Communiqués et mises à jour

Couverture

Intégration de Netskope SASE en avant-première publique

À mesure que les utilisateurs et les applications sortent du périmètre de l'entreprise, les défenseurs perdent toute visibilité sur le trafic critique qui circule directement vers le cloud. Cela crée des angles morts où peuvent se cacher des commandes et des contrôles avancés (C2) et des exfiltrations de données, exposant ainsi les entreprises.

La nouvelle intégration de Vectra AIavec Netskope CloudTAP comble cette lacune. En recevant le trafic GENEVE de Netskope Stitcher, Vectra offre la même détection approfondie des menaces et la même visibilité des métadonnées pour les utilisateurs distants et cloud que pour les utilisateurs sur site - éliminant ainsi les angles morts dans les environnements SASE modernes.

Si vous souhaitez activer l'intégration de Vectra dans Netskope, veuillez contacter l'équipe chargée de votre compte Vectra. Voir l'intégration et l'optimisation de Netskope SASE pour les détails de la mise en œuvre.

Améliorations des versions rapides

Les améliorations suivantes ont été apportées aux algorithmes depuis le dernier cycle de mise à jour du logiciel. Les clients qui sont connectés au service de mise à jour de Vectra et dont l'assistance à distance est activée ont reçu ces améliorations. Tous les autres clients recevront les améliorations suivantes dans le cadre de cette version :

• Vectra AI détecte désormais les requêtes LDAP ciblant les comptes Active Directory dépourvus de préauthentification Kerberos - une étape courante dans les attaques de type AS-REP roasting. Cette amélioration offre une visibilité plus rapide sur la reconnaissance des informations d'identification, aidant ainsi les équipes de sécurité à arrêter les attaquants avant qu'ils n'abusent des informations d'identification.
• Vectra AI a affiné sa logique de détection des activités de force brute et de pulvérisation de mot de passe RDP afin d'améliorer la précision et de réduire les faux positifs dans les environnements avec des hôtes partagés ou bastion. Cette amélioration clarifie les seuils de détection et les descriptions, ce qui permet aux clients de recevoir des alertes plus fiables et des informations plus exploitables lorsqu'ils enquêtent sur un comportement de force brute potentiel.
• Vectra AI a amélioré l'analyse LDAP pour identifier la reconnaissance des utilisateurs AD avec des SPN (Service Principal Names) - un précurseur de Kerberoasting. Cette mise à jour permet de détecter plus rapidement les attaques ciblant les informations d'identification, offrant ainsi aux clients une meilleure visibilité sur les menaces furtives de l'Active Directory.

Clarté

Empreintes digitales JA4T/JA4TS : Recall et Stream

Vectra AI inclut désormais les empreintes JA4T (TCP Client) et JA4TS (TCP Server) dans les métadonnées, apportant ainsi une nouvelle génération d'empreintes à l'analyse du trafic chiffré. Ce cadre puissant réduit les collisions, relie les sessions connexes et facilite le repérage de l'infrastructure des attaquants qui se cache derrière les protocoles courants. Les analystes obtiennent des informations plus claires et plus rapides, avec moins de bruit et un meilleur contexte entre les détections. Les empreintes JA4T/JA4TS sont désormais prises en charge dans Stream et Recall, et seront ajoutées à Advanced Investigate (RUX) dans le Stream de l'année. Pour en savoir plus sur les nouveaux attributs, cliquez ici.

Graphique d'attaque : Vue ciblée

Voici Focused View, une nouvelle façon de réduire le bruit dans les graphes d'attaques complexes. Au lieu de submerger les analystes avec chaque nœud et chaque arête, Focused View filtre les détections de faible priorité et ne fait apparaître que les liens et les chemins de progression les plus critiques. Résultat : moins d'encombrement, moins de confusion et une perspective claire sur le déroulement d'une attaque. Grâce à cette clarté, les équipes de sécurité peuvent accélérer les enquêtes tout en passant au graphique complet lorsque cela est nécessaire.

Architecture/ Administration

Introduction du cerveau virtuel Vectra pour Nutanix

Vectra propose désormais une appliance Brain entièrement virtualisée pour les environnements Nutanix. Disponible avec un débit de 10 Gbps, ce Brain virtuel offre les mêmes capacités avancées que les appliances physiques - optimisées pour l'évolutivité, le déploiement rapide et l'efficacité opérationnelle. Pour des spécifications détaillées et des configurations supportées, se référer au guide des spécifications de l'appliance et du capteur. Voir le Guide de Déploiement Nutanix pour les instructions de déploiement.

Sécurité renforcée : accès à l'interface utilisateur de Vectra uniquement par HTTPS

Pour renforcer la sécurité de la plateforme, l'interface utilisateur de Vectra bloque désormais l'accès externe sur le port 80 (HTTP) au lieu de rediriger automatiquement vers le port 443 (HTTPS) comme c'était le cas auparavant. Avec cette mise à jour, l'interface utilisateur de Vectra sera désormais accessible exclusivement via HTTPS, renforçant ainsi la sécurité de la plateforme et garantissant que toutes les connexions sont cryptées par défaut. Cette mise à jour ne s'applique qu'à Vectra Brain et ne nécessite aucune action de la part des utilisateurs. Elle permet à votre environnement de s'aligner sur les meilleures pratiques modernes en matière de sécurité.

Couverture

Couverture du Command and Control par les Sliver

Vectra AI a introduit une nouvelle couverture de détection pour l'activité de Command & Control (C2) de Sliver, un cadre avancé utilisé par les équipes rouges et les cybercriminels pour échapper aux défenses traditionnelles. L'utilisation par Sliver du chiffrement, d'encodeurs en couches et de schémas de données et de synchronisation variables lui permet de dissimuler des balises malveillantes dans un trafic chiffré normal. Le modèle d'apprentissage profond de Vectra identifie ces modèles subtils sans s'appuyer sur l'inspection des données utiles, en tirant parti du plus grand ensemble de données de l'industrie sur le comportement des réseaux. Cette mise à jour améliore nos algorithmes actuels de balisage C2, offrant une meilleure visibilité sur les canaux C2 évasifs et aidant les équipes de sécurité à détecter les activités sophistiquées des adversaires plus tôt dans la chaîne d'attaque.

Nouvelle détection : Modification de la journalisation des machines virtuelles suspectes Azure

Vectra AI a introduit une nouvelle détection qui met en évidence des comportements suspects liés à la modification des extensions de journalisation pour les VM Windows et Linux, les Virtual Machine Scale Sets et les machines hybrides. Cette détection offre une meilleure visibilité sur les activités suspectes qui peuvent indiquer des tentatives de falsification de la surveillance de la sécurité (journaux dégradés ou entièrement désactivés).

Amélioration de la détection : Cryptomining Azure

Des améliorations ont été apportées à la détection d'Azure Cryptomining pour filtrer les comportements liés à la modification des instances de calcul existantes. Cette amélioration permet d'améliorer la fidélité des alertes relatives à la création de nouvelles instances de calcul. Les clients devraient s'attendre à moins d'alertes liées à ce comportement dans leur environnement.

Améliorations de la détection M365

Des améliorations ont été apportées aux détections suivantes afin d'élargir la couverture :

• M365 Suspicious mailbox Rule Creation et M365 Suspicious Mail Forwarding : Ces détections ont été améliorées pour inclure la couverture des comportements entourant UpdateInboxRule. Suite à cette amélioration, les clients peuvent observer une légère augmentation des volumes liés à ces alertes.

Améliorations des versions rapides

Les améliorations suivantes ont été apportées aux algorithmes depuis le dernier cycle de mise à jour du logiciel. Les clients qui sont connectés au service de mise à jour de Vectra et dont l'assistance à distance est activée ont reçu ces améliorations. Tous les autres clients recevront les améliorations suivantes dans le cadre de cette version :

• NDR-242 : Vectra AI a élargi ses algorithmes actuels de balisage de Command & Control pour détecter les techniques avancées de balisage C2 qui utilisent les données et la gigue temporelle pour échapper à la surveillance traditionnelle du réseau. Il en résulte une meilleure visibilité des comportements C2 furtifs et une détection plus rapide des menaces sophistiquées qui tentent de se dissimuler dans l'activité normale du réseau.
• NDR-302 : Vectra AI a amélioré la couverture de détection des communications TCP en texte clair, en identifiant les activités de commande suspectes cachées dans le trafic textuel non crypté. Cette mise à jour détecte des modèles comportementaux subtils, tels qu'un flux de paquets anormal et une structure de charge utile, afin de découvrir des canaux de commande dissimulés qui échappent à l'inspection traditionnelle. Elle étend la visibilité au-delà du trafic crypté, renforçant la détection dans tous les types de communication.
• NDR-314 : Vectra AI a élargi sa couverture pour inclure le canal HTTP anglais de Sliver, qui déguise le trafic de commande et de contrôle en chaînes de mots anglais aléatoires pour paraître légitime. Cette amélioration permet de mieux détecter les activités de Sliver dissimulées dans le trafic HTTP normal, ce qui renforce la visibilité des techniques avancées d'évasion C2.

Clarté

Réduction du volume d'alertes grâce à l'amélioration de l'AI-Triage

L'AI-Triage de Vectra offre désormais des capacités étendues à l'ensemble de la chaîne d'exécution et des réseaux modernes, ce qui permet de réduire considérablement les volumes de détection. Il examine et résout automatiquement les alertes bénignes, réduisant ainsi la fatigue liée aux alertes tout en préservant une visibilité totale sur les menaces réelles.

Cette capacité personnalisée et rigoureusement testée identifie les modèles à faible risque qui apparaissent régulièrement dans votre environnement et les résout automatiquement, ce qui permet à votre équipe de se concentrer sur les risques significatifs.

Attendez-vous à moins de détections bénignes sur le réseau C2, recon, Azure AD, M365, Copilot for M365 et AWS.

La visibilité n'est jamais perdue - les détections résolues restent consultables, vérifiables et entièrement traçables. Aucune action n'est entreprise en votre nom au-delà de la résolution.

Bientôt disponible : Contexte élargi du processus de CED

En novembre, Vectra lancera Vectra AI Stitching avec CrowdStrike EDR pour tous les clients. Cette fonctionnalité permet de rationaliser les enquêtes en trouvant automatiquement le processus probable lié à une détection NDR et en le présentant avec la détection dans la plateforme et lorsque l'événement est collecté via l'API.

Il en résulte un NDR plus puissant, moins de travail manuel et de meilleurs résultats pour les équipes de sécurité. Quel était le processus à l'origine de C2, un navigateur ou un script PowerShell, est-ce attendu, ou cela sort-il du lot ? Ce sont des questions auxquelles les analystes doivent répondre immédiatement, et cette capacité permet de le faire instantanément.

Afin d'assurer le bon fonctionnement de cette fonctionnalité, nous encourageons tous les clients de Crowdstrike à accorder des autorisations de lecture et d'écriture à NGSIEM pour permettre la collecte future de ces informations. Consultez la FAQ Crowdstrike EDR Integration pour obtenir des instructions sur la manière d'accorder ces autorisations.

