Die meisten SOCs verfügen bereits über die wesentlichen Komponenten.
- Ein SIEM zur Zentralisierung von Protokollen.
- Eine SOAR-Lösung zur Automatisierung von Arbeitsabläufen.
- Eine Handvoll Tools, die Daten in beide Systeme einspeisen.
Trotz all dieser Tools gibt es bei Sicherheitsuntersuchungen nach wie vor ein Problem. Dieses Problem tritt zutage, wenn man versucht, diese Tools bei einer Untersuchung tatsächlich einzusetzen.
Sie erhalten eine Benachrichtigung. Sie starten ein Playbook. Vielleicht ergänzen Sie es noch um ein paar Abfragen. Doch wenn es darum geht, zu klären, was tatsächlich passiert ist, sind die dafür erforderlichen Untersuchungsdaten nach wie vor über verschiedene Systeme verstreut. Nicht, weil die Tools nicht funktionieren, sondern weil die ihnen zugrunde liegenden Daten nicht miteinander verknüpft sind und in den meisten Fällen nicht aussagekräftig genug sind, um Entscheidungen zu treffen.
Genau diese Lücke Vectra AI schließen.
Wo Vectra AI
Vectra AI Ihr SIEM oder Ihr SOAR Vectra AI ersetzen. Wir gehen vielmehr davon aus, dass Sie diese Lösungen bereits nutzen und dass Ihr Team dort den Großteil seiner Zeit verbringen wird.
Vectra AI etwas, Vectra AI diese Systeme in der Regel nicht Vectra AI : ein hochpräzises, verhaltensbasiertes Signal, das bereits über Identitäten, Netzwerke, cloud und SaaS hinweg korreliert ist.
Anstatt einzelne Warnmeldungen an Ihr SIEM-System zu übermitteln und zu erwarten, dass dieses einen Angriff im Nachhinein rekonstruiert, Vectra AI ein Signal, das bereits widerspiegelt, wie sich ein Angreifer in der Umgebung bewegt. Allein dadurch wird ein Großteil der manuellen Korrelationsarbeit eingespart.
Aber das Signal ist nur ein Teil davon. Irgendwann muss man das Gesehene noch überprüfen.
Das Teil, das meistens kaputtgeht: Untersuchung
Selbst in gut strukturierten Umgebungen scheitern Untersuchungen meist an derselben Stelle. Man erhält eine Warnmeldung. Dann hat man etwas Kontext. Aber die eigentlichen Sicherheitsnachweise sind nach wie vor verstreut.
Also wechselt man zu Protokolldateien, einem anderen Tool oder einem anderen Datensatz. Genau da vergeht die Zeit. Nicht bei der Analyse, sondern beim Versuch, die für die Analyse benötigten Daten zusammenzustellen.
Nachdem wir die Hindernisse untersucht haben (das Wortspiel ist beabsichtigt), denen Sicherheitsfachleute in ihren Arbeitsabläufen begegnen, und eine Lösung entwickelt haben, die für das SOC wirklich funktioniert, Vectra AI mit unserer Investigate-API die Lücken bei der Datenzusammenführung.
Was die Investigate-API Vectra AItatsächlich leistet
Die Investigate-API bietet Teams direkten Zugriff auf die Sicherheitsdaten der zugrunde liegenden Telemetrie, Vectra AI bereits Vectra AI – darunter Netzwerkaktivitäten, Identitätsereignisse, DNS-Daten, cloud und alle weiteren Informationen, die der Erkennung zugrunde liegen. Diese Daten werden über eine Abfrage-Schnittstelle bereitgestellt, auf die Sie von überall aus zugreifen können.
Anstatt also Ihren Arbeitsablauf zu unterbrechen, um nach Daten zu suchen, können Sie diese direkt in den Arbeitsablauf einbinden. Ein SOAR-Playbook kann beispielsweise:
- eine Vectra AI durchführen
- die genaue Aktivität dahinter abfragen
- und eine Entscheidung auf der Grundlage tatsächlicher Beweise treffen, nicht nur aufgrund von Metadaten aus Warnmeldungen
Das verändert die Art und Weise, wie API-gestützte Untersuchungen durchgeführt werden, grundlegend, da die Beweissicherung nicht mehr manuell erfolgt.
Die Investigate-API Vectra AIstellt derzeit 28 Tabellen aus 5 Datenquellen bereit:
So sieht das in der Praxis aus: 3 Untersuchungsszenarien
1. Überprüfung einer Erkennung anhand von Netzwerkdaten
Sie erhalten eine Erkennung von Command-and-Control-Aktivitäten auf einem Host. Normalerweise würden Sie in Ihr SIEM-System wechseln, das Zeitfenster neu definieren und versuchen, passende Sitzungen zu finden.
Mit der Investigate-API können Sie diesen Host und dieses Zeitfenster direkt abfragen und alle Sitzungsdaten – einschließlich IP-Adressen, Ports, Datenvolumen und Verbindungsstatus – abrufen, indem Sie einen JSON-Textkörper direkt in einen beliebigen API-Client kopieren und einfügen. Weitere Informationen finden Sie hier und hier.
Innerhalb von Sekunden wissen Sie genau, was dieser Host während des Erfassungszeitraums getan hat.
2. Auf der Suche nach DNS-basierter Datenexfiltration
Sie möchten auf DNS-Tunneling prüfen. Anstatt sich allein auf vorgefertigte Erkennungsregeln zu verlassen, können Sie TXT-Einträge und lange Abfragezeichenfolgen abfragen und diese dann nach Länge oder Häufigkeit sortieren. Kombinieren Sie dies mit dem tatsächlichen Verhalten, wie etwa ungewöhnlichen DNS-Mustern, verdächtigen Domains und Hosts, die sich untypisch verhalten, und schon betreiben Sie echte threat hunting, anstatt nur auf Warnmeldungen zu reagieren.
3. Untersuchung kompromittierter Identitäten systemübergreifend zur Erkennung von Identitätsbedrohungen
Für ein Benutzerkonto wird eine Warnmeldung ausgelöst. Nun möchten Sie wissen, was vor dem Auslösen der Warnmeldung geschehen ist und welche Identitäts- und SaaS-Systeme davon betroffen waren. Mithilfe der Investigate-API