L'analyse du trafic réseau décrit la manière dont une plateforme NDR plateforme , traite et examine le trafic sur un réseau d'entreprise hybride afin de détecter en temps réel les comportements malveillants. Une analyse efficace du trafic réseau couvre la manière dont le trafic est capturé à partir d'environnements sur site, cloud et à distance ; la manière dont il est traité pour obtenir des métadonnées pertinentes pour la sécurité ; la manière dont les sessions chiffrées sont examinées sans nécessiter de déchiffrement ; la manière dont l'identité est dérivée des protocoles réseau ; et la manière dont les composants d'analyse sont déployés et mis à l'échelle. Cette page explique chaque couche à l'intention des équipes de sécurité qui évaluent ou déploient une solution NDR.
Comment fonctionne l'analyse du trafic réseau dans une architecture NDR
L'analyse du trafic réseau dans le cadre du NDR repose sur trois couches interdépendantes : la capture du trafic, l'analyse comportementale et l'intégration des réponses. Des capteurs déployés sur l'ensemble des segments du réseau capturent le trafic brut et transmettent les métadonnées à un composant de traitement — généralement appelé « Brain appliance » — qui analyse ces métadonnées à l'aide de modèles d'IA comportementale. Les résultats de la détection sont affichés dans une interface de gestion et transmis aux systèmes en aval, tels que les solutions SIEM et SOAR.
Contrairement aux outils endpoint, le NDR fonctionne au niveau du réseau, ce qui signifie qu’il détecte tous les appareils qui communiquent au sein de l’environnement, qu’ils soient gérés ou non, cloud ou relevant de l’IoT/OT, et ce, indépendamment de la présence ou non d’un agent de sécurité. Cela permet aux équipes de sécurité de bénéficier d’une visibilité sur les mouvements latéraux, le trafic est-ouest et les activités liées à l’identité, que endpoint ne peuvent pas observer.
L'architecture est conçue pour fonctionner sans agent au niveau de la capture. Les capteurs reçoivent une copie du trafic réseau via des ports SPAN, des TAP ou une mise en miroir cloud, et ne nécessitent ni installation en ligne ni interception du trafic. Cela réduit la complexité du déploiement et évite d'introduire une latence dans les flux de trafic de production.
Surveillance du trafic est-ouest par rapport au trafic nord-sud
La surveillance du trafic réseau couvre deux principaux flux de trafic, chacun révélant un type distinct de comportement des attaquants. Le trafic nord-sud circule entre les systèmes internes et des destinations externes ; c'est là que les communications de commande et de contrôle, l'exfiltration de données et l'activité des botnets deviennent visibles. Le trafic est-ouest circule latéralement entre les systèmes internes ; c'est là que s'opèrent la reconnaissance, l'escalade des privilèges et les mouvements latéraux une fois que l'attaquant a déjà pris pied dans le système.
La plupart des outils de sécurité périmétrique se concentrent sur le trafic nord-sud à la périphérie du réseau. La visibilité est-ouest reste ainsi largement négligée. Lorsqu'un attaquant utilise des identifiants valides pour se déplacer entre des serveurs, des charges de travail ou des systèmes d'identité, cette activité s'effectue dans le sens est-ouest et ne déclenche aucune alerte dans les outils qui inspectent uniquement le trafic entrant et sortant.
La NDR comble cette lacune en capturant le trafic au niveau des segments de réseau internes, au sein des centres de données, dans cloud et entre les sites d'un même campus, et non plus uniquement au niveau du périmètre. Cela permet aux modèles comportementaux d'observer les mouvements latéraux au moment où ils se produisent, avant qu'une attaque n'atteigne sa cible. Pour mieux comprendre comment les attaquants exploitent les lacunes de couverture au-delà des endpoint, c'est précisément au niveau des chemins d'attaque qui émergent dans ces angles morts que l'analyse au niveau du réseau apporte la plus grande valeur ajoutée.
Le tableau ci-dessous met en correspondance chaque sens de circulation avec les comportements d'attaque qu'il met en évidence. Les équipes de sécurité doivent s'assurer que l'emplacement des capteurs couvre les deux sens de circulation sur tous les segments du réseau où fonctionnent des systèmes sensibles.