Contrôle

Amélioration du graphique d'attaque

L'Attack Graph de Vectra AIest devenu plus intelligent grâce à deux mises à jour puissantes. C2 Blast Radius révèle instantanément tous les hôtes communiquant avec le même endpoint commande et de contrôle, ce qui élimine les recoupements manuels et accélère le triage. Les détections ciblées retracent le point initial de compromission et le mouvement de l'attaquant, donnant aux analystes une ligne claire de la façon dont chaque hôte ou compte a été atteint. Ensemble, ces améliorations offrent une meilleure visibilité, des investigations plus rapides et des réponses plus précises. Pour en savoir plus, consultez la FAQ Attack Graph.

Architecture / Administration

Vérification du fichier SHA256 pour le portail d'assistance

Tous les fichiers actuels et futurs dans Ressources supplémentaires > Téléchargements sur notre portail d'assistance comprennent désormais un hachage SHA256 pour valider que le fichier téléchargé est le même que celui qui a été servi à partir du portail d'assistance. Cela s'applique aujourd'hui aux téléchargements de fichiers OVA et Vectra Match

Reconnaissance étendue des codes TLS/SSL

Vectra AI a étendu sa cartographie des suites de chiffrement TLS/SSL pour inclure les dernières suites de chiffrement TLS 1.3 et modernes, garantissant ainsi que les sessions chiffrées sont correctement identifiées et affichées avec des noms clairs et lisibles par l'homme. Cette mise à jour améliore la visibilité et la précision de l'analyse du trafic chiffré dans les fonctions Recall et Stream, la prise en charge des investigations avancées étant prévue dans une prochaine version.

Groupes basés sur l'appartenance à Active Directory sur Quadrant UX

Vectra intègre en toute transparence vos groupes AD existants et les maintient parfaitement synchronisés : plus de recréation manuelle ni de maintenance fastidieuse. L'importation en masse élimine les tâches administratives répétitives, de sorte que vos équipes peuvent se concentrer sur la chasse aux menaces, et non sur la gestion des groupes. En rationalisant les règles de triage et en réduisant le bruit, vous agirez plus rapidement sur les alertes qui comptent vraiment. C'est l'efficacité et la clarté du signal qui sont intégrées. Visitez le site Active Directory (AD) Groups pour plus d'informations.

Recherche assistée par l'IA

Nous rendons la recherche et l'investigation des menaces plus rapides et plus intelligentes. Grâce à la recherche assistée par l'IA, vous pouvez poser des questions en langage clair - dans n'importe quelle langue majeure - et obtenir instantanément des réponses riches en contexte, des aperçus visuels et des recommandations pour les prochaines étapes. Pas de syntaxe de requête, pas de conjecture - juste des informations exploitables au bout des doigts. Les premiers utilisateurs ont réduit le temps d'enquête de trois heures par cas, découvrant des risques qu'ils auraient pu manquer. Disponible dès maintenant pour les clients RUX disposant d'au moins 14 jours de métadonnées.

Agent de hiérarchisation de l'IA

L'agent de priorisation de l'IA détecte désormais lorsque les attaquants déploient de nouveaux systèmes - des ordinateurs portables malveillants aux Raspberry Pis - et en tient compte dans l'évaluation des menaces.

Il s'appuie également sur les tendances historiques pour signaler les types de détections rares dans votre environnement, ce qui permet une hiérarchisation plus rapide et plus précise avec moins de bruit.

Le client peut voir un petit nombre d'hôtes avec des scores mis à jour. Pour plus d'informations, regardez cette émission. https://youtu.be/DvsvR57xCS8

La nouvelle documentation de l'API REST est disponible

Nous sommes ravis de vous présenter le nouveau portail de documentation Vectra REST API - votre destination unique pour créer, tester et intégrer les API Vectra plus rapidement que jamais. RAD remplace les PDF statiques par une documentation OpenAPI dynamique et toujours précise, avec un client intégré pour tester les requêtes directement depuis votre navigateur. Les développeurs peuvent désormais explorer, valider et générer des intégrations de manière transparente, ce qui garantit une automatisation plus rapide, moins d'erreurs et une plus grande confiance dans la sécurisation de votre environnement. À partir de la version 3.5 de l'API, toute la documentation sera fournie exclusivement via le portail de documentation de l'API REST : https://apidocs.vectra.ai

Améliorations des versions rapides

Les améliorations suivantes ont été apportées aux algorithmes depuis le dernier cycle de mise à jour du logiciel. Les clients qui sont connectés au service de mise à jour de Vectra et dont l'assistance à distance est activée ont reçu ces améliorations. Tous les autres clients recevront les améliorations suivantes dans le cadre de cette version :

• Vectra AI détecte désormais les requêtes LDAP ciblant des comptes Active Directory sans pré-authentification Kerberos - une étape courante dans les attaques de type AS-REP roasting. Cette amélioration offre une visibilité plus rapide sur la reconnaissance des informations d'identification, aidant ainsi les équipes de sécurité à arrêter les attaquants avant que l'abus d'informations d'identification ne commence.
• Vectra AI a mis à jour la description de sa détection de force brute RDP et de pulvérisation de mot de passe pour mieux l'aligner sur son comportement de détection. Bien que la logique sous-jacente reste inchangée, la description révisée clarifie la façon dont l'activité de pulvérisation de mot de passe est représentée dans l'interface utilisateur, aidant ainsi les analystes à interpréter les alertes avec plus de précision.
• Vectra AI a amélioré l'analyse LDAP pour identifier la reconnaissance des utilisateurs AD avec des SPN (ServicePrincipalNames) - un précurseur de Kerberoasting. Cette mise à jour permet de détecter plus rapidement les attaques ciblant les informations d'identification, offrant ainsi aux clients une meilleure visibilité sur les menaces furtives de l'Active Directory.

Réduction du volume d'alertes grâce à l'amélioration de l'AI-Triage

L'AI-Triage de Vectra offre désormais des capacités étendues à l'ensemble de la chaîne d'exécution et des réseaux modernes, ce qui permet de réduire considérablement les volumes de détection. Il examine et résout automatiquement les alertes bénignes, réduisant ainsi la fatigue liée aux alertes tout en préservant une visibilité totale sur les menaces réelles.

Cette capacité personnalisée et rigoureusement testée identifie les modèles à faible risque qui apparaissent régulièrement dans votre environnement et les résout automatiquement, ce qui permet à votre équipe de se concentrer sur les risques significatifs.

Attendez-vous à moins de détections bénignes sur le réseau C2, recon, Azure AD, M365, Copilot for M365 et AWS.

La visibilité n'est jamais perdue - les détections résolues restent consultables, vérifiables et entièrement traçables. Aucune action n'est entreprise en votre nom au-delà de la résolution.

Graphique d'attaque : Vue ciblée

Voici Focused View, une nouvelle façon de réduire le bruit dans les graphes d'attaques complexes. Au lieu de submerger les analystes avec chaque nœud et chaque arête, Focused View filtre les détections de faible priorité et ne fait apparaître que les liens et les chemins de progression les plus critiques. Résultat : moins d'encombrement, moins de confusion et une perspective claire sur le déroulement d'une attaque. Grâce à cette clarté, les équipes de sécurité peuvent accélérer les enquêtes tout en passant au graphique complet lorsque cela est nécessaire.

Extension de la journalisation des ressources pour le compte de stockage (CDR pour Azure)

Vectra AI utilisera désormais les journaux de ressources Azure liés aux comptes de stockage pour prendre en charge les nouveaux cas d'utilisation de détection à venir. Ces nouveaux journaux permettront à Vectra de détecter les comportements d'impact et d'exfiltration observés dans les dernières étapes de la chaîne de destruction du cloud . Tous les nouveaux connecteurs CDR pour Azure accumuleront automatiquement les journaux dans le cadre de la configuration du connecteur. Pour les clients existants de CDR for Azure, les scripts de déploiement automatique associés à CDR for Azure devront être exécutés à nouveau. Les équipes de Vectra prendront contact avec les clients existants pour faciliter l'extension de la journalisation.

Améliorations de l'API pour CDR for Azure Alerts

Vectra AI a introduit des améliorations de l'API pour inclure un contexte enrichi lisible par l'homme (identité et noms d'ID d'application) dans le CDR pour les alertes Azure consommées via l'API. Cela permet de soutenir les flux de travail d'investigation en réduisant de manière significative le temps nécessaire à un analyste pour rassembler le contexte clé. Auparavant, ces valeurs enrichies n'étaient disponibles que dans la plateforme Vectra. Les nouvelles améliorations garantissent que ces valeurs sont désormais présentes dans les flux de travail centrés sur l'API que les clients peuvent avoir mis en place.

Couverture du Command and Control par les Sliver

Vectra AI a élargi sa couverture pour inclure le canal HTTP anglais de Sliver, qui déguise le trafic de commande et de contrôle en chaînes de mots anglais aléatoires pour paraître légitime. Cette amélioration permet de mieux détecter les activités de Sliver dissimulées dans le trafic HTTP normal, ce qui renforce la visibilité des techniques avancées d'évasion C2.

Couverture du Command and Control (TCP)

Vectra AI a amélioré la couverture de détection des communications TCP en texte clair, en identifiant les activités de commande suspectes cachées dans le trafic textuel non crypté. Cette mise à jour détecte des schémas comportementaux subtils, tels qu'un flux de paquets anormal et une structure de charge utile, afin de découvrir des canaux de commande dissimulés qui échappent à l'inspection traditionnelle. Elle étend la visibilité au-delà du trafic crypté, renforçant la détection dans tous les types de communication.

Nouvelle détection : Modification de la journalisation des machines virtuelles suspectes Azure

Vectra AI a introduit une nouvelle détection qui met en évidence des comportements suspects liés à la modification des extensions de journalisation pour les VM Windows et Linux, les Virtual Machine Scale Sets et les machines hybrides. Cette détection offre une meilleure visibilité sur les activités suspectes qui peuvent indiquer des tentatives de falsification de la surveillance de la sécurité (journaux dégradés ou entièrement désactivés).

Amélioration de la détection : Cryptomining Azure

Des améliorations ont été apportées à la détection d'Azure Cryptomining pour filtrer les comportements liés à la modification des instances de calcul existantes. Cette amélioration permet d'améliorer la fidélité des alertes relatives à la création de nouvelles instances de calcul. Les clients devraient s'attendre à moins d'alertes liées à ce comportement dans leur environnement.

Améliorations de la détection M365

Des améliorations ont été apportées aux détections suivantes afin d'élargir la couverture :

• M365 Suspicious mailbox Rule Creation et M365 Suspicious Mail Forwarding: Ces détections ont été améliorées pour inclure la couverture des comportements entourant UpdateInboxRule. Suite à cette amélioration, les clients peuvent observer une légère augmentation des volumes liés à ces alertes.

