Vectra AI Détections

Introduction aux détections Vectra AI

Détections tout au long de la chaîne de mise à mort

Vectra AI utilise des mécanismes avancés de détection des menaces pour détecter et neutraliser les cybermenaces à tous les stades de la chaîne d'attaque.

Après un premier exploit, le logiciel malveillant contacte son serveur. Command & Control serveur à partir duquel il sera contrôlé à distance de manière automatisée ou par un humain.

L'attaque progresse généralement de manière opportuniste : le logiciel malveillant relie l'hôte à un réseau de zombies et l'éleveur de zombies vole des informations à l'hôte infecté et utilise vos ressources pour gagner de l'argent en attaquant d'autres systèmes sur l'internet(activité du réseau de zombies).

Dans ce cas, l'hôte infecté s'oriente dans votre réseau(reconnaissance), se propage latéralement pour se rapprocher de vos joyaux(mouvement latéral) et vole vos données pour les envoyer à un système extérieur(exfiltration).

Vectra AI Modèle d'évaluation des menaces

L'IA de Vectra établit une corrélation entre les comportements des menaces et un hôte ou un compte et les classe par ordre de priorité dans l'une des quatre catégories de gravité : Critique, Élevée, Moyenne et Faible.

Ce classement est basé sur la compréhension par le modèle de notation de Vectra du degré d'alignement des comportements collectifs des attaquants sur une attaque réelle de plus en plus importante.

Les équipes de sécurité qui surveillent la console Vectra doivent avant tout décider des hôtes ou des comptes à examiner en premier, en fonction du classement de gravité calculé.

Vectra AI tableau de bord d'évaluation des cybermenaces pour prioriser les enquêtes et la chasse aux menaces

Les hôtes et les comptes classés dans la catégorie " gravité critique" ou "gravité élevée " présentent un risque élevé d'endommager les activités de l'entreprise et affichent des comportements associés à des attaques en cours qui justifient une enquête.

Les comptes classés dans les catégories de gravité faible ou moyenne présentent des risques moins directement observés et peuvent servir de point de départ à des efforts de recherche de menaces plutôt qu'à une enquête immédiate.

En plus du classement par gravité, des scores de menace et de certitude sont calculés pour chaque compte classé par ordre de priorité en fonction des comportements corrélés afin de permettre un classement plus fin.

Les détections reçoivent également des scores de menace et de certitude qui caractérisent les sévérités spécifiques à la détection en fonction de la menace du comportement associé et de la certitude des modèles de détection sous-jacents.

Les détails du calcul de la menace et de la certitude de chaque détection sont présentés sur la page unique de chaque détection.

Liste des détections Vectra AI

Détections d'activités de reconnaissance

  • Un hôte ou un compte cartographie l'intérieur de votre réseau ou de votre environnement cloud .
  • L'activité peut indiquer qu'il s'agit d'une attaque ciblée
  • Les types de détection couvrent les analyses rapides et les analyses lentes - votre analyseur de vulnérabilité apparaîtra ici car il effectue pratiquement la même activité qu'un attaquant.

Détections de mouvements latéraux

  • Couvre des scénarios d'action latérale visant à favoriser une attaque ciblée
  • Il peut s'agir de tentatives de vol d'identifiants de compte ou de vol de données provenant d'une autre ressource.
  • Il peut également s'agir de compromettre un autre hôte ou compte afin de renforcer la position de l'attaquant ou de se rapprocher des données cibles.

Détections d'activités C2

  • Un hôte ou un compte semble être sous le contrôle d'une entité externe.
  • Le plus souvent, le contrôle est automatisé car l'hôte ou le compte fait partie d'un réseau de zombies ou est équipé d'un logiciel publicitaire ou d'un logiciel espion.
  • L'hôte ou le compte peut être contrôlé manuellement de l'extérieur - c'est le cas le plus menaçant et il est très probable qu'il s'agisse d'une attaque ciblée.

Détection des activités d'exfiltration

  • Couvre les scénarios dans lesquels les données sont envoyées à l'extérieur ou collectées d'une manière visant à dissimuler le transfert de données.
  • Bien que des données soient constamment envoyées hors du réseau ou de l'environnement cloud , elles n'impliquent généralement pas l'utilisation de techniques destinées à dissimuler le transfert
  • L'hôte ou le compte qui transmet les données, l'endroit où il les transmet, la quantité de données et la technique utilisée pour les envoyer sont autant d'indicateurs d'exfiltration.

Détection des activités des réseaux de zombies

  • Un hébergeur fait gagner de l'argent à son bot herder
  • Les moyens par lesquels un hôte infecté peut être utilisé pour produire de la valeur vont du minage de bitcoins à l'envoi de courriers électroniques non sollicités, en passant par la production de faux clics publicitaires
  • Le bot herder utilise l'ordinateur hôte, sa connexion réseau et, surtout, la réputation irréprochable de l'IP qui lui a été attribuée pour réaliser des bénéfices.

Détections par surface d'attaque

Détections dans le réseau

Détections dans Azure AD et M365

Détections dans le système AWS