Type de trafic
Objectif
Exemples
Nord/Sud
C&C, exfiltration, détection de botnets
Du serveur vers Internet, de l'utilisateur vers Internet
Est/Ouest
Reconnaissance, détection des déplacements latéraux
De serveur à serveur, d'utilisateur à serveur, d'utilisateur à utilisateur
Quel type de trafic l'analyse du trafic réseau doit-elle prendre en compte (et exclure) ?
Une analyse efficace du trafic réseau permet de capturer les protocoles qui révèlent les intentions comportementales, les événements d'authentification, les communications entre services et l'activité au niveau des sessions, tout en excluant le trafic à haut débit qui génère du bruit sans apporter de valeur ajoutée en matière de sécurité. Le choix des protocoles a une incidence directe sur la précision de la détection et les performances de l'appareil.
Les tableaux ci-dessous présentent des recommandations opérationnelles tirées directement des spécifications de déploiement de Vectra NDR. Il convient de les lire conjointement : les éléments à capturer déterminent la couverture de détection, ceux à exclure déterminent la fidélité du modèle et l'efficacité de l'appareil, et ceux qui améliorent l'HostID déterminent la fiabilité avec laquelle la plateforme l'activité à des hôtes et identités spécifiques.
Protocoles à prendre en compte vs. trafic à exclure
La colonne de gauche répertorie les protocoles qui transportent des signaux comportementaux : authentification, appels de service, données de session. La colonne de droite répertorie les catégories de trafic qui mobilisent de la bande passante sans améliorer la détection. La capture des types de trafic exclus augmente la charge de l'appareil et introduit du bruit qui nuit à la précision du modèle d'IA.
À noter
Devrait être exclu de la capture
DCE/RPC
Protocoles de routage de base
DHCP
Données de sauvegarde nécessitant une bande passante élevée
DNS
Tâches de calcul haute performance (HPC) nécessitant une bande passante élevée
HTTP
charges de travail HPC bien isolées
ICMP
Commutation multiprotocole par étiquette (MPLS)
Kerberos
Protocole d'initiation de session (SIP)
LDAP
Systèmes de fichiers de réseaux de stockage (le protocole SMB peut être utilisé pour la capture)
NTLM
Diffusion vidéo
Rayon
RDP
PME
SMTP
SSH
SSL/TLS
X.509
Autre trafic de session
Qu'est-ce qui permet d'améliorer l'HostID de Vectra ?
La précision de l'identification des hôtes dépend de la capacité de plateforme les protocoles qui véhiculent les signaux de nommage des appareils et des identités. Les éléments suivants, qu'ils soient liés aux protocoles ou à l'intégration, améliorent la fiabilité avec laquelle la plateforme l'activité réseau à des hôtes et des identités spécifiques, même lorsque les adresses IP changent.
Les capteurs Vectra NDR prennent en charge les formats d'encapsulation réseau suivants, garantissant ainsi la compatibilité avec les architectures modernes de centres de données, cloud de campus et cloud .
Encapsulation prise en charge
GENÈVE
Encapsulation de routage générique (GRE)
IEEE 802.1ad (également appelé QinQ)
IEEE 802.1Q (VLAN)
En-tête d'authentification IPSec (IPSec AH)
Réseau local virtuel extensible (VXLAN)
Sources courantes de collecte de données sur le trafic
Le trafic réseau parvient à Vectra Sensors via les mécanismes de capture suivants. Le mécanisme approprié dépend de l'architecture réseau, du type d'environnement et du fait que le déploiement s'étende à une infrastructure sur site, cloud ou hybride.
Recommandations de placement : les capteurs doivent être déployés du côté sud de tout proxy ou dispositif NAT afin d'identifier avec précision l'hôte d'origine. Lorsque le trafic provenant de plusieurs hôtes est regroupé derrière un proxy vers une seule adresse IP, la plateforme NDR plateforme être configurée pour reconnaître ce proxy afin de préserver la précision de la détection. Les petites succursales distantes ne nécessitent généralement pas de capteur dédié : le trafic provenant de ces sites est généralement visible depuis les sites centraux où des capteurs sont déjà déployés. Pour obtenir des conseils sur le dimensionnement des appliances physiques et virtuelles par niveau de débit, consultez les spécifications des appliances et des capteurs.