Améliorations des versions rapides

Les améliorations suivantes ont été apportées aux algorithmes depuis le dernier cycle de mise à jour du logiciel. Les clients qui sont connectés au service de mise à jour de Vectra et dont l'assistance à distance est activée ont reçu ces améliorations. Tous les autres clients recevront les améliorations suivantes dans le cadre de cette version :

• NDR-242: Vectra AI a élargi ses algorithmes actuels de balisage de Command & Control pour détecter les techniques avancées de balisage C2 qui utilisent les données et la gigue temporelle pour échapper à la surveillance traditionnelle du réseau. Il en résulte une meilleure visibilité des comportements C2 furtifs et une détection plus rapide des menaces sophistiquées qui tentent de se dissimuler dans l'activité normale du réseau.
• NDR-302: Vectra AI a amélioré la couverture de détection des communications TCP en texte clair, en identifiant les activités de commande suspectes cachées dans le trafic textuel non crypté. Cette mise à jour détecte des modèles comportementaux subtils, tels qu'un flux de paquets anormal et une structure de charge utile, afin de découvrir des canaux de commande dissimulés qui échappent à l'inspection traditionnelle. Elle étend la visibilité au-delà du trafic crypté, renforçant la détection dans tous les types de communication.
• NDR-314: Vectra AI a élargi sa couverture pour inclure le canal HTTP anglais de Sliver, qui déguise le trafic de commande et de contrôle en chaînes de mots anglais aléatoires pour paraître légitime. Cette amélioration permet de mieux détecter les activités de Sliver dissimulées dans le trafic HTTP normal, ce qui renforce la visibilité des techniques avancées d'évasion C2.

JA4+ Empreintes digitales

Vectra AI inclut désormais les empreintes JA4L, JA4X et JA4H dans les métadonnées, apportant ainsi une nouvelle génération d'empreintes à l'analyse du trafic chiffré. Ce cadre puissant réduit les collisions, relie les sessions connexes et facilite le repérage de l'infrastructure des attaquants qui se cache derrière les protocoles courants. Les analystes obtiennent des informations plus claires et plus rapides, avec moins de bruit et un meilleur contexte entre les détections. JA4+ est pris en charge dans Investigate (RUX), Stream et Recall. Pour en savoir plus sur les nouveaux attributs, cliquez ici.

Alertes d'applications externes (notifications Webhook)

Grâce aux alertes d'applications externes, la plateforme Vectra AI fournit des notifications instantanées aux outils de collaboration de votre équipe lorsque des événements de sécurité critiques se produisent, tels que des hôtes ou des comptes hautement prioritaires et des alertes de systèmes clés. Plus besoin de regarder l'écran ou de retarder les réponses - vous obtenez des informations en temps réel qui vous permettent d'agir plus rapidement. Disponible dès maintenant avec l'intégration directe de Microsoft Teams et la prise en charge de Slack prochainement. Voir Alertes d'applications externes pour plus de détails sur la mise en œuvre.

Utilisation du moteur de script Azure AD

Vectra AI a apporté des améliorations pour accroître l'étendue des comportements et des agents utilisateurs couverts par cette détection. Les mises à jour de la couche d'analyse filtrent désormais les agents utilisateurs avec plus de précision à partir des journaux, augmentant ainsi la fidélité et réduisant les faux positifs.

Amélioration de l'interface utilisateur pour les détections Entra ID et M365

Des améliorations ont été apportées à plusieurs détections afin de fournir un contexte supplémentaire et de rationaliser les procédures d'enquête:‍

• ‍AzureAD Privilege Operation Anomaly : inclut désormais les détails de l'agent utilisateur lorsqu'ils sont disponibles.‍
• Azure AD Suspicious Factor Registration : Mise à jour pour inclure le champ result_reason des logs.‍
• Azure AD Suspicious Sign In : mise à jour de l'affichage de l'état de l'appareil pour améliorer le contexte.‍
• M365 Spearphishing : mise à jour pour afficher les noms de fichiers, permettant un triage plus rapide.

Amélioration du modèle de détection du Cloud Azure

Les améliorations apportées à la détection de la désactivation de la journalisation de diagnostic Azure étendent la couverture pour inclure la suppression des extensions de journalisation pour les machines virtuelles Windows et Linux. Cela permet d'avoir une meilleure visibilité sur les activités suspectes qui peuvent indiquer des tentatives de désactivation de la surveillance de la sécurité.

Améliorations des versions rapides

Les améliorations suivantes ont été apportées aux algorithmes depuis le dernier cycle de mise à jour du logiciel. Les clients connectés au service de mise à jour de Vectra AIavec l'option Remote Support activée ont reçu ces améliorations. Tous les autres clients recevront les améliorations suivantes dans le cadre de la version 9.3 :

• NDR-251 : Ajout d'une couverture de détection pour les accès Mimikatz suspects sur le trafic SMB. Cela améliore notre capacité à repérer les techniques potentielles de vol d'informations d'identification couramment utilisées dans les attaques.
• NDR-117 : Extension de la couverture de l'algorithme d'activité d'administration du protocole de bureau à distance (RDP) pour une meilleure couverture de la sécurité.
• NDR-241 : Ajout d'une couverture de détection pour identifier les attaques par force brute de l'authentification NTLM, ce qui permet d'empêcher les attaquants de s'introduire dans les comptes par le biais de tentatives de connexion répétées.

Intégration de Zscaler Internet Access SSE en avant-première publique

Vectra AI et Zscaler se sont associés pour éliminer les zones d'ombre dans le trafic crypté et direct vers le cloud . Grâce à l'intégration avec Zscaler Internet Access (ZIA), Vectra rejoue le trafic utilisateur à partir de PCAP sécurisés pour une détection complète des menaces, ce qui permet de découvrir les C2 avancés et l'exfiltration que les outils traditionnels ne parviennent pas à détecter. Cette solution change la donne en matière de sécurisation des environnements distants et de l cloud. Pour plus d'informations, consultez le communiqué de presse et le podcast de Vectra AI. Veuillez contacter l'équipe en charge de votre compte Vectra Vectra AI si vous souhaitez activer l'intégration ZIA de Vectra. Voir Zscaler ZIA Integration and Optimization pour plus de détails sur la mise en œuvre.

Vectra Match Gestion intégrée des jeux de règles

Vectra Match facilite désormais la détection des indicateurs de compromission (IOC) connus grâce à des signatures compatibles avec Suricata, sans qu'aucun outil externe ne soit nécessaire. Depuis la version 9.3, vous pouvez gérer, modifier, activer ou désactiver les règles directement dans la plateforme, et vos modifications persistent même après les mises à jour de Emerging Threats. Cette solution est plus rapide à mettre en place, plus simple à maintenir et vous permet de contrôler entièrement la logique de détection. Pour plus d'informations, consultez le site Managing Vectra AI Match ets.

Rapport de synthèse

Vectra AI lance l'Executive Overview Report (rapport de synthèse), un instantané de la sécurité prêt à être présenté au conseil d'administration. Conçu pour les RSSI et les responsables de la sécurité, il fournit des indicateurs clairs et à fort impact, tels que les tendances du rapport bruit/signal et l'évolution des schémas d'attaque. En quelques minutes, vous disposerez des informations nécessaires pour démontrer l'impact de Vectra, orienter les décisions stratégiques et prouver que vous réduisez les risques d'intrusion, sans avoir besoin d'approfondir la question.

Graphiques d'attaques Visualisations dans Quadrant UX

Le nouveau graphique des attaques apporte une clarté instantanée aux menaces actives en cartographiant visuellement la façon dont les attaquants se déplacent dans votre réseau, votre cloud et vos environnements d'identité. Grâce à la hiérarchisation de Vectra AI , chaque menace est désormais affichée directement sur la page de l'hôte ou du compte, ce qui vous permet de savoir immédiatement où l'attaque a commencé, avec quels systèmes elle a interagi et comment son niveau de risque a évolué au fil du temps.

Les équipes de sécurité peuvent choisir parmi trois vues intuitives pour enquêter sur les menaces de la manière qui convient le mieux à leur flux de travail :

• Graphique d'attaque - Voir comment les différentes entités sont liées pendant l'attaque.
• Flux d'attaque - Voir comment la séquence des actions de l'attaquant se déroule dans un chemin structuré.
• Chronologie de l'attaque - Voir comment la menace a évolué et s'est intensifiée. 

Cette capacité permet aux équipes SOC d'agir rapidement et en toute confiance en faisant apparaître le contexte et l'urgence dans une vue unique et exploitable. Pour plus d'informations, consultez la FAQ Attack Graph.

JA4/JA4S Empreintes digitales

Vectra AI inclut désormais les empreintes JA4 et JA4S dans les métadonnées, apportant ainsi une nouvelle génération d'empreintes à l'analyse du trafic chiffré. Ce cadre puissant réduit les collisions, relie les sessions connexes et facilite le repérage de l'infrastructure des attaquants qui se cache derrière les protocoles courants. Les analystes obtiennent des informations plus claires et plus rapides, avec moins de bruit et un meilleur contexte entre les détections. JA4 est supporté dans Investigate (RUX), Stream et Recall, et d'autres attributs de la suite JA4+ seront bientôt disponibles. Pour en savoir plus sur les nouveaux attributs , cliquez ici.

Validation du trafic réseau dans Quadrant UX

À partir de la version 9.3, Vectra AI a introduit de nouvelles pages de validation du trafic. Ces pages transforment le rapport JSON de validation du trafic en un tableau de bord intuitif, affichant des informations plus rapidement et sans avoir à analyser les données brutes. Les statistiques clés sont automatiquement vérifiées par rapport à des seuils de santé prédéfinis, avec des indicateurs rouges ou jaunes clairs mettant en évidence les domaines qui peuvent nécessiter une attention particulière. Pour plus d'informations, consultez la FAQ.

L'IA-Triage résout désormais automatiquement des menaces plus bénignes

L'intelligence artificielle propriétaire de Vectra AIest devenue plus intelligente. Notre algorithme AI-Triage amélioré examine et résout désormais automatiquement 50 % des C&C bénins et 25 % des détections Recon bénignes, réduisant ainsi considérablement les événements bénins. Il exploite à la fois les modèles locaux et les connaissances globales pour fournir le signal le plus clair à ce jour. Pour plus de détails sur AI-Triage, voir l'article et la vidéo sur AI-Triage.

Amélioration du classement des menaces grâce à la hiérarchisation par l'IA

La priorisation de Vectra AI a été améliorée pour mieux faire apparaître les menaces qui reflètent les changements récents dans le comportement des attaquants. Attendez-vous à une meilleure séparation des menaces élevées et critiques, à une hiérarchisation plus intelligente dans votre environnement et à une hiérarchisation plus rapide des menaces. Notez que les scores de menace et de certitude de certains hôtes et comptes peuvent changer en fonction de la logique de notation mise à jour une fois que votre système est mis à jour.

