réseau moderne et constitue la réponse de Vectra AIà la complexité des attaques modernes.
Présentation des graphiques d'attaques
Attack Graphs de Vectra AIest une fonctionnalité de la plateforme Vectra AI qui permet de visualiser les détections associées à une ou plusieurs entités prioritaires couvrant l'ensemble du réseau moderne, en fonction d'une chronologie.
Les graphes d'attaque de Vectra prennent des comportements suspects qui représentent des activités malveillantes sur plusieurs surfaces d'attaque (c'est-à-dire plusieurs entités) et les concentrent dans une visualisation qui donne une image complète d'une attaque moderne. Ils permettent aux analystes de répondre à des questions fondamentales pour l'étude des menaces :
- D'où vient cette attaque ?
- Quel en est l'impact ?
- Quel a été l'ordre des événements ?
L'Attack Graphs de Vectra répond à ces trois questions en prenant les détections et les informations recueillies par les technologies de réseau, de cloud et d'identité de Vectra AI et en les consolidant dans une vue arborescente ou en étoile. Les lignes qui relient chaque nœud, qui représente un domaine, un compte, un serveur, un hôte ou un élément, décrivent la façon dont un attaquant moderne utilise chaque partie du réseau moderne pour mener des activités suspectes de manière insaisissable et en profondeur au sein des réseaux modernes.
La plateforme Vectra AI offre trois formes de visualisation : une vue arborescente, une vue chronologique et une vue de type réseau que nous appelons "graphe d'attaque". Ces vues garantissent que l'analyse de la visualisation s'intègre parfaitement dans le flux de travail de tout analyste.
Avec Attack Graphs, les équipes de sécurité modernes peuvent :
- Évaluer l'ampleur de l'attaque et son impact sur l'établissement des priorités en matière d'IA.
- Visualiser la progression des attaques sur les réseaux, les identités et les nuages.
- Remonter les menaces jusqu'à l'acteur d'origine pour une réponse plus rapide.
- Rassemblez toutes les informations essentielles sur la menace classée par ordre de priorité dans une seule et même fenêtre.
Il est essentiel de rassembler les informations susmentionnées en temps utile pour optimiser la charge cognitive afin d'enquêter et de répondre rapidement et efficacement aux menaces modernes.
Accélérer les enquêtes avec les graphes d'attaque de Vectra - une attaque multi-domaine
Dans cet exemple, nous avons notre serveur "marketing-collab" avec chaque alerte priorisée visualisée sur une vue arborescente du graphique d'attaque. Nous nous concentrons automatiquement sur l'élément qui est priorisé en rouge et qui est classé comme élevé selon l'évaluation de l'urgence de Vectra.
La première question à se poser est : "D'où viennent-ils ?" Dans ce cas, l'entité prioritaire a été ciblée par un tunnel HPS caché à partir d'un domaine externe appelé "minutemen.vault-tech.org". Nous savons donc immédiatement qu'il pourrait s'agir du patient zéro ou de la source initiale de l'attaque.
La prochaine question que nous voulons poser est "Que s'est-il passé d'autre ?" Pour répondre à cette question, nous suivons les branches de l'arborescence afin d'approfondir l'attaque. Nous pouvons voir que l'attaquant a effectué une reconnaissance RPC, un chiffrement faible ciblé par Kerberoasting , une interrogation LDAP suspecte jusqu'à un contrôleur de domaine "10.232.100.32" et une exécution à distance suspecte. Cette exécution à distance tentait un mouvement latéral vers un autre compte "jump-station5", qui a été classé comme moyen sur le score d'urgence de Vectra.
L'étape suivante de notre enquête consiste à examiner les détections sous un angle différent. Nous pouvons sélectionner la "vue du graphe de l'attaque", qui nous permet d'obtenir une vue plus moderne de l'attaque en termes de réseau.
Cette vue nous donne plus de clarté, en particulier avec la possibilité de déplacer des éléments et de voir plusieurs éléments se cibler les uns les autres.
Ici, nous pouvons voir qu'il y a plusieurs détections ciblant ce contrôleur de domaine ou ce compte "jump-station5", y compris RPC Recon ou LDAP Query. La partie suivante de l'enquête consiste à comprendre la progression de l'attaque dans le temps. Nous voulons répondre à la question suivante : "Quel est l'ordre des événements qui se sont produits ? "ou "comment cette attaque s'est-elle développée ?" Pour répondre rapidement à cette question, il suffit d'appuyer sur le bouton "play" du graphique d'attaque. Le diagramme vous montrera clairement où et quand chaque détection a eu lieu et à quelle vitesse l'attaque a progressé dans notre environnement.
Attack Graphs de Vectra présente des informations critiques pour des investigations approfondies dans une vue simple, rationalisant le processus pour les analystes de sécurité en décrivant exactement ce qui se passe dans un environnement, réduisant ainsi de 50 % le temps passé à enquêter sur les alertes (Source : 2025 IDC Business Value of Vectra AI Report). Dans cet exemple, nous avons pu comprendre l'ampleur de l'attaque en quelques minutes et l'impact sur la priorisation des menaces immédiatement. Les graphiques d'attaques de Vectra permettent de mieux comprendre le type de réponse qu'un analyste peut être amené à apporter.
Pour plus d'informations sur les graphiques d'attaque de Vectra, veuillez consulter notre podcast.
Pour voir les graphiques d'attaque de Vectra en action, veuillez planifier une démonstration avec nous.