Vor ein paar Monaten habe ich über die neue automatische Reaktionsfunktion der Cognito-Plattform geschrieben -Vectra Account Lockdown. Durch die Integration mit einem Identifizierungsanbieter (IdP) wie Active Directory und die Nutzung unserer erstklassigen KI-Erkennungsfunktionen kann Account Lockdown automatisch Netzwerkkonten deaktivieren, die verdächtige Aktivitäten aufweisen.
Analysten haben auch die Möglichkeit, Konten während einer Sicherheitsuntersuchung manuell zu deaktivieren. Die Deaktivierung eines Kontos kann einen aktiven Angriff erheblich verlangsamen, indem der Zugriff auf zusätzliche Ressourcen eingeschränkt wird. Dies schränkt den Aktionsradius des Angriffs ein und gibt Ihrem SOC mehr Zeit, den Angriff zu untersuchen und zu stoppen. Und obwohl dies von unseren Kunden unglaublich gut aufgenommen wurde, vor allem, wenn es so konfiguriert ist, dass es automatisch auf der Grundlage von hochgradig zuverlässigen Schwellenwerten ausgelöst wird - nämlich Bedrohung, Gewissheit und beobachtete Berechtigung - wussten wir, dass unsere Arbeit noch nicht getan war.
Für eine sofortige und präzise Durchsetzung müssen Sie sich direkt an die Quelle eines Angriffs begeben und die endpoint selbst abriegeln.
Unsere Integration mit Microsoft Defender für Endpoint macht genau das. Zusätzlich zur Anreicherung von Detect-Hosts mit kontextbezogenen endpoint -Daten können Sicherheitsanalysten jetzt Host Lockdown auf Microsoft Defender ATP-Hosts direkt über die Cognito Detect UI durchführen. Wie Vectra Account Lockdown kann Host Lockdown manuell von einem Analysten per Mausklick ausgeführt werden oder für eine automatische Durchsetzung anhand von Schwellenwerten für Host-Bedrohungen, Sicherheit und beobachtete Berechtigungen konfiguriert werden.
Bei automatisierten aktiven Durchsetzungsmaßnahmen müssen Unternehmen stets das Risiko abwägen. Auf der einen Seite kann eine übereifrige Durchsetzung von Warnmeldungen zu weitreichenden Ausfällen führen, den Betrieb stören und in einigen Fällen mehr Schaden anrichten als echte Angriffe. Auf der anderen Seite kann ein Nichthandeln dazu führen, dass Angreifer in Ihrer Netzwerkumgebung stärker Fuß fassen.
Mit Vectra Host Lockdown kombinieren wir unsere branchenweit besten verhaltensbasierten KI-Erkennungen mit den präzisen Durchsetzungsmaßnahmen, die Sie von Microsoft Defender für Endpoint erhalten. So erhalten Sie das Beste aus beiden Welten. Auf diese Weise können Sie sicherstellen, dass die Automatisierung so wenig Störungen wie möglich verursacht, und haben gleichzeitig die Gewissheit, dass Angreifer auf der Stelle gestoppt werden.
Erfahren Sie mehr über Host Lockdown und über unsere Integration mit Microsoft Defender für Endpoint. Ich habe dort auch ein Video erstellt, das zeigt, wie unsere Produkte zusammenarbeiten. Und wie immer, zögern Sie nicht, uns zu kontaktieren, um mehr zu erfahren oder eine Demo zu vereinbaren.