Meilleures pratiques de triage

Vectra AI lance une nouvelle série de Best Practices destinée à aider les utilisateurs à tirer le meilleur parti des fonctionnalités clés de la plateforme Vectra AI La première version de cette série est consacrée au triage. Le guide des meilleures pratiques de triage comprend une terminologie commune, quand et pourquoi trier, des instructions sur la façon de procéder, des FAQ, et bien plus encore. Consultez l'article sur les meilleures pratiques de triage pour affiner votre flux de travail de triage.

Suppression de VirusTotal

Vectra AI a supprimé l'intégration de VirusTotal dans Quadrant UX en raison de changements de licence. Le popup External Destination n'affiche plus les données VirusTotal, et un nettoyage complet de l'interface utilisateur est prévu dans la prochaine version afin d'éviter toute confusion. Pour tout commentaire ou question sur cette suppression, contactez votre équipe Vectra AI .

Nouvelle suite de détection : AWS S3

Vectra AI a introduit trois nouvelles détections pour mettre en évidence les comportements suspects liés à l'utilisation d'AWS S3 dans les étapes d'impact et d'exfiltration de la chaîne de destruction du cloud

• AWS Suspicious S3 Batch Deletion : Cette détection met en évidence des comportements associés à des téléchargements à grande échelle et à des suppressions associées à plusieurs fichiers. Ce comportement peut indiquer la phase de manipulation destructrice d'un ransomware dans l'environnement.
• Suppression suspecte d'objets S3 par AWS : Comme la nouvelle détection de suppression par lots S3, cette détection met en évidence des comportements où des objets individuels ont été téléchargés puis supprimés d'un godet S3 d'une manière qui peut indiquer la phase de manipulation destructrice de l'activité d'un ransomware dans l'environnement.
• AWS Suspicious S3 Encryption : Cette détection met en évidence des activités de chiffrement inhabituelles qui pourraient indiquer une phase de chiffrement de ransomware en cours. Elle est conçue pour mettre en évidence le chiffrement de nombreux objets S3 à l'aide d'une clé KMS externe (SSE-KMS) ou d'une clé contrôlée par le client (SSE-C).

Amélioration des signaux pour M365, Azure AD et Azure

Des améliorations ont été apportées aux détections AAD, Microsoft 365 et Azure suivantes afin de mieux prendre en compte le risque des comportements sous-jacents et de les faire remonter rapidement à la surface pour examen. L'introduction de ces améliorations peut entraîner des changements dans le nombre d'entités prioritaires au sein de la plateforme Vectra AI

• M365 Suspect Power Automate Activity : Cette détection signale les comportements d'exfiltration ou de C2 potentiels utilisant Power Automate dans l'environnement. Les améliorations apportées à cette détection ont permis de la rendre plus fidèle et de réduire le taux de faux positifs observé dans cette détection et dans des détections similaires (M365 Power Automate HTTP Flow Creation et M365 Suspicious Power Automate Flow Creation).
• Anomalie d'opération de privilège Azure AD : Cette détection alerte sur des opérations Azure AD anormales potentiellement associées à une escalade de privilège. Vectra AI améliore cette détection pour affiner les comportements considérés comme anormaux. Le résultat attendu est une diminution du bruit autour de cette détection.
• Opération Exchange à risque : Cette détection alerte sur les opérations privilégiées dans Exchange qui peuvent être utilisées de manière abusive par un attaquant. Vectra AI élargit le champ des comportements pris en compte pour cette alerte et supprime des actions potentiellement bénignes dans Exchange (telles que la mise en place de réponses automatisées). Les clients peuvent s'attendre à une réduction significative du volume (plus de 30 %) grâce à ces améliorations.
• Azure Diagnostic Logging Disabled (Journaux de diagnostic Azure désactivés) : Cette détection met en évidence les comportements d'altération de la défense entourant la suppression des paramètres des journaux de diagnostic Azure. La détection a été améliorée pour une couverture plus large autour de la suppression de la journalisation des diagnostics sur les machines virtuelles (VM). Les clients peuvent observer une augmentation mineure des volumes de détection associés à cette amélioration.

Améliorations des versions rapides

Les améliorations suivantes ont été apportées aux algorithmes depuis le dernier cycle de mise à jour du logiciel. Les clients connectés au service de mise à jour de Vectra AIavec l'option Remote Support activée ont reçu ces améliorations. Tous les autres clients recevront les améliorations suivantes dans le cadre de la version 9.3 :

• NDR-222 : Mise à jour du titre d'une détection d'activité de protocole suspecte pour l'utilisation suspecte de la gestion à distance de Windows (WinRM). Le nouveau titre est "Possible Malicious WinRM Usage" pour mieux refléter la nature du comportement.
• CS-10426 : Résolution d'un problème affectant certaines détections de Suspect Protocol Activity où les adresses IP source et destination étaient incorrectement attribuées du fait que le client agissait en tant que proxy. Cette correction a été appliquée à tous les algorithmes de détection concernés.
• NDR-251 : Extension de la couverture de détection contre les techniques de pénétration utilisées par le dépôt de paquets Kali Linux.
• NDR-251 : Extension de la détection de l'activité Tor en identifiant les adresses IP de destination qui correspondent à des nœuds Tor connus.

Un contexte plus fort grâce à de nouvelles améliorations du graphique d'attaque

‍VectraVectra AI a amélioré l'Attack Graph avec deux nouvelles fonctionnalités puissantes. Tout d'abord, les analystes peuvent désormais voir les détections ciblant directement l'entité sur laquelle ils enquêtent, ce qui permet de répondre plus facilement à la question : "Comment cette entité a-t-elle été compromise ?" Cela permet d'identifier rapidement le "patient zéro", même dans des scénarios complexes de déplacement latéral. Deuxièmement, le graphique des attaques visualise désormais le rayon d'action des canaux de commande et de contrôle (C2), en s'étendant automatiquement pour montrer toutes les entités liées au même domaine ou à la même IP malveillante. Ensemble, ces améliorations accélèrent les enquêtes, révèlent les liens cachés et donnent aux équipes un contexte complet pour stopper les attaques plus rapidement.

Accélérer les enquêtes grâce aux chasses de cinq minutes

‍Noussommes ravis de vous annoncer que les chasses de cinq minutes sont désormais disponibles dans Advanced Investigations. Ces chasses guidées font remonter à la surface des informations significatives dans les métadonnées sans que les clients aient à maîtriser le langage SQL ou une terminologie spécialisée. Les équipes de sécurité peuvent rapidement découvrir les schémas des attaquants, démontrer une valeur proactive en temps de paix et augmenter l'efficacité en quelques clics. En coulisses, la fonction est alimentée par notre cadre flexible de diffusion de contenu, avec des mises en page adaptatives, des animations fluides et des visuels attrayants pour une expérience d'analyse transparente.

Alertes d'applications externes (notifications Webhook)

Grâce aux alertes d'applications externes, Vectra AI envoie des notifications instantanées aux outils de collaboration de votre équipe lorsque des événements de sécurité critiques se produisent, tels que des hôtes ou des comptes hautement prioritaires et des alertes de systèmes clés. Plus besoin de regarder l'écran ou de retarder les réponses - vous obtenez des informations en temps réel qui vous permettent d'agir plus rapidement. Disponible dès maintenant avec l'intégration directe de Microsoft Teams et la prise en charge de Slack prochainement. Voir Alertes d'applications externes pour plus de détails sur la mise en œuvre.

JA4+ Empreintes digitales

‍VectraVectra AI inclut désormais les empreintes JA4, JA4S, JA4L, JA4X et JA4H dans les métadonnées, apportant ainsi une nouvelle génération d'empreintes à l'analyse du trafic chiffré. Ce cadre puissant réduit les collisions, relie les sessions connexes et facilite le repérage de l'infrastructure des attaquants qui se cache derrière les protocoles courants. Les analystes obtiennent des informations plus claires et plus rapides, avec moins de bruit et un meilleur contexte entre les détections. JA4+ est pris en charge dans Investigate (RUX), Stream et Recall. Pour en savoir plus sur les nouveaux attributs, cliquez ici. ‍

Des enquêtes plus simples grâce à des données Azure CDR lisibles par l'homme

Vectra AI a rendu Azure CDR plus facile à utiliser en remplaçant les UUID confus par des noms clairs et lisibles par l'homme. Les noms de comptes dans l'API REST reflètent désormais les identifiants Entra reconnaissables, tandis que l'activité de détection fait apparaître des noms d'objets et d'applications intuitifs. Les analystes n'ont plus besoin de décoder les identifiants bruts, ce qui accélère le triage, facilite les enquêtes et rend les tableaux de bord plus exploitables.

Groupes basés sur l'appartenance à Active Directory

Vectra intègre en toute transparence vos groupes AD existants et les maintient parfaitement synchronisés : plus de recréation manuelle ni de maintenance fastidieuse. L'importation en masse élimine les tâches administratives répétitives, de sorte que vos équipes peuvent se concentrer sur la chasse aux menaces, et non sur la gestion des groupes. En rationalisant les règles de triage et en réduisant le bruit, vous agirez plus rapidement sur les alertes qui comptent vraiment. C'est l'efficacité et la clarté du signal qui sont intégrées. Visitez le site Active Directory (AD) Groups pour plus d'informations. 

Intégration de Zscaler Internet Access SSE en avant-première publique

Vectra AI et Zscaler se sont associés pour éliminer les zones d'ombre dans le trafic chiffré et le trafic direct vers le cloud . Grâce à l'intégration avec Zscaler Internet Access (ZIA), Vectra rejoue le trafic utilisateur à partir de PCAP sécurisés pour une détection complète des menaces, ce qui permet de découvrir les C2 avancés et l'exfiltration que les outils traditionnels ne parviennent pas à détecter. Cette solution change la donne en matière de sécurisation des environnements distants et de l cloud. Pour plus d'informations, consultez le communiqué de presse et le podcast de Vectra. Veuillez contacter l'équipe en charge de votre compte Vectra si vous souhaitez activer l'intégration ZIA de Vectra. Voir Zscaler ZIA Integration and Optimization pour plus de détails sur la mise en œuvre.

Approfondissement des connaissances des dirigeants et efficacité des signaux dans les rapports du RSSI

Vectra AI intègre désormais des mesures d'efficacité des signaux directement dans les rapports du RSSI, indiquant comment les détections et les entités ont été résolues comme étant bénignes, remédiées ou non classées. Ce contexte supplémentaire prouve la valeur des détections les plus importantes pour les analystes et met en évidence les résultats de la remédiation en un coup d'œil. Les dirigeants bénéficient d'une visibilité claire sur la qualité des menaces, ce qui leur permet de prendre des décisions plus judicieuses en matière de sécurité et de démontrer la valeur mesurable de Vectra. 

Visibilité plus intelligente avec le tableau de bord de découverte du réseau

Vectra AI présente le Network Discovery Dashboard, un nouveau moyen puissant d'explorer votre environnement à l'aide d'une carte interactive du réseau. Les analystes peuvent désormais tracer visuellement les hôtes et les IP, repérer les anomalies dans leur contexte et accélérer les investigations grâce à une navigation intuitive. Ce tableau de bord simplifie les environnements complexes, en transformant les données brutes du réseau en informations exploitables pour une réponse aux menaces plus rapide et plus sûre.

