Vectra CDR pour AWS avec Amazon GuardDuty

Principaux défis

• Qualité des alertes : Les outils natifs s'appuient sur des alertes fondamentales qui exploitent les renseignements sur les menaces et de simples anomalies de base. Cela conduit souvent à un volume d'alertes important, à une lassitude des alertes et, par conséquent, à des menaces négligées. Les équipes SOC ont besoin d'une solution qui fasse apparaître les comportements des attaquants avancés avec une grande fidélité et peu de bruit.
• Manque de capacités d'investigation avancées : Les enquêtes sur les menaces mises en évidence par les outils natifs impliquent souvent de naviguer dans de nombreux services pour confirmer la véracité des alertes. Par exemple, Amazon GuardDuty attribue toutes les alertes à la dernière série d'informations d'identification temporaires (rôle supposé) utilisée pour effectuer l'action. Pour enquêter sur ces alertes, les analystes doivent manuellement retracer les actions à travers les chaînes d'identifiants temporaires jusqu'à l'acteur original. Lors d'un incident réellement positif, les équipes SOC ne peuvent pas consacrer des ressources et un temps précieux à la corrélation manuelle des incidents de menace avant de décider de la marche à suivre.
• Champ d'application cloisonné : Les outils natifs ont leurs limites et opèrent souvent dans la surface cloisonnée qu'ils visent à protéger. Amazon GuardDuty ne fonctionne pas au niveau régional, ce qui entraîne une fragmentation des métadonnées de sécurité. Les attaquants ne respectent pas ces limites et utilisent tous les moyens nécessaires pour atteindre leurs objectifs. Avec les déploiements hybrides cloud d'aujourd'hui, qui englobent des centres de données, des applications SaaS et des environnements multicloud, les outils natifs manquent de visibilité sur les parties critiques de l'infrastructure d'une organisation.
• Complexité opérationnelle accrue : La croissance rapide des services de sécurité AWS a entraîné un risque de surveillance et une complexité dans la gestion de la pile de sécurité d'une équipe SOC. En outre, la disparité des prix de ces services peut être difficile à gérer et conduit souvent à des factures élevées inattendues.