Shai-Hulud Part 2: When the Worm Forged Its Own Security Certificate
Lire le blog
Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
  1. Blogs
    >
  2. Cyber IA

Pourquoi trier les alertes quand l'IA peut le faire à votre place ?

April 17, 2026
4/17/2026
Brad Woodberg
Directeur principal de la gestion des produits
Pourquoi trier les alertes quand l'IA peut le faire à votre place ?

Si vous demandez à des analystes de la sécurité de décrire les principales difficultés auxquelles ils se heurtent dans l'exercice de leurs fonctions, vous obtiendrez sans aucun doute des réponses très diverses. Une chose qu'ils auront presque certainement en commun est le défi que représente la gestion de la fatigue des alertes. Nous avons observé que les défis dans ce domaine se résument à trois points de douleur des analystes :

  • "Il n'y a pas assez d'heures dans la journée pour gérer le volume d'alertes que j'ai à traiter.
  • "Je suis incapable d'utiliser efficacement mon temps parce que je ne peux pas faire la distinction entre les faux et les vrais positifs.
  • "Je crains de passer à côté d'une véritable attaque parce que le signal est noyé dans le bruit de ma solution existante.

De nombreuses raisons expliquent les problèmes décrits dans les anciennes solutions de sécurité, mais elles se résument en grande partie à ce qui suit :

  • Une mise en correspondance simpliste des conditions et des anomalies génère des faux positifs.
  • L'incapacité d'exploiter les indices contextuels du réseau pour améliorer l'efficacité.
  • L'accent est mis uniquement sur les détections, et non sur la manière de les organiser efficacement afin qu'un analyste puisse se concentrer sur les choses qui requièrent réellement son attention.

Une meilleure solution pour les analystes en sécurité :

Dès le premier jour, Vectra AI mis au point des mécanismes de détection visant à éliminer le risque de faux positifs en enrichissant ses algorithmes avec le contexte propre aux réseaux modernes. Alors que les produits de sécurité réseau traditionnels se contentent souvent de rechercher un modèle ou une anomalie statistique hors contexte, Vectra AI ses mécanismes de détection de manière à exploiter le contexte du réseau et à identifier les anomalies exactement comme le ferait un analyste en sécurité.  

Par exemple, notre système de détection des exfiltrations de type « smash and grab » apprend à reconnaître les mouvements de données normaux sous-réseau par sous-réseau, prend en compte les sites les plus fréquentés dans votre environnement et recherche les flux de données sortants anormaux, même sur les canaux cryptés. Vectra AI établit Vectra AI des corrélations entre les détections au niveau des hôtes et des comptes, en apprenant les schémas types et en identifiant chaque objet, puis hiérarchise les détections pour les analystes sous forme de liste classée par ordre de priorité.  Cela simplifie considérablement l'effort nécessaire pour exploiter Vectra AI aux concurrents qui se contentent de générer des détections et laissent à l'analyste le soin d'en discerner la signification.  

Il restait toutefois un aspect qui ne nous satisfaisait pas entièrement : la gestion des faux positifs. En effet, tous les faux positifs ne sont pas nécessairement malveillants. Il est également possible de détecter de manière fiable une activité dont le comportement correspond exactement à ce que le système indique ; dans le contexte où l'événement se produit, il peut s'agir d'un faux positif bénin plutôt que d'un faux positif malveillant. Par exemple, certains antivirus intègrent des recherches de hachage de fichiers dans les requêtes DNS adressées à leur fournisseur.  Ce comportement peut ressembler fortement à un canal de commande et de contrôle (C&C) encodant des données dans la charge utile DNS, et c'est effectivement le cas.  Mais le fait est que, bien qu'il s'agisse d'un véritable tunnel DNS, il n'est pas malveillant, mais plutôt bénin. Notre philosophie a toujours été de fournir une visibilité sur ces détections de haute qualité des comportements et des méthodes des attaquants, tout en équilibrant cela en ne priorisant pour l'utilisateur que les détections hautement fiables et corrélées au niveau de l'hôte ou du compte.

Cela nous a amenés à nous demander s'il existait un moyen d'appliquer certaines des techniques que nous utilisons pour alimenter nos algorithmes de ML/IA de classe mondiale afin de distinguer les faux positifs malveillants des faux positifs bénins. L'objectif était de dispenser autant que possible nos clients d'analyser les faux positifs bénins, tout en leur permettant de se concentrer en priorité sur les faux positifs malveillants nécessitant une attention immédiate. C'est ainsi qu'est né le triage par IA.

À l'instar de notre processus de création de détections, nous avons intégré des capacités de triage par IA en analysant tout d'abord la méthodologie utilisée par les analystes sur le terrain pour résoudre ces problèmes. Nous avons ensuite formé notre système d'apprentissage automatique et d'IA afin d'automatiser la résolution des scénarios présentant le plus haut niveau de fiabilité.

Comment fonctionne l'AI-Triage :

Intégrée à la Vectra AI , la fonctionnalité de triage par IA analyse automatiquement toutes les détections actives du système. Elle exploite le contexte de chaque détection ainsi que les points communs entre elles afin d'identifier les cas de faux positifs bénins que nous pouvons trier automatiquement pour le compte du client.   Par exemple, si nous constatons que des dizaines de terminaux génèrent tous la même détection de tunnel HTTPS caché vers la même destination, pendant au moins 14 jours sans autre indicateur de compromission, nous pouvons identifier en toute confiance ce cas comme un faux positif bénin. Le triage par IA créera alors automatiquement une règle de triage pour le compte du client, sans que l'analyste n'ait à y consacrer un temps précieux.  Si un analyste souhaite l'examiner, l'activité reste disponible sur la plateforme, mais ne nécessite aucune intervention de sa part et n'a pas d'incidence sur le score de l'hôte ou du compte.

Nous avons constaté que le tri par IA réduit de plus de 80 % le nombre total d'alertes qu'un analyste devrait autrement examiner, ce qui permet de consacrer davantage de temps aux événements nécessitant son attention.

Déploiement en un clic

Maintenant que vous connaissez tous les avantages offerts par AI-triage, vous serez ravi d'apprendre que vous pouvez activer ces fonctionnalités d'un simple clic. AI-triage ne nécessite aucun réglage ni aucune gestion de la part du client. Pour l'activer, il vous suffit d'aller dans Paramètres -> AI-triage et d'activer la fonctionnalité. À partir de là, AI-triage commencera à fonctionner en arrière-plan pour identifier les détections de vrais positifs bénins à haut niveau de confiance et les trier pour vous.  

Trente jours après son lancement, plus de la moitié de nos clients ont déjà activé la fonctionnalité de triage par IA. Nous constatons une réduction significative des faux positifs bénins chez la grande majorité de nos clients. Mais ce n'est que le début de notre démarche visant à améliorer l'efficacité des analystes en sécurité. Dans les prochaines versions, nous étendrons les capacités de triage par IA afin de couvrir de nouveaux scénarios et d'autres produits de notre gamme.

Si vous souhaitez obtenir plus d'informations sur l'AI-Triage, consultez notre article KB "AI-Triage in Detail" : https://support.vectra.ai/s/article/KB-VS-1582

Pour plus d'informations sur la détection ML/AI de classe mondiale de Vectra, consultez le site : https://support.vectra.ai/s/article/KB-VS-1285 

Foire aux questions