Élargissement de l'offre de cerveaux dans le cadre des PCG

À partir de la version 9.2, Vectra introduit des offres supplémentaires de cerveaux hébergés sur Google Cloud Platform, ou GCP. Les nouveaux GCP Brains sont capables de gérer 5Gb/s et 15Gb/s et supportent toutes les mêmes fonctionnalités que les autres Cloud Brains. 

Support de groupe ajouté Ajouté pour v2.x. API QUX

À partir de la version 9.2, Vectra permet d'obtenir les membres d'un groupe à partir du endpoint/groups. Pour plus d'informations, voir : https://support.vectra.ai/vectra/article/KB-VS-1638

Triage par l'IA des détections dans AWS Cloud et Azure Cloud

Vectra AI a introduit AI Triage, sa solution propriétaire d'IA agentique, dans ses portefeuilles de couverture AWS et Azure. AI-Triage permet désormais d'enquêter automatiquement sur les alertes AWS Cloud et Azure Cloud en fonction de facteurs tels que la prévalence et les profils de menace, afin de filtrer les activités bénignes dans les environnements des clients. L'impact d'AI-Triage est une réduction des entités priorisées et des charges de travail d'investigation correspondantes pour les analystes SOC.

Activité du protocole suspect : Détections internes

Vectra AI élargit la couverture des détections Suspect Protocol Activity. Désormais, Suspect Protocol Activity inclut des détections couvrant les attaques internes latérales/de reconnexion et prend en charge les protocoles LDAP, Kerberos, NTLM et SMB. Cette fonction est désactivée par défaut mais peut être activée par le client et fait partie de la gamme de produits Detect standard. Pour plus d'informations sur SPA, veuillez consulter https://support.vectra.ai/s/article/KB-VS-1793.

Activité suspecte du protocole : Force brute

Vectra AI étend la couverture des détections de Suspect Protocol Activity. Désormais, SPA peut détecter les tentatives de force brute sur tous les protocoles. Cette règle détecte les attaques par force brute lorsqu'un attaquant tente plusieurs demandes d'authentification dans un court laps de temps. Les attaques par force brute peuvent cibler divers protocoles tels que SMB, LDAP, FTP, RDP, SSH et HTTP, et sont souvent utilisées par des adversaires pour obtenir un accès non autorisé à des comptes.

Nouvelle détection : Activité de relais NTLM

Vectra AI a introduit une nouvelle détection de l'activité de relais NTLM. Cette détection améliore la visibilité de Vectra sur les techniques de déplacement latéral utilisées par les attaquants. Cette détection identifie les tentatives d'exploitation de l'authentification NTLM en observant lorsqu'un attaquant interroge un hôte et relaie l'authentification capturée vers un autre hôte - souvent dans le cadre d'une escalade de privilèges ou d'efforts de compromission de domaine.

Nouvelle détection : M365 Copilot - Découverte de données sensibles

Vectra AI a introduit une nouvelle détection pour les comportements de découverte autour de M365 CoPilot. La nouvelle détection M365 CoPilot Sensitive Data Discovery indique qu'une session CoPilot a été utilisée par une identité pour accéder à des fichiers susceptibles de contenir des informations sensibles. Cette détection vise à repérer les cybercriminels qui utilisent un compte dans l'environnement pour découvrir des informations sensibles.

Nouvelle suite de détection : Détections AWS Bedrock

Vectra AI a introduit quatre nouvelles détections pour mettre en évidence des comportements suspects concernant l'utilisation d'AWS Bedrock, un service entièrement géré offert par AWS qui simplifie la construction et le déploiement d'applications d'IA générative.

• Configuration de la journalisation d'AWS Bedrock désactivée : Cette détection met en évidence les cas où un donneur d'ordre a été observé en train de désactiver la journalisation des invites pour AWS Bedrock au niveau régional. La désactivation de la journalisation des invites arrête la capture de toutes les activités d'invite et de réponse dans les modèles AWS Bedrock et peut indiquer une tentative d'affaiblissement des défenses ou de dissimulation d'une utilisation malveillante.
• Modèle AWS Bedrock Novel activé : Cette détection identifie les activités suspectes liées à l'activation d'un modèle AWS Bedrock par une identité qui n'a pas d'antécédents dans l'exécution de telles actions. Elle signale un accès non autorisé potentiel à des services d'IA générative qui peuvent être sensibles sur le plan de la sécurité et associés à des coûts élevés.
• Activité AWS Bedrock suspecte : Cette détection identifie une activité suspecte liée à l'activation et à l'invocation d'un modèle AWS Bedrock par une identité qui n'a pas d'antécédents dans l'exécution de telles actions. La combinaison de l'activation suivie de l'invocation d'un modèle suggère qu'un attaquant est en train de tester et d'utiliser le modèle, générant des réponses aux dépens de la victime.
• AWS Bedrock Novel Enabled : L'entité détecte chaque cas où un modèle fondateur AWS Bedrock est activé, car cette action n'est pas courante et peut avoir des implications en termes de coûts ou de sécurité. Il s'agit d'une détection informative qui ne contribue pas à la notation ou à la hiérarchisation de l'entité. Il s'agit d'une information relative à la sécurité qui peut ne pas être considérée comme immédiatement suspecte.

Amélioration de la signalisation

Réduction significative des alertes de priorisation bénignes grâce aux améliorations apportées à l'algorithme de priorisation de l'IA de Vectra et aux mises à jour de la détection. Dans certains cas, les clients peuvent voir jusqu'à 50 % de moins d'alertes d'hôtes et de comptes prioritaires, sans sacrifier la couverture des menaces réelles.

• Azure AD & M365 : Les alertes de priorisation pour les comptes avec des détections spécifiques ont été affinées, réduisant les alertes bénignes tout en maintenant la détection des attaques modernes. Les détections concernées comprennent l'activité de téléchargement suspecte M365, qui intègre désormais le contexte du numéro de système autonome (ASN) et le moteur de script suspect Azure AD, avec une analyse améliorée pour l'ag de l'utilisateur.

Améliorations des versions rapides

Les améliorations suivantes ont été apportées aux algorithmes depuis le dernier cycle de mise à jour du logiciel. Les clients connectés au service de mise à jour de Vectra avec l'option Remote Support activée ont reçu ces améliorations. Tous les autres clients recevront les améliorations suivantes dans le cadre de la version 9.2 :

• NDR-166 : Cette version améliore la détection des tunnels DNS en étendant la couverture à tous les types de réponses DNS, ce qui permet une détection plus large et plus précise des menaces.
• NDR-144 : Amélioration des détections C2 contre les techniques utilisées par le Covenant C2 Framework.
• NDR-202 : Cette version améliore les performances de l'algorithme qui alimente nos détections d'exfiltration, permettant une identification plus rapide des menaces.
• NDR-195 : Amélioration des détections HTTP contre les techniques de pénétration utilisées par le dépôt de paquets de Kali Linux.
• NDR-221 : Amélioration des détections HTTP contre l'utilisation suspecte de Windows Remote Management (WinRM), renforçant la visibilité sur les abus potentiels de ce protocole.
• NDR-232 : Amélioration des détections de l'activité HTTP suspecte pour tenir compte de l'utilisation du proxy, ce qui améliore la précision de la détection dans les environnements proxys.

L'IA-Triage résout désormais automatiquement des menaces plus bénignes

L'intelligence artificielle propriétaire de Vectra AIest devenue plus intelligente. Notre algorithme AI-Triage amélioré examine et résout désormais automatiquement 50 % des C&C bénins et 25 % des détections Recon bénignes, réduisant ainsi considérablement les événements bénins. Il exploite à la fois les modèles locaux et les connaissances globales pour fournir le signal le plus clair à ce jour.Pour plus de détails sur AI-Triage, consultez la base de données AI-Triage et notre récente vidéo de mise à jour.

Nouvelle suite de détection : Détections AWS Bedrock

Vectra AI a introduit quatre nouvelles détections pour mettre en évidence des comportements suspects concernant l'utilisation d'AWS Bedrock, un service entièrement géré offert par AWS qui simplifie la construction et le déploiement d'applications d'IA générative. 

• Configuration de la journalisation d'AWS Bedrock désactivée : Cette détection met en évidence les cas où un donneur d'ordre a été observé en train de désactiver la journalisation des invites pour AWS Bedrock au niveau régional. La désactivation de la journalisation des invites arrête la capture de toutes les activités d'invite et de réponse dans les modèles AWS Bedrock et peut indiquer une tentative d'affaiblissement des défenses ou de dissimulation d'une utilisation malveillante. 
• Modèle AWS Bedrock Novel activé : Cette détection identifie les activités suspectes liées à l'activation d'un modèle AWS Bedrock par une identité qui n'a pas d'antécédents dans l'exécution de telles actions. Elle signale un accès non autorisé potentiel à des services d'IA générative qui peuvent être sensibles sur le plan de la sécurité et associés à des coûts élevés. 
• Activité AWS Bedrock suspecte : Cette détection identifie les activités suspectes liées à l'activation et à l'invocation d'un modèle AWS Bedrock par une identité qui n'a pas d'antécédents dans l'exécution de telles actions. La combinaison de l'activation suivie de l'invocation d'un modèle suggère qu'un attaquant est en train de tester et d'utiliser le modèle, générant des réponses aux dépens de la victime.
• AWS Bedrock Novel Enabled : L'entité détecte chaque cas où un modèle fondateur AWS Bedrock est activé, car cette action n'est pas courante et peut avoir des implications en termes de coûts ou de sécurité. Il s'agit d'une détection informative qui ne contribue pas à la notation ou à la hiérarchisation de l'entité. Il s'agit d'une information relative à la sécurité qui peut ne pas être considérée comme immédiatement suspecte. 

Nouvelle suite de détection : AWS S3

Vectra AI a introduit trois nouvelles détections pour mettre en évidence les comportements suspects liés à l'utilisation d'AWS S3 dans les étapes d'impact et d'exfiltration de la chaîne de destruction du cloud 

• AWS Suspicious S3 Batch Deletion : Cette détection met en évidence des comportements associés à des téléchargements à grande échelle et à des suppressions associées à plusieurs fichiers. Ce comportement peut indiquer la phase de manipulation destructrice d'un ransomware dans l'environnement. 
• Suppression suspecte d'objets S3 par AWS : Comme la nouvelle détection de suppression par lots S3, cette détection met en évidence des comportements où des objets individuels ont été téléchargés puis supprimés d'un godet S3 d'une manière qui peut indiquer la phase de manipulation destructrice de l'activité d'un ransomware dans l'environnement. 
• AWS Suspicious S3 Encryption : Cette détection met en évidence des activités de chiffrement inhabituelles qui pourraient indiquer une phase de chiffrement de ransomware en cours.Elle est conçue pour mettre en évidence le chiffrement de nombreux objets S3 à l'aide d'une clé KMS externe (SSE-KMS) ou d'une clé contrôlée par le client (SSE-C). 
  