Comment fonctionne l'analyse du trafic chiffré dans le NDR
La grande majorité des détections NDR ne nécessitent pas de décryptage du trafic. Les modèles d'IA comportementale analysent les métadonnées issues des sessions cryptées, la synchronisation des paquets, la taille des sessions, les schémas de connexion, les attributs des certificats et le comportement des protocoles, afin d'identifier les activités malveillantes sans inspecter le contenu des données. Cela rend l'analyse du trafic réseau efficace contre les techniques utilisées par les attaquants pour dissimuler leurs systèmes de commande et de contrôle dans le trafic crypté, l'un des comportements d'attaque les plus souvent sous-détectés dans les environnements d'entreprise.
Il s'agit là d'une distinction architecturale fondamentale. Le déchiffrement en ligne entraîne une latence, soulève des problèmes de confidentialité, complique la mise en conformité réglementaire et engendre des coûts d'infrastructure considérables. La technologie NDR évite ces inconvénients en traitant les métadonnées plutôt que les données brutes en clair — une approche qui s'explique par le fait que les architectures modernes n'ont plus besoin du déchiffrement en ligne pour assurer une couverture efficace de la détection comportementale.
Il existe peu de cas où l'accès aux métadonnées du trafic déchiffré apporte une valeur ajoutée :
Les équipes qui utilisent des fonctionnalités avancées d'enquête ou de récupération nécessitant le contenu déchiffré des sessions à des fins d'analyse judiciaire
Déploiements utilisant des règles de correspondance de motifs dans lesquelles certaines signatures ne s'activent que lorsque le contenu de la charge utile peut être inspecté
Quand le déchiffrement est nécessaire : l'approche par pipeline parallèle
Lorsque l'analyse du trafic chiffré et déchiffré est requise, celle-ci doit être gérée via des pipelines de traitement parallèles — et non en envoyant les deux types de trafic vers le même capteur. L'envoi des deux flux vers un seul capteur entraîne la suppression de l'un d'entre eux par le mécanisme de déduplication (généralement la version déchiffrée, car le déchiffrement ajoute une charge de traitement qui retarde son arrivée). La bonne approche consiste à déployer un capteur dédié, associé à un appareil Brain distinct, pour le flux de trafic déchiffré. Les capteurs virtuels et les appliances Brain sont pris en charge sans frais de licence supplémentaires à cette fin.
Comment fonctionne la détection des identités réseau à partir des métadonnées de trafic
La détection des identités réseau tire le contexte d'identité directement des protocoles réseau, plutôt que de se fier uniquement aux données télémétriques transmises par les agents ou à l'ingestion des journaux. En analysant le trafic d'authentification circulant sur le réseau, les tickets Kerberos, les requêtes LDAP, les échanges NTLM et les appels DCE/RPC, la plateforme une vue d'ensemble continue des identités actives, des ressources auxquelles elles accèdent et de la manière dont leur comportement se compare aux références établies. Cela rend cette approche particulièrement efficace pour détecter les attaques d'identité basées sur les privilèges, dans lesquelles des comptes compromis opèrent dans les limites d'accès attendues mais présentent un comportement anormal par rapport aux modèles d'authentification habituels.
De plus, les comptes de service qui s'authentifient entre les systèmes, les charges de travail qui effectuent des appels API et les agents d'IA qui parcourent l'infrastructure génèrent tous un trafic réseau permettant d'identifier les entités, même lorsqu'aucun endpoint n'est présent sur ces systèmes.
Le tableau ci-dessous met en correspondance chaque protocole lié à l'identité avec le comportement de l'attaquant qu'il met en évidence, et explique pourquoi cela revêt une importance opérationnelle.
