Neue erweiterte Erkennungs- und Reaktionsfähigkeiten (XDR), die kürzlich zur Vectra AI Plattform hinzugefügt wurden

14. März 2024
Mark Wojtasiak
VP für Produktforschung und Strategie
Neue erweiterte Erkennungs- und Reaktionsfähigkeiten (XDR), die kürzlich zur Vectra AI Plattform hinzugefügt wurden

Vor sechs Monaten haben wir die Vectra AI Plattform mit dem Versprechen gestartet, unseren Kunden das integrierte Signal zu liefern, das ihre XDR antreibt. Sechs Monate nach dem Start unserer XDR-Plattform (Extended Detection and Response) haben wir mit Hilfe unserer Kunden, die uns immer wieder zu innovativen Lösungen drängen, erstaunliche Fortschritte gemacht...

  • Stärkung der Widerstandsfähigkeit gegenüber den sich ständig weiterentwickelnden und immer ausgefeilteren hybriden Angriffen.
  • Ihre Sicherheitsabläufe mit KI und ML zu modernisieren, ohne komplett neu beginnen zu müssen.  
  • Bewegen Sie sich mit der Geschwindigkeit und dem Ausmaß der Angreifer und stoppen Sie sie früher in ihrem Vormarsch.  

Das Herzstück unserer XDR-Plattform: Abdeckung, Klarheit und Kontrolle

Bei der Abdeckung geht es um die Integration von Angriffssignalen über die gesamte hybride Angriffsoberfläche, wobei sowohl native KI-gesteuerte Erkennungen für Rechenzentren und cloud Netzwerke (NDR), Identität (ITDR), öffentliche cloud und SaaS (CDR) genutzt werden. Im Jahr 2024 werden wir Erkennungen von Drittanbietern für Endpunkte (EDR), E-Mail, Bedrohungsdaten und Signaturen (Suricata) hinzufügen.  

Klarheit kommt von unserer KI-gesteuerten Attack Signal IntelligenceTM. Attack Signal Intelligence nutzt eine cloud-basierte KI-Priorisierungs-Engine, um zwei einfache Fragen zu beantworten: Ist dies real und ist es mir wichtig? Die Kombination aus Angriffsprofil (ist der Angriff echt) und Wichtigkeit der Entität (ist er mir wichtig) ergibt einen sogenannten Angriffs-Dringlichkeitswert. Je höher der Dringlichkeitswert ist, desto wichtiger ist es für den SOC-Analysten, dem nachzugehen.  

Bei Control geht es darum, Sicherheitsanalysten in die Lage zu versetzen, einen Angriff so früh und schnell wie möglich zu untersuchen und darauf zu reagieren. Es geht darum, Analysten in einer Konsole den gesamten Kontext eines hybriden Angriffs zur Verfügung zu stellen und ihnen flexible Reaktionsmaßnahmen zu ermöglichen, die manuell oder automatisch in jedem Stadium des Angriffsverlaufs ausgeführt werden können.

Unsere Produkt- und Entwicklungsteams haben in den letzten sechs Monaten fleißig an der Verbesserung der Plattform und der Einführung neuer Funktionen gearbeitet, um unseren Kunden und den Pfeilern unserer Plattform treu zu bleiben. Hier ist ein kleiner Einblick:

Wichtige Ankündigungen:

  • Vectra AI Einführung des branchenweit ersten globalen, rund um die Uhr verfügbaren MXDR-Dienstes zur Abwehr hybrider Angriffe. Mit Vectra MXDR können Unternehmen jeden Aspekt der erweiterten Bedrohungserkennung und -abwehr in einem einzigen Service konsolidieren und so den Bedarf an mehreren Anbietern eliminieren. Durch die Integration mit den branchenführenden EDR-Plattformen, darunter CrowdStrike, SentinelOne und Microsoft Defender, können die MXDR-Analysten von Vectra AIden Zustand eines gesamten Sicherheitssystems überwachen und direkt Maßnahmen ergreifen, unabhängig davon, wo das Signal erzeugt wird. Erfahren Sie mehr.
  • Vectra AI und Gigamon kündigen neue OEM-Partnerschaft an, um intelligente erweiterte Erkennung und Reaktion (XDR) in hybriden cloud Umgebungen zu liefern. Vectra AI kombiniert die Leistung seiner KI-gesteuerten Attack Signal Intelligence mit den tiefgreifenden Beobachtungsfähigkeiten der Gigamon GigaVUE Cloud Suite, um effektiv Bedrohungen zu erkennen und darauf zu reagieren, die zuvor nicht gesehen wurden, indem cloud netzwerkbasierte Intelligenz und Erkenntnisse nutzt. Erfahren Sie mehr.