Mise en œuvre transparente d'Azure CDR

Vectra AI a rationalisé l'activation d'Azure CDR avec une nouvelle correction du service de redirection. Les clients peuvent désormais déployer Azure CDR de manière transparente sans que les restrictions VPN ou IP ne bloquent l'installation. Cela élimine les frictions lors de l'intégration de la télémétrie cloud , garantissant un délai de rentabilité plus rapide et une visibilité immédiate sur les menaces Azure. Les équipes de sécurité bénéficient d'une couverture plus rapide avec moins d'inconvénients. 

Vectra Match Gestion intégrée des jeux de règles

Vectra Match facilite désormais la détection des indicateurs de compromission (IOC) connus grâce à des signatures compatibles avec Suricata, sans qu'aucun outil externe ne soit nécessaire. Depuis la version 9.3, vous pouvez gérer, modifier, activer ou désactiver les règles directement dans la plateforme, et vos modifications persistent même après les mises à jour de Emerging Threats. Cette solution est plus rapide à mettre en place, plus simple à maintenir et vous permet de contrôler entièrement la logique de détection. Pour plus d'informations, consultez la page Gestion des ensembles de règles Vectra Match .

Introduction : Rapport de synthèse

Vectra lance le rapport Executive Overview sur la plateforme Vectra AI . Ce rapport s'adresse aux RSSI et aux responsables de la sécurité qui ont besoin de présenter des indicateurs de haut niveau à leur conseil d'administration ou à leurs réunions de direction. Les indicateurs comprennent le tunnel entre le bruit et le signal, le temps d'investigation économisé grâce à Vectra, les tendances en matière d'attaques, etc. Ce rapport permet aux dirigeants de prendre des décisions stratégiques et d'évaluer comment Vectra réduit le risque de violation de la sécurité pour leur organisation.

Présentation : Vue globale

Global View permet aux grandes entreprises et aux MSSP de centraliser la gestion et l'investigation des menaces sur plusieurs Brains et locataires à partir d'un seul déploiement RUX, ce qui en fait la solution idéale pour les opérations globales dans des environnements complexes.

Présentation : Graphiques d'attaques

Le nouveau graphique des attaques apporte une clarté instantanée sur les menaces actives en cartographiant visuellement la façon dont les attaquants se déplacent dans votre réseau, votre cloud et vos environnements d'identité. Grâce à la hiérarchisation AI de Vectra, chaque menace est désormais affichée directement sur la page de l'hôte ou du compte, ce qui vous permet de savoir immédiatement où l'attaque a commencé, avec quels systèmes elle a interagi et comment son niveau de risque a évolué au fil du temps.

Les équipes de sécurité peuvent choisir parmi trois vues intuitives pour enquêter sur les menaces de la manière qui convient le mieux à leur flux de travail :

• Graphique de connectivité - Voir comment les différentes entités sont liées pendant l'attaque.
• Graphique en arbre - Visualiser la séquence des actions de l'attaquant dans un chemin structuré.
• Score historique dans le temps - Comprendre comment le risque de la menace a évolué et s'est aggravé.

Cette capacité permet aux équipes SOC d'agir rapidement et en toute confiance en faisant apparaître le contexte et l'urgence dans une vue unique et exploitable.

Résolution du problème de téléchargement du rapport de validation du trafic

Nous avons résolu un problème qui empêchait certains clients - en particulier dans les grands environnements RUX - de télécharger le rapport de validation du trafic réseau lorsque sa taille dépassait environ 6 Mo. Le flux de travail a été amélioré pour prendre en charge les téléchargements de rapports plus volumineux, garantissant ainsi un accès fiable aux données de validation du trafic, quelle que soit la taille du rapport.

Introduction du réseau de systèmes Vectra X47/M47

À partir de la version 9.1, Vectra introduit les nouveaux systèmes X47 et M47. Comme les autres systèmes de la série X, le X47 peut être déployé en tant que cerveau, capteur ou en mode mixte. Le M47 supporte Vectra Stream à des taux allant jusqu'à 75 Gbps. Le matériel comprend 4x1Gbps Copper et 2 x 10/25 Gbps SFP28. Pour plus d'informations sur les spécifications de l'appliance, veuillez consulter les spécifications de l'appliance et du capteur. 

Pour les guides de déploiement, veuillez consulter le Guide de démarrage rapide X47 ou le Guide de démarrage rapide M47. 

Modification du type de groupe sur le réseau Quadrant UX

À partir de la version 9.1, Vectra prend en charge la conversion entre les types de groupes statiques et dynamiques pour les déploiements QUX. Les filtres de triage existants qui font référence à un groupe statique continueront à fonctionner sans nécessiter de changement après que le groupe ait été redéfini à l'aide d'une expression rationnelle dans la configuration du groupe dynamique. Cela devrait permettre une plus grande flexibilité et une plus grande facilité de mise en œuvre lorsque les clients passeront aux groupes dynamiques. Pour plus d'informations sur les groupes dynamiques, consultez la FAQ sur les groupes dynamiques.

Amélioration de la gestion des clés SSL

A partir de la version 9.1, Vectra AI supporte désormais les certificats ECC (Elliptic Curve Cryptography). Les clients peuvent télécharger leur propre certificat via les commandes existantes. De plus, les commandes supportant les Certificate Signing Request (CSR) ont été mises à jour. Utilisation :

• `certificate replace-key` pour générer une nouvelle clé et un certificat auto-signé à utiliser par le serveur HTTPS, en le réinitialisant par défaut mais en permettant au client de personnaliser la longueur de la clé.
• `certificate info` pour afficher des informations sur le certificat HTTPS actuel pour que l'utilisateur puisse les voir.

Pour plus de détails sur l'installation du certificat, voir : Installation du certificat SSL (Quadrant UX uniquement).

Mise à jour de la version de Vectra Match Suricata

Vectra AI a mis à jour le Suricata pour supporter les nouvelles fonctionnalités du moteur Suricata incluant JA4 et nous avons activé l'analyse des protocoles pour les protocoles OT. La configuration de base suricata.yaml a également été mise à jour pour refléter les dernières fonctionnalités de Suricata. Pour plus de détails sur la configuration Suricata de Vectra, voir : Vectra Match Suricata Configuration.

Support Oauth2 ajouté pour v2.x. API QUX

Vectra ai a mis à jour les APIs QUX v2.x pour inclure le support de l'authentification OAuh2. Le jeton d'accès Oauth2 sera valide pendant 6 heures, après quoi il expirera, et un nouveau jeton devra être demandé en utilisant les informations d'identification du client de l'API. La création d'un client API doit se faire uniquement dans l'interface utilisateur de Vectra. L'accès aux API v2.x antérieures à la v2.5 fonctionne de la même manière que pour la v2.5. La collection publique de facteurs a été mise à jour pour toutes les versions v2.x. Pour plus d'informations, voir : Guide de démarrage rapide de l'API REST pour Postman v2.5 utilisant OAuth2 (QUX).

Amélioration de la détection des tunnels cachés

La détection des tunnels cachés a été améliorée pour identifier les nouvelles connexions sans balise qui contactent des systèmes externes. Cette amélioration permet de couvrir les outils d'attaque sans balise basés sur une ligne de commande de tunnel caché. Pour plus d'informations sur la détection des tunnels cachés en général, veuillez consulter la section Comprendre les détections de Vectra AI .

Amélioration de la détection RDP Recon

La détection RDP Recon a été améliorée pour détecter les attaques RDP Password Spray, dans lesquelles un attaquant peut tenter de tester un petit nombre de mots de passe sur un grand nombre de comptes. La version précédente de RDP Recon se concentrait sur un attaquant tentant d'essayer un grand nombre de mots de passe sur un compte. Cette amélioration étend RDP Recon pour couvrir les scénarios où une attaque par force brute très superficielle est menée sur de nombreux comptes.

Améliorations de la détection AWS AWS

Des améliorations ont été apportées aux détections AWS suivantes afin d'améliorer la fidélité qui leur est associée. L'introduction de ces améliorations permet d'élargir la couverture des comportements malveillants et peut être associée à des augmentations mineures des entités prioritaires dans les environnements des clients.

• Cryptomining AWS : Cette détection alerte sur les comportements liés au démarrage de plusieurs instances de calcul de grande puissance. Elle a été étendue à un plus large éventail d'activités de cyptomining attribuées à des responsables humains et non humains. Les clients peuvent observer une légère augmentation du volume des détections.

• Outils d'attaque AWS : Cette détection alerte sur les outils d'attaque connus dans un environnement AWS. Elle a été améliorée pour plus de fidélité et un taux de faux positifs plus faible.

Amélioration de la signalisation 

Réduction significative des alertes de priorisation bénignes grâce aux améliorations apportées à l'algorithme de priorisation de l'IA de Vectra et aux mises à jour de la détection. Dans certains cas, les clients peuvent voir jusqu'à 50 % de moins d'alertes d'hôtes et de comptes prioritaires, sans sacrifier la couverture des menaces réelles.

• Azure AD & M365 : Les alertes de priorisation pour les comptes avec des détections spécifiques ont été affinées, réduisant les alertes bénignes tout en maintenant la détection des attaques modernes. Les détections concernées comprennent l'activité de détournement de DLL M365, l'accès suspect à Azure AD à partir d'un fournisseur de Cloud et l'ouverture de session suspecte à Azure AD.

• Réseau : Les alertes de priorisation pour les hôtes présentant des détections spécifiques ont été affinées, réduisant les alertes bénignes tout en maintenant la détection des attaques modernes. Les détections concernées comprennent des schémas tels qu'une activité d'administration suspecte et des cooccurrences de balayage de port, de balayage du Darknet et de balayage de port.

Améliorations des versions rapides

Les améliorations suivantes ont été apportées aux algorithmes depuis le dernier cycle de mise à jour du logiciel. Les clients qui sont connectés au service de mise à jour de Vectra et dont l'assistance à distance est activée ont reçu ces améliorations. Tous les autres clients recevront les améliorations suivantes dans le cadre de la version 9.1 :

• NDR-96 : Cette version introduit une amélioration de notre algorithme RDP Recon, élargissant la couverture des attaques RDP Sweep où des évasions sont en place pour limiter la quantité de mots de passe tentés par compte.
• NDR-106 : Améliore nos détections C2 contre les techniques utilisées par Mythic C2.
• NDR-104 : Cette version introduit une couverture d'attaque pour l'exploit Apache Camel Case : CVE-2025-27636.
• NDR-73 : Cette version introduit une amélioration du signal d'attaque pour l'accès à distance externe afin de réduire les détections positives bénignes vers des destinations populaires.
• NDR-108 : Cette version introduit une amélioration pour augmenter l'échelle et la santé du détecteur de balises lorsqu'il est soumis à une charge importante, en limitant les métadonnées des balises pour les destinations bénignes populaires dans l'environnement.