Protocole
Ce que cela révèle
Comportement d'attaquant détecté
Kerberos
Authentification par ticket dans les environnements Windows
Transmission de ticket, Kerberoasting, utilisation abusive de tickets dorés
LDAP
Requêtes adressées au service d'annuaire et activités d'énumération
Énumération des comptes, identification des privilèges, reconnaissance Active Directory
Appels de procédure à distance entre services Windows
Déplacement latéral via l'exécution de services à distance
DHCP
Dénomination des appareils et attribution d'adresses réseau
Identification de l'hôte, détection des appareils non autorisés
DNS
Résolution des noms et mappage des identités des périphériques
Tunneling DNS, communication C2 via DNS, identification de l'hôte
La détection de l'identité réseau contribue également à la précision de l'identification des hôtes. Le DNS, le DNS inversé, le DNS multicast, Kerberos, le DHCP et NetBIOS constituent les principaux signaux utilisés pour associer l'activité réseau à des hôtes et des identités spécifiques, ce qui permet une attribution cohérente même lorsque les adresses IP changent.
Architecture du « cerveau » et des capteurs dans les déploiements NDR
L'architecture de base de NDR repose sur deux types principaux d'appareils : le « Brain » et le « Sensor ». Chacun remplit une fonction distincte, et c'est leur interaction qui permet de transformer l'analyse brute du trafic réseau en détections de sécurité hiérarchisées.
Les appareils de capture capturent le trafic réseau brut à des points de capture désignés, dans les centres de données, les environnements de campus, cloud et les sites distants. Les capteurs dédupliquent le trafic avant de transmettre les métadonnées au Brain. Ils gèrent une mémoire tampon de capture continue qui permet la récupération au niveau des paquets (PCAP) lorsque cela est nécessaire pour une enquête. Le vSensor est la version virtuelle, déployable sur des hyperviseurs ou dans cloud IaaS.
Les appliances Brain reçoivent des métadonnées provenant d'un ou plusieurs capteurs associés et les traitent localement à l'aide de modèles d'IA comportementale afin de générer des détections. Comprendre comment la détection basée sur les métadonnées améliore la visibilité des menaces est essentiel pour évaluer pourquoi cette architecture surpasse les approches centrées sur les journaux en matière de surveillance du trafic est-ouest et dans les scénarios d'attaques basées sur l'identité. Dans les déploiements cloud(Respond UX), le Brain envoie les données de détection et les métadonnées au cloud Vectra cloud qu'elles soient présentées dans l'interface de gestion. Dans les déploiements sur site (Quadrant UX), le Brain héberge l'interface utilisateur de gestion localement.
Les appareils en mode mixte combinent les fonctions Brain et Sensor en un seul appareil ; ils conviennent aux déploiements de petite envergure ou aux environnements où une architecture à deux appareils n'est pas justifiée.
Type d'appareil
Fonction principale
Caractéristiques principales
Cerveau
Traite les métadonnées ; génère des alertes ; communique avec cloud Vectra
Déployé dans les locaux du client ; établit toutes cloud sortantes cloud ; sert d'intermédiaire de communication pour les déploiements RUX
Capteur (physique)
Capture et déduplique le trafic réseau brut
Doit être associé à un Brain ; transmet les métadonnées ; héberge un tampon PCAP à rotation ; exécute, en option, les détections d'anomalies de protocole Vectra Match Suspect
vSensor (virtuel)
Identique au capteur physique ; déployable sur des hyperviseurs ou dans cloud IaaS
Associé à Brain via un jeton d'enregistrement ; aucun coût de licence supplémentaire
Appareil à mode mixte
Assure à la fois les fonctions de « cerveau » et celles de capteur
Convient aux déploiements à petite échelle ; réduit l'encombrement de l'infrastructure
Communication et appairage :
Les capteurs communiquent avec leur Brain associé via les ports TCP/22 (SSH) et TCP/443 (HTTPS)
En général, les capteurs communiquent uniquement avec le Brain et le DNS — et non directement avec des systèmes externes
Les appareils Brain établissent toutes les connexions sortantes vers le cloud Vectra
Les mises à jour sont transmises depuis le cloud Vectra cloud le Brain, puis diffusées automatiquement vers les capteurs appairés
Les déploiements en mode « air-gapped » sont pris en charge (Quadrant UX uniquement), les détections étant générées localement sur le Brain
Les capteurs physiques peuvent récupérer l'adresse IP du Brain depuis le cloud Vectra cloud du démarrage initial via TCP/443, ce qui permet un appairage automatique avec DHCP
Recommandation de déploiement : les appliances Brain et Sensor doivent être installées à des emplacements du réseau qui ne sont pas directement accessibles depuis l'Internet public. Il est préférable d'utiliser une connexion privée ou un tunnel VPN dont le point de sortie se trouve à l'extérieur des appliances Vectra. Les détections NDR se concentrent sur les communications entrantes et sortantes ; il n'est pas recommandé de capturer le trafic à l'extérieur des pare-feu périphériques dans la zone DMZ.
Considérations relatives au déploiement, à la mise à l'échelle et à la vue globale
Les déploiements NDR s'adaptent aussi bien aux environnements à site unique qu'aux grandes entreprises mondiales décentralisées. Il est essentiel pour les équipes qui planifient des déploiements à l'échelle de l'entreprise de bien comprendre la capacité des appliances et l'architecture multi-instances.
Dimensionnement des appareils électroménagers
Le tableau ci-dessous présente les niveaux de performances actuels des appliances. Les performances réelles varient en fonction de la composition du trafic : consultez votre équipe chargée du compte afin de déterminer la combinaison d'appliances physiques et virtuelles la mieux adaptée à votre environnement.
Type d'appareil
Débit maximal
Remarques supplémentaires
Cerveau
75 Gbit/s
Prend en charge jusqu'à 500 capteurs appairés
Capteur
50 Gbit/s
Détection NDR standard uniquement
Capteur (avec détection des anomalies de protocole de type « Match « Suspect »)
33 Gbit/s
Baisse du débit lors de l'exécution de modules de détection supplémentaires
vSensor / virtual Brain / Stream
Cela dépend de la configuration de l'hôte
Aucun coût de licence supplémentaire en dehors des indicateurs standard liés à l'environnement
Remarque : Vectra publie régulièrement de nouvelles configurations d'appareils afin de prendre en charge les nouvelles exigences en matière de débit, les hyperviseurs et cloud . Veuillez toujours consulter les spécifications de l'appareil et du capteur pour obtenir les dernières recommandations avant de dimensionner un déploiement.
Une vision globale pour les entreprises décentralisées
Les organisations gérant plusieurs sites ou divisions peuvent déployer Global View dans des environnements SOC distribués afin de conserver une vue d'ensemble unifiée de la détection entre différentes instances NDR. Global View regroupe les données d'entités classées par ordre de priorité provenant des instances Respond UX « filles » au sein d'une instance « ancre », offrant ainsi une vue de gestion unique sans centraliser les données stockées.
Caractéristique
Comportement de la vue globale
Disponibilité
Fonctionnalité standard incluse dans tout déploiement de Respond UX
Espace d'adresses IP
Prise en charge des espaces IP qui se chevauchent entre les déploiements enfants
Stockage des données
Non stocké dans l'instance d'ancrage — récupéré à la demande à partir des instances enfants
Communications
Cryptées et hébergées au sein de laplateforme Vectra AI
Modèle d'accès
Anchor récupère les entités prioritaires via un client API disposant du rôle « Global Analyst »
Objectif de la mise à l'échelle
Permet une évolutivité maximale au sein des entreprises internationales grâce à une interface unique
L'analyse du trafic réseau dans la pratique : résultats du déploiement, 2023-2025
L'analyse du trafic réseau produit des résultats mesurables lorsqu'elle est correctement mise en œuvre, mais ces résultats dépendent directement des choix architecturaux : l'emplacement des capteurs, le type de trafic capturé, la manière dont l'identité est déduite des protocoles et la hiérarchisation des détections au sein de l'environnement. Les cas suivants illustrent les résultats obtenus par cette architecture dans des déploiements en production au sein de différents environnements réseau.
Goodwood Estate — visibilité est-ouest passant de 20 % à 95 % (2024) Avant le déploiement de la solution NDR, Goodwood Estate disposait d'une surveillance du trafic est-ouest couvrant environ 20 % de son infrastructure distribuée. Des angles morts sur le campus, dans l'IoT et dans les environnements de technologie opérationnelle laissaient des voies de mouvement latéral importantes sans surveillance. Après avoir déployé des capteurs sur les segments du réseau interne, et pas seulement sur le périmètre, la visibilité est-ouest a atteint 95 %, comblant ainsi les lacunes de couverture que les outils de périmètre traditionnels ne peuvent pas résoudre de par leur conception.
Schaefer Kalk — blocage d'une attaque par ransomware qui avait contourné l'EDR (2023) endpoint de Schaefer Kalk n'ont pas réussi à détecter une campagne active de ransomware se propageant latéralement à travers le réseau. L'analyse du trafic réseau, qui examine les flux est-ouest que l'EDR ne peut pas observer, a détecté ce mouvement latéral et a contenu l'attaque avant qu'elle n'atteigne les systèmes de production.
Globe Telecom — Réduction de 99 % du bruit des alertes et réponse 75 % plus rapide (2024) Globe Telecom a réduit le temps de réponse aux incidents de 16 heures à 3,5 heures. Le bruit des alertes a diminué de 99 % et les escalades ont baissé de 96 %, permettant ainsi aux analystes de se concentrer sur six incidents réels plutôt que sur des centaines de milliers d'alertes de faible valeur. Le facteur sous-jacent : une hiérarchisation basée sur les risques, s'appuyant sur une IA comportementale exploitant cloud du réseau, des identités et cloud , et non sur la comparaison de signatures par rapport à des alertes individuelles.
Une organisation mondiale du secteur de la santé — détection d'une utilisation abusive d'identifiants que le SIEM n'avait pas repérée (2024) Quelques jours seulement après le déploiement, l'analyse du trafic réseau a permis de détecter des identifiants volés, cloud , des tentatives d'escalade de privilèges et des activités de persistance sur AWS que le SIEM de l'organisation n'avait pas su mettre en évidence. La détection des identités à partir des protocoles réseau — Kerberos, LDAP, DCE/RPC — a fourni le signal que les systèmes basés sur les journaux n'ont pas pu reconstituer. Le SOC est intervenu avant que les données ou les opérations ne soient affectées.
Point clé : les résultats dépendent de l'emplacement des capteurs couvrant les segments est-ouest, de la capture des protocoles incluant le trafic d'authentification, et de modèles comportementaux qui analysent les mouvements d'identité à travers le réseau plutôt que de se limiter à des alertes isolées au niveau des terminaux individuels.
Comment Vectra AI l'analyse du trafic réseau
L'analyse du trafic réseau Vectra AI repose sur quatre couches techniques qui fonctionnent de concert pour transformer les données brutes de télémétrie réseau et d'identité en détections hiérarchisées et exploitables. Il ne s'agit pas là de fonctionnalités NDR générales : ces couches décrivent les choix architecturaux spécifiques qui déterminent plateforme en production dans des environnements hybrides,cloud et axés sur l'identité.
Niveau 1 : Modélisation du comportement des attaquants
Chaque détection repose sur des recherches en matière de sécurité, et non sur des anomalies statistiques. Les modèles sont directement mis en correspondance avec MITRE ATT&CK et techniques MITRE ATT&CK dans les domaines du réseau, de l'identité, cloud et des services SaaS.
Les ingénieurs en détection et les scientifiques des données définissent trois éléments pour chaque technique d'attaque :
Ce qu'il faut détecter
Quelles données de télémétrie sont nécessaires pour le détecter ?
Quel modèle d'IA/d'apprentissage automatique convient le mieux à ce problème spécifique ?
Les modèles sont sélectionnés en fonction du problème — utilisation abusive d'identifiants, déplacement latéral, commande et contrôle, persistance — et ne sont pas appliqués de manière générique. Cela garantit que les détections sont explicables, reproductibles et justifiables, avec un lien clair entre la technique de l'attaquant et le résultat de la défense. Vectra AI contribué à façonner et influencé la manière dont les techniques ATT&CK basées sur le réseau et l'identité sont comprises et cartographiées par l'ensemble de la communauté de la sécurité.
Couche 2 : Jetstream — moteur de diffusion en continu en temps réel
Jetstream traite les données de télémétrie relatives au réseau et aux identités en temps réel, et non a posteriori.
Contrairement aux systèmes fonctionnant par lots et axés sur les journaux, qui stockent le trafic pour l'analyser ultérieurement, Jetstream ingère, enrichit et met en corrélation les données de télémétrie en continu, à mesure que les événements se produisent au sein de l'entreprise hybride. C'est ce qui permet de détecter les schémas comportementaux au moment même où une attaque se déroule, plutôt que quelques minutes ou quelques heures plus tard.
En ce qui concerne plus particulièrement la surveillance du trafic est-ouest, le traitement en continu est essentiel. Les mouvements latéraux qui s'étendent sur plusieurs minutes ne peuvent pas être détectés de manière fiable par des systèmes reposant sur des cycles de traitement par lots.
Couche 3 : Structure de transmission des métadonnées
Plutôt que de s'appuyer sur la capture intégrale des paquets ou l'ingestion brute des journaux, Vectra AI , normalise et enrichit les métadonnées pertinentes pour la sécurité provenant de l'ensemble du réseau hybride.
Parmi les sources, on trouve :
Flux réseau
Événements liés à l'identité
Cloud
Interactions SaaS
Télémétrie des infrastructures
Chaque enregistrement de métadonnées est enrichi en continu de données contextuelles — identité, rôle de l'élément, historique des comportements, stade de l'attaque et profil de risque —, créant ainsi une couche d'informations partagées qui couvre les processus de détection, d'investigation et d'intervention. Les analystes bénéficient d'une visibilité approfondie sans avoir à supporter la charge liée au stockage et aux performances qu'implique la gestion de la capture intégrale des paquets à grande échelle.
Couche 4 : Attribution multicouche
Dans les environnements où les attaquants usurpent des identités, se font passer pour des services et se déplacent latéralement, l'attribution doit aller au-delà des adresses IP et de la corrélation d'événements isolés.
L'attribution multicouche Vectra AI relie en permanence les activités entre les utilisateurs, les comptes de service, les charges de travail, les hôtes et l'infrastructure en combinant le comportement réseau, le contexte d'identité et les informations sur les privilèges. Trois fonctionnalités se combinent pour rendre cela possible :
Caractéristique
Comportement de la vue globale
Disponibilité
Fonctionnalité standard incluse dans tout déploiement de Respond UX
Espace d'adresses IP
Prise en charge des espaces IP qui se chevauchent entre les déploiements enfants
Stockage des données
Non stocké dans l'instance d'ancrage — récupéré à la demande à partir des instances enfants
Communications
Cryptées et hébergées au sein de laplateforme Vectra AI
Modèle d'accès
Anchor récupère les entités prioritaires via un client API disposant du rôle « Global Analyst »
Objectif de la mise à l'échelle
Permet une évolutivité maximale au sein des entreprises internationales grâce à une interface unique
Ensemble, ces couches permettent à la plateforme déterminer avec certitude qui fait quoi, où et avec quel niveau de privilège, même lorsque des attaquants utilisent des identifiants valides et se fondent dans le trafic normal.
Conclusion
détection et réponse aux incidents n'est pas une simple décision relative à un produit, mais un ensemble de choix techniques interdépendants qui déterminent si votre équipe de sécurité est en mesure de détecter les mouvements latéraux au moment où ils se produisent, de déduire le contexte d'identité à partir des protocoles réseau, d'analyser le trafic chiffré sans déchiffrement et d'étendre la détection à des environnements distribués sans centraliser les données stockées.
Les principes fondamentaux abordés dans cette page se traduisent directement en résultats opérationnels : l'emplacement des capteurs est-ouest détermine si les mouvements latéraux sont observés ou déduits ; les décisions relatives à la capture des protocoles déterminent si les attaques par usurpation d'identité sont visibles ou invisibles ; la conception d'un pipeline parallèle détermine si l'analyse du trafic chiffré nuit à la précision de la détection ; et l'architecture Global View détermine si les déploiements distribués offrent une visibilité unifiée ou une couverture fragmentée.
Découvrez comment plateforme Vectra AI permet d'analyser le trafic réseau afin de détecter les mouvements latéraux, l'usurpation d'identité et les communications de commande et de contrôle chiffrées, en identifiant ce que les outils de périmètre et endpoint ne parviennent pas à repérer.
_tNail.jpg)