Erfassungsbereich und Signalklarheit

Unsere Grundüberzeugung: Aufbau und Integration einer umfassenden Erkennungsabdeckung über die gesamte hybride Angriffsfläche, um das genaueste Signal für hybride Angriffe in kürzester Zeit und in großem Umfang zu liefern. Im Folgenden finden Sie eine Übersicht über die in den letzten sechs Monaten neu hinzugefügten und verbesserten Erkennungsfunktionen, die unser XDR-Signal weiter verbessern.  

  • Neuer Erkennungsumfang - Kerberoasting: Gezielte Weak Cipher Response: Zusätzlich zu den beiden bestehenden Kerberoasting Erkennungen für Weak Cipher Downgrade und SPN Sweep hat Vectra AI eine neue Kerberoasting Erkennung für den Fall eingeführt, dass ein Angreifer versucht, einen stillen Kerberoasting Angriff mit einem einzigen Weak Cipher Versuch gegen einen hoch privilegierten Dienst durchzuführen. Darüber hinaus haben wir die Möglichkeit hinzugefügt, Triage-Regeln für diese Erkennung zu konfigurieren.
  • Neue Erkennungsabdeckung - Info: Single Weak Cipher Response:Diese Erkennung ähnelt der neuen Kerberoasting Targeted Weak Cipher Response-Erkennung, ist jedoch so konzipiert, dass sie erkennt, wenn das Ziel Kerberoasting nicht privilegiert ist und daher eine zusätzliche Überprüfung durch einen Analysten in Betracht gezogen werden sollte, da es sich je nach Umgebung um gutartige Aktivitäten handeln kann. Darüber hinaus haben wir die Möglichkeit hinzugefügt, Triage-Regeln für diese Erkennung zu konfigurieren.
  • Neue Erkennung für AWS Relationale Datenbanken (RDS): Mit dieser Erweiterung deckt Vectra AI den Missbrauch von relationalen Datenbanken in AWS ab, in denen sensible Informationen gespeichert sind. Die AWS Suspect Public RDS Change-Erkennung ist die erste in einer Reihe von Erkennungen rund um RDS und deckt Methoden ab, die ein Angreifer verwenden kann, um Backups (Snapshots) von RDS-Datenbanken zu exfiltrieren. Eine frühzeitige Erkennung dieses Verhaltens kann die Exfiltration eindämmen und die Phasen eines AWS cloud -Angriffs beeinflussen.
  • Neuer Erkennungsumfang zur Identifizierung von bösartigem AWS Traffic Mirroring: Vectra AI hat den Erkennungsumfang erweitert, um bösartiges Verhalten bei der Einrichtung eines Traffic Mirroring zum Abfangen sensibler Informationen wie Anmeldeinformationen aufzudecken. Die neue Erkennung von AWS Suspect Traffic Mirror Creation deckt Methoden ab, die ein Angreifer nutzen kann, um eine EC2-Instanz als Ziel für gespiegelten Datenverkehr zu erstellen. Das Aufdecken von Verhaltensweisen im Zusammenhang mit der Spiegelung von Datenverkehr innerhalb von VPCs, in denen der Datenverkehr normalerweise unverschlüsselt ist, ermöglicht es SecOps, Angreifer daran zu hindern, ihr Ziel zu erreichen.
  • Neue Abdeckung für Amazon Machine Images (AMI ): Mit dieser Verbesserung fügt Vectra AI eine Abdeckung hinzu, um die bösartige Exfiltration von Amazon Machine Images (AMIs) zu verhindern. Diese Images sind Vorlagen, die wertvolle Informationen enthalten und zum Starten von EC2-Instanzen verwendet werden können, um sensible Daten zu extrahieren. Die neue AWS Suspect Public AMI Change-Erkennung deckt Methoden ab, die ein Angreifer zur Exfiltration dieser AMIs verwenden könnte. Eine frühzeitige Erkennung dieses Verhaltens kann die Exfiltration eindämmen und die Phasen eines AWS cloud -Angriffs beeinflussen.
  • Neue Erkennungsabdeckung für AWS Organizations: AWS Organizations ist ein Compliance-Service, der Leitplanken und eine zentrale Verwaltung für alle Mitgliedskonten innerhalb einer Organisation ermöglicht. Eine gängige Taktik von Angreifern besteht darin, ein kompromittiertes Konto aus der zugehörigen Organisation zu entfernen, um diese Compliance-Leitplanken zu umgehen. Die neue AWS Suspect Organization Exit-Erkennung deckt dieses Verhalten auf und ermöglicht es SecOps, Versuche zur Umgehung der Schutzmaßnahmen zu vereiteln.
  • Verbesserte Triage nach Kontogruppen: Um unsere Kunden bei der effektiven Verwaltung ihres Erkennungsaufkommens zu unterstützen, haben wir unsere KI-gesteuerte Triage-Funktion um die Unterstützung von Triage nach Kontengruppen erweitert. Kunden können nun Kontogruppen festlegen und die Erkennungen automatisch nach jedem Mitglied dieser Gruppen sortieren, was die Arbeit der Analysten vereinfacht. Wenn Sie beispielsweise eine Kontengruppe für Ihre IT-Administratoren erstellen und das erwartete Administratorverhalten festlegen, können Sie das Hinzufügen neuer IT-Administratoren über diese Kontengruppen einfach verwalten.
  • Erweiterte Erkennungsabdeckung - M365: Die Erkennung von M365 Disabling of Security Tools und M365 Risky Exchange Operations wurde erweitert, um ein breiteres Spektrum an Angreiferaktivitäten abzudecken. Diese Verbesserungen umfassen Techniken wie die Erkennung von Lizenz-Downgrades, PowerShell-Zugriff, E-Mail-Weiterleitungsregeln und die Identifizierung von Benutzern.
  • Verbesserte Erkennungsabdeckung für Techniken zur Privilegieneskalation: Es wurde eine Abdeckung für neuartige Methoden der Privilegieneskalation hinzugefügt. Insbesondere wurden die Techniken, die von der AWS Suspect Privilege Escalation-Erkennung abgedeckt werden, erweitert, um Methoden einzubeziehen, mit denen Angreifer die Berechtigungen nicht nur über Richtlinien, sondern auch über AWS-Services wie EC2-Instanzen erweitern. Diese Verbesserungen ermöglichen die Erkennung von Methoden, die in Angriffstools wie CloudGoat gefunden wurden.
  • Verbesserte Erkennungsabdeckung für Techniken zur Umgehung von Logging Defense: Der Erfassungsbereich für Angreifermethoden, die eine Beeinträchtigung der Protokollierung beinhalten, wurde erweitert. Die AWS CloudTrail Logging Disabled-Erkennung wurde verbessert, um Angreifer zu identifizieren, die entweder Event Selectors oder S3 Lifecycle-Regeln verwenden, um die Protokollierung zu beeinträchtigen. Dies ist eine Technik, die von beliebten Angriffs-Tools wie Stratus Red Team verwendet wird und es einem Angreifer ermöglicht, die Erkennung zu vermeiden, während er sich in Richtung Impact-Status bewegt.
  • Verbesserte Erkennungsabdeckung für Admin Persistence: Der Erfassungsbereich für Angreifer, die Microsoft Azure AD-Tenants Admin-Persistenz hinzufügen, wurde erweitert. Insbesondere wurden Microsoft Azure AD Admin Account Creation, Azure AD Newly Created Admin Account und Azure AD Redundant Access erweitert, um bei Konten zu warnen, die mit zusätzlichen Arten von Admin-Berechtigungen erstellt oder gewährt werden.
  • Verbesserte Erkennungsabdeckung für Microsoft Azure AD: Die Zeit bis zur Erkennung wurde für Echtzeit-Microsoft Azure AD-Warnungen im Zusammenhang mit dem ersten Zugriff eines Angreifers auf ein Microsoft Azure AD-Konto weiter verkürzt. Insbesondere die Algorithmusverbesserungen bei den Erkennungen von Azure AD Suspicious Sign-on, Azure AD Suspicious Sign-on MFA Failed und Azure AD compromised Access haben eine schnellere Meldung von Bedrohungen ermöglicht, ohne die Abdeckung zu beeinträchtigen.

Untersuchung und Reaktionskontrolle

  • Verbesserte SIEM/SOAR-Integration für Vectra Match Suricata-Signaturen: Wenn die Option "Include Enhanced Details" für Vectra Match Alarme konfiguriert ist, fügen wir jetzt zusätzliche Vectra AI proprietäre Informationen in die an SIEM/SOAR gesendeten Vectra Match Alarme ein. Zu diesen Feldern gehören wertvolle HostID-Felder und Sensorinformationen, die in den herkömmlichen Vectra AI Erkennungen und Metadaten enthalten sind und für die einfachere Durchführung von Untersuchungsworkflows nützlich sind. Wenn Sie diese Anreicherung deaktivieren möchten, können Sie dies tun, indem Sie die Option "Included Enhanced Detail" unter der Syslog-Konfiguration für Ihr jeweiliges Ziel deaktivieren.
  • Verbesserte Sofortuntersuchungen für hybride Angriffe: Diese Verbesserung bietet eine umfassendere und detailliertere Sicht auf hybride Angriffe durch Hinzufügen von Metadaten für RPC-Aufrufe, SMB-Zugriff und Dienstaktivitäten für Netzwerkkonten. In Situationen, in denen derselbe Bedrohungsakteur sowohl Microsoft Azure AD- als auch Microsoft 365-Konten besitzt, verknüpfen wir diese Konten und stellen Metadaten für domänenübergreifende Aktivitäten bereit.
  • Erweiterte Metadatenaufbewahrung für erweiterte Ermittlungen: Mit dieser Verbesserung haben Benutzer die Flexibilität, Suchzeiträume von bis zu 14 oder 30 Tagen auszuwählen, je nach ihrem Abonnementplan. Es ist wichtig zu beachten, dass diese verlängerte Aufbewahrungsfrist für Metadaten einheitlich für alle aktivierten Datenquellen in einem Tenant gilt, einschließlich Netzwerk, Azure AD und M365 und andere. Der verlängerte Zeitraum für die Metadatensuche gilt ausschließlich für Advanced Investigation und nicht für Instant Investigation.
  • Multi-AD-Unterstützung hinzugefügt: Wir haben Unterstützung für die Integration mit mehr als einem Active Directory-Server für die Anreicherung von Host- und Kontokontext und die Sperrung von Konten im Active Directory hinzugefügt. Host- und Kontodetails zeigen jetzt Kontext aus mehreren ADs an und das Sperren eines Kontos deaktiviert dieses Konto in mehreren ADs.
  • Benutzerdefinierte Konfigurationsoptionen für Active Directory hinzugefügt: In Fällen, in denen das Active-Directory-Attribut UserAccountControl nicht zur Verfügung steht, um eine Kontosperrung durchzuführen, haben Vectra AI -Administratoren jetzt die Möglichkeit, das Attribut AccountExpires zum Sperren von Netzwerkkonten zu verwenden. Sie haben auch die Möglichkeit, das Attribut Info zu verwenden, um zusätzlichen Kontext, wie z. B. die Vorfallsnummer, an Ihr Active Directory zu senden, wenn Sie eine Active Directory-Sperre für ein Konto durchführen.

Weitere Informationen über die Plattform Vectra AI finden Sie in diesen Ressourcen:

Vectra AI Plattform-Webseite

Vectra AI Bahnsteig-Tour

Häufig gestellte Fragen