Amélioration de la recherche par nom de capteur

Nous avons amélioré la fonctionnalité de recherche sur la page Détections pour prendre en charge la recherche par nom de capteur au lieu du LUID interne du capteur. Cette mise à jour répond aux commentaires des clients et facilite la recherche de détections associées à des capteurs spécifiques utilisant des noms reconnaissables.

Détection améliorée des abus de copilote dans le M365

En réponse à la forte demande de nos clients, nous étendons la protection contre les abus potentiels de Microsoft Copilot. En plus de la détection existante M365 Suspicious Copilot Access (qui signale les accès à partir d'emplacements inhabituels), nous introduisons une nouvelle détection : M365 Copilot Sensitive Data Discovery. Cette détection identifie le comportement des attaquants qui tentent de localiser des documents sensibles par le biais de Copilot dans Microsoft 365.

Enrichir le contexte de priorisation de l'IA

Vectra affiche désormais des profils d'attaque personnalisés lorsque les détections couvrent plusieurs surfaces d'attaque, ce qui permet d'identifier les menaces complexes avec plus de clarté. Deux nouveaux types de profils ont été introduits :

• Adversaire du réseau hybride : Indique un attaquant actif à la fois dans les environnements d'identité de réseau et d'identité cloud , suggérant une activité coordonnée entre les infrastructures sur site et en cloud .
• Adversaire utilisant Cloud services en nuage : Représente un attaquant opérant à travers de multiples services cloud- tels que les fournisseurs d'identité, les plateformes SaaS ou les environnements de cloud public - sans engagement direct avec les systèmes d'identité du réseau.

Ces profils sont conçus pour refléter la nature des menaces hybrides et améliorer le contexte des menaces dans l'interface utilisateur.

Soutenir le triage par l'IA des détections Azure

Vectra améliore le support des détections Azure en activant l'AI Triage pour les alertes Azure CDRCloud Detection and Response). Pour chaque type de détection Azure existant, nous évaluons et appliquons des algorithmes de distillation d'IA appropriés, définissons des champs de contexte pertinents et répondons à toutes les exigences de traitement spécifiques. Cela permettra d'obtenir plus efficacement des informations de haute fidélité et d'améliorer la clarté de la détection au sein de la plateforme.

Introduction des groupes dynamiques sur Quadrant

A partir de la version 9.0, Vectra AI supporte désormais les groupes dynamiques sur l'UX Quadrant. Les groupes dynamiques sont une fonctionnalité de la plateforme Vectra AI qui permet aux clients d'utiliser des règles Regex pour définir quels hôtes ou comptes doivent appartenir à chaque groupe de triage, ce qui permet de trier automatiquement les entités dans les groupes au fur et à mesure qu'elles sont détectées. Cette fonctionnalité réduira le temps que les clients consacrent à la gestion et à la mise à jour des groupes. La prise en charge de cette fonctionnalité par Respond UX a été introduite en décembre 2024. Pour plus d'informations, voir : https://support.vectra.ai/s/article/KB-VS-1839.

Réseau de cerveaux GCP à haute performance

Vectra ai a créé une nouvelle variante à 64 cœurs du GCP Brain et a validé le Brain à 96 cœurs existant pour supporter un débit global plus élevé que celui publié précédemment. Veuillez consulter le guide de déploiement du GCP Brain pour plus de détails.

Prise en charge par proxy de l'activité et de la Match protocoles suspects

A partir de la version 9.0, Vectra AI a ajouté la prise en charge du proxy automatique pour Match et SPA. Bien qu'aucune action de l'utilisateur ne soit nécessaire, des variables supplémentaires pour Match sont disponibles. Pour plus de détails, consultez la FAQ Match : https://support.vectra.ai/s/article/KB-VS-1635.

Proxy IP du côté sud via l'interface de ligne de commande

À partir de la version 9.0, Vectra a ajouté la possibilité d'afficher les adresses IP de proxy de la liste d'apprentissage du côté sud via la ligne de commande. Les Proxy côté sud identifient les Proxy où Vectra se situe entre le Client et le Proxy. Cela diffère des proxys Northside qui sont configurés sous Manage -> Proxies dans l'interface utilisateur. Utilisez "show proxy --southside" pour afficher les proxies côté sud que le système a appris en observant le trafic du réseau.

Amélioration du rapport de validation du trafic

A partir de la version 9.0, Vectra AI a ajouté de nouveaux champs au rapport Enhanced Network Traffic Validation disponible sur la page Network Stats. Les nouveaux champs incluent des statistiques sur les erreurs NIC, la troncature des paquets et les chutes/trous dans le trafic. Pour plus d'informations, voir : https://support.vectra.ais/article/KB-VS-1648.

Interfaces S1 SFP+ prises en charge pour l'utilisation du MGT1 ou de la capture

Starting in 9.0, Vectra now supports the use of the S1’s two onboard SFP+ interfaces for capture or management. The command “set management <default|sfp>” will alter the interface configuration for the MGT1 port. The command “set capture <default|sfp>” will alter the interface assignment used for capture. This creates 4 total configurations for management or capture. All options with new interface assignment diagrams for each are detailed in the S1 Quick Start Guide. Please note: The rated throughput of the S1 appliance does not change when using SFP+ ports. This only changes the physical interface assignments. Care should be taken to only forward a supported amount of traffic to the S1.

Appliance X29/M29 - Nouvelle syntaxe pour l'utilisation de SFP+ pour MGT

The X29/M29 appliances have an option to configure one of their SFP+ interfaces to be used as the MGT1 management port. The command has changed in version 9.0 to be consistent with the command syntax that is used now for all appliances that offer options to change similar interface options. The old command was “set management speed <1G|10G>” and the new command is “set management <default|sfp>”. Please see the X29 Quick Start Guide or the M29 Quick Start Guide for details.

Améliorations apportées aux détections AWS

Des améliorations ont été apportées aux détections AWS suivantes afin d'améliorer la fidélité qui leur est associée. L'introduction de ces améliorations permet d'élargir la couverture des comportements malveillants et peut être associée à des augmentations mineures des entités prioritaires dans les environnements des clients.

• AWS CloudTrail Logging Disabled (Journalisation AWS CloudTrail désactivée) : Cette détection alerte sur la technique d'évasion de défense consistant à désactiver la journalisation AWS. Des améliorations ont été apportées au modèle afin d'élargir le profil comportemental représentant ce comportement malveillant.
• Modification de la journalisation AWS CloudTrail : Cette détection alerte sur la technique d'évasion de la défense consistant à réduire la journalisation AWS. Des améliorations ont été apportées au modèle afin d'élargir le profil comportemental représentant ce comportement malveillant.
• Détournement de l'utilisateur AWS : Cette détection alerte sur les techniques de persistance entourant la création de clés d'accès à AWS. Un apprentissage supplémentaire a été introduit dans ce modèle pour tenir compte de l'occurrence répétitive des comportements et de l'impact subséquent sur le volume des alertes émises. Cette amélioration permet d'accroître l'efficacité des alertes relatives à ce comportement à risque.

Amélioration de la notation des détections M365

Des améliorations ont été apportées aux détections Microsoft 365 suivantes afin de mieux prendre en compte le risque des comportements sous-jacents et de les faire remonter rapidement pour examen. L'introduction de ces améliorations peut entraîner des changements dans le nombre d'entités prioritaires au sein de la plateforme Vectra :

• M365 Suspect Power Automate Activity : Cette détection signale les comportements d'exfiltration ou de C2 potentiels utilisant Power Automate dans l'environnement. Les améliorations apportées à cette détection ont permis de la rendre plus fidèle et de réduire le taux de faux positifs observé dans cette détection et dans des détections similaires (M365 Power Automate HTTP Flow Creation et M365 Suspicious Power Automate Flow Creation).

Prise en charge de l'authentification via OAuth

Vectra supporte à la fois le jeton d'accès personnel (PAT) existant et le flux Oauth2 dans la version 2.x. Le jeton d'accès Oauth2 sera valide pendant 6 heures, après quoi il expirera, et un nouveau jeton devra être demandé en utilisant les informations d'identification du client de l'API. La création d'un client API doit se faire uniquement dans l'interface utilisateur de Vectra. L'accès aux API v2.x antérieures à la v2.5 fonctionne de la même manière que pour la v2.5. La collection publique de facteurs a été mise à jour pour toutes les versions v2.x.

M365 GCC Support

Vectra prend désormais en charge les environnements Microsoft 365 Government Community Cloud (GCC). Alors que la prise en charge existait déjà pour les clients GCC-High et Azure AD, cette mise à jour étend la couverture aux clients opérant dans des environnements GCC - couramment utilisés par les États, les collectivités locales et les agences gouvernementales États-Unis. En s'intégrant aux terminaux spécifiques GCC de Microsoft, Vectra AI assure une agrégation sécurisée et conforme des logs afin de fournir une visibilité complète et une détection des menaces à travers tous les niveaux du cloud gouvernemental de Microsoft.

Support EDR Cybereason

Vectra a ajouté la prise en charge de l'ingestion des alertes EDR de Cybereason. Les clients utilisant Cybereason peuvent désormais configurer leur intégration dans Cantina pour permettre l'ingestion et la visibilité des alertes.

Modification du type de groupe

À partir de la version 9.1, Vectra prend en charge la conversion entre les types de groupes statiques et dynamiques pour les déploiements QUX. Les filtres de triage existants qui font référence à un groupe statique continueront à fonctionner sans nécessiter de changement après que le groupe ait été redéfini à l'aide d'une expression rationnelle dans la configuration du groupe dynamique. Cela devrait permettre une plus grande flexibilité et une plus grande facilité de mise en œuvre lorsque les clients passeront aux groupes dynamiques. Pour plus d'informations sur les groupes dynamiques, voir la FAQ sur les groupes dynamiques.

Prise en charge de la désactivation de la détection DNS

Les utilisateurs peuvent désormais désactiver l'inspection des paquets de réponse DNS dans la page Paramètres. Un message d'avertissement s'affichera si cette option est sélectionnée pour informer les utilisateurs que la désactivation de l'enregistrement des paquets de réponse DNS peut avoir un impact sur les détections correspondantes.

Enquêter de n'importe où : Dernière IP vue

Les utilisateurs peuvent désormais accéder aux enquêtes avancées à partir de points de données clés situés en dehors de la page des enquêtes avancées. Cette mise à jour introduit un nouveau menu pour le champ Last Seen IP dans les cartes Host de la page Respond. En survolant le champ Last Seen IP, les utilisateurs peuvent sélectionner une requête contenant l'adresse IP et accéder directement aux résultats de la requête sur la page Advanced Investigations.

Amélioration de la navigation principale

Pour prendre en charge le nombre croissant de tableaux de bord, la navigation a été modifiée, passant d'onglets horizontaux à une barre latérale verticale repliable. Cette refonte offre aux utilisateurs un moyen plus évolutif et plus convivial d'accéder aux tableaux de bord et de les gérer.

Amélioration du rapprochement des comptes fédérés

Cette mise à jour ajoute un support pour réconcilier les comptes Federated dans EntraID avec leurs User Principal Names (UPN) correspondants, y compris l'alignement avec les entités Azure CDR et les comptes M365/AzureAD.

Amélioration des temps d'arrêt des sauvegardes

A partir de la version 8.10, Vectra a amélioré le temps d'arrêt des sauvegardes pour qu'elles durent moins de dix minutes. La convivialité de la fonction de sauvegarde reste inchangée, cette solution permet de réduire considérablement le temps d'exécution des sauvegardes. 

Nouveau VMWare vSensor

A partir de la version 8.10, Vectra augmente les capacités de bande passante des VMWare vSensors. Les capteurs VMWare sont capables de gérer un trafic de 20 Gb/s et prennent en charge les mêmes fonctionnalités que les autres capteurs Cloud. Pour plus d'informations, veuillez consulter notre guide de déploiement : https://support.vectra.ai/s/article/KB-VS-1075 

Amélioration du tunnel DNS caché NoReply

Dans le cadre de la version 8.10, Vectra a amélioré sa détection des tunnels DNS cachés afin de détecter les scénarios dans lesquels un attaquant peut tenter d'exfiltrer des données via le DNS en utilisant des techniques où le serveur ne répond pas (le tunnel n'est donc qu'un tunnel unilatéral dans lequel l'attaquant diffuse les données d'un côté à l'autre).

Amélioration de la notation des détections Azure AD et M365

Des améliorations ont été apportées aux détections Microsoft 365 et Azure AD suivantes afin de mieux prendre en compte le risque des comportements sous-jacents et de les faire remonter rapidement pour examen. L'introduction de ces améliorations peut entraîner des changements dans le nombre d'entités prioritaires au sein de la plateforme Vectra :

• Azure AD/Entra ID
  
  • Paramètres de domaine Azure AD modifiés: Cette détection alerte lorsqu'un nouveau domaine non vérifié ou vérifié est ajouté de manière suspecte à l'environnement. 
  • Modification de l'accès inter-locataires Azure AD : Cette détection alerte lorsque les paramètres d'accès inter-locataires d'un partenaire sont ajoutés ou mis à jour.
  • Azure AD Nouvelle autorité de certification enregistrée : Cette détection alerte lorsqu'une nouvelle autorité de certification est enregistrée auprès du locataire.
  • Anomalie d'opération de privilège Azure AD : cette détection alerte sur les comportements potentiels d'escalade de privilège ou d'Usurpation de compte au sein de l'environnement. Les améliorations apportées à cette détection se traduisent par des améliorations significatives de la fidélité de cette détection et par une réduction du taux de faux positifs. 
• Microsoft 365
  
  • M365 Phishing Simulation Configuration Change (Changement de configuration de la simulation d'Phishing ) : Cette détection alerte lorsque la configuration associée à un compte d'Phishing est modifiée.

M365 SecOps Mailbox Change : Cette détection alerte lorsque la configuration associée à un compte SecOps est modifiée.

Lancement du CDR pour Azure

Vectra AI ajoute des détections alimentées par l'IA qui révèlent les comportements des attaquants ciblant les services cloud de Microsoft Azure et Microsoft Copilot qui apporte des renforts indispensables aux outils natifs des clients :

• Détecte les attaquants qui abusent d'Azure Cloud
• Identifie les attaques réelles en temps réel en reliant les points entre Azure IaaS, Active Directory, Microsoft 365, Copilot et Microsoft Entra ID au sein d'une seule et même fenêtre.
• Il empêche la compromission d'Azure, ce qui permet aux équipes de sécurité 1) d'identifier les lacunes de sécurité pour Azure Cloud, 2) d'accéder facilement aux journaux d'activité et de ressources Azure enrichis et 3) de prendre des mesures de réponse décisives pour contenir rapidement les comptes Microsoft Entra ID impliqués dans une attaque.
  

Groupes dynamiques

Les groupes ont été étendus pour permettre une adhésion dynamique grâce à la définition d'une expression régulière (RegEx) décrivant les noms des membres à inclure. Cela permet d'économiser énormément d'efforts opérationnels dans la gestion des groupes pour le triage ou la notation. L'appartenance à un groupe est évaluée au moment de l'exécution, afin de s'assurer que les nouvelles entités sont correctement catégorisées, sans effort supplémentaire de votre part. Cela s'applique aux groupes d'hôtes ou de comptes.

Requêtes enregistrées pour Advanced Investigation

Rationalisation du processus de gestion des requêtes dans le cadre de l'expérience d'enquête avancée de Respond UX grâce à la possibilité d'enregistrer et de partager les requêtes.

Les analystes pourront créer, enregistrer, mettre à jour et supprimer des requêtes de manière transparente, ce qui réduira les répétitions et favorisera la réutilisation. Les analystes pourront également partager les requêtes sauvegardées avec d'autres analystes, ce qui favorisera la collaboration et le partage des connaissances au sein des équipes.

La région Suisse est activée

Nous prenons désormais en charge les déploiements de Respond UX en Suisse. Cela permet aux clients suisses d'héberger à l'intérieur de leurs propres frontières si nécessaire. Cette nouvelle région prend en charge tous les produits Vectra.

Les PCAP sélectifs sont activés pour les clients du réseau Respond UX

Avec cette version, nous prenons désormais en charge les PCAP sélectifs pour nos clients du réseau Respond UX. Cette fonctionnalité vous permet de tirer parti de l'empreinte du capteur Vectra pour exécuter une capture de paquets personnalisée à distance - sans avoir à accéder à l'infrastructure locale.

Vectra Match - Règles établies

Avec cette version, Vectra a introduit un lien téléchargeable qui permet aux utilisateurs de récupérer l'ensemble des règles de Vectra Match. Un nouveau lien apparaîtra dans l'interface utilisateur de la page Vectra Match pour le contenu quotidien mis à jour, ainsi que pour le contenu consommable via l'API. Pour plus d'informations, veuillez consulter la rubrique "Curated Ruleset" de Vectra Match .

Copilot pour M365 Threat Surface Dashboard (tableau de bord de la surface des menaces)

Il s'agit d'un nouveau tableau de bord dans Respond UX pour M365 qui se concentre sur l'utilisation de Copilot à l'échelle de l'organisation. Utilisez ce tableau de bord pour comprendre l'utilisation de Copilot au sein de votre organisation, et quels fichiers sont accédés par Copilot.

Les points de terminaison de l'intégration de la santé ont été ajoutés à l'API V3

Nouveau endpoint API sur la V3 Respond UX API pour donner de la visibilité aux intégrations telles que EDR, AD, etc. vous permettant de surveiller ces intégrations critiques au fil du temps.

Vectra Match est désormais disponible pour les enquêtes instantanées et avancées

Avec cette version, Vectra Match est supporté dans Respond UX. Le support de Respond UX apporte tout le support WebUI et API fourni dans Quadrant UX et ajoute le support des enquêtes instantanées et avancées pour les alertes Match . Veuillez consulter le Guide de déploiement deMatch pour plus de détails.

Gestion des utilisateurs ajoutée à l'API V3

Nouveau endpoint API sur l'API Respond UX V3 pour gérer les utilisateurs autonomes au sein de votre locataire Respond UX. Utilisez cette API pour provisionner ou déprovisionner des utilisateurs automatiquement à partir de vos playbooks d'onboarding ou de offboarding.

Verrouillage automatique du compte AzureAD

Le verrouillage automatique des comptes AzureAD est conçu pour permettre aux utilisateurs de Vectra de disposer de mécanismes de défense proactifs contre les menaces. En activant cette fonction, vous pouvez désormais configurer deux paramètres essentiels : Le score d'urgence et l'importance de l'entité. Cette double configuration garantit que lorsqu'une entité dépasse des seuils prédéfinis de score d'urgence et d'importance, elle entre automatiquement dans un état de verrouillage pour une durée définie par l'utilisateur. Cette période permet d'effectuer des recherches approfondies, ce qui garantit que les menaces potentielles font l'objet d'une enquête et d'une réponse efficace.

Tableau de bord de la surface des menaces du réseau

Première version d'un nouveau tableau de bord Threat Surface pour nos clients du réseau Respond UX. Ce tableau de bord dévoile une mine d'informations sur votre environnement et expose la surface d'attaque et les problèmes de conformité. Ce tableau de bord permet d'explorer l'utilisation de protocoles anciens et obsolètes dans votre environnement et d'assurer la conformité avec vos politiques établies pour des domaines tels que SMBv1.

Detect for AWS - Prise en charge de S3 copyObject dans les journaux CloudTrail

Par défaut, CloudTrail remplit les buckets S3 par des événements putObject. Lors de l'ingestion, Vectra rejetait les événements alimentés par la commande copyObject. Avec ce changement, Vectra ingère les événements créés avec copyObject ou putObject.

AzureAD et consolidation du verrouillage AD

Pour les clients ayant la possibilité de verrouiller à la fois AzureAD et les comptes AD (clients avec réseau et détection pour AzureAD), nous avons harmonisé l'expérience pour offrir une meilleure expérience globale - en intégrant ces deux capacités différentes et en permettant une plus grande visibilité et sélectivité pour l'action que vous souhaitez effectuer. Choisissez de verrouiller Azure AD ou AD, ou les deux, à partir de la même expérience.

Verrouillage automatique des comptes AD

Le verrouillage automatique des comptes AD permet aux utilisateurs de Vectra de disposer de mécanismes de défense proactifs contre les menaces. En activant cette fonction, vous pouvez désormais configurer deux paramètres essentiels : Le score d'urgence et l'importance de l'entité. Cette double configuration garantit que lorsqu'une entité dépasse des seuils prédéfinis de score d'urgence et d'importance, elle entre automatiquement dans un état de verrouillage pour une durée définie par l'utilisateur. Cette période permet d'effectuer des recherches approfondies, ce qui garantit que les menaces potentielles font l'objet d'une enquête et d'une réponse efficace.

Amélioration de la gestion des utilisateurs

Cette amélioration donne aux administrateurs de Respond UX l'aspect et la convivialité familiers de l'interface de gestion des utilisateurs proposée sur notre plateforme Quadrant UX. Les administrateurs peuvent désormais gérer facilement les utilisateurs et leurs rôles, ce qui garantit une précision maximale lors du provisionnement des utilisateurs et de l'audit de l'accès au système.

Accès suspect à Azure AD à partir d'un fournisseur de Cloud

Vectra a introduit la possibilité de détecter les attaquants qui compromettent une identité et y accèdent à partir d'un fournisseur de cloud public, tel qu'Amazon, Azure ou GCP, pour tenter d'échapper à la détection et de dissimuler leur véritable emplacement. La détection utilise l'apprentissage automatique pour déterminer si un utilisateur accède normalement à son compte à partir du cloud public. Les alertes Bening peuvent se déclencher lorsqu'un utilisateur utilise une application qui passe par un cloud public ou des machines virtuelles hébergées dans cloud . Cette nouvelle alerte donnera la priorité à un compte lorsqu'elle se produit avec d'autres alertes de la même manière que l'alerte Azure AD Suspicious Sign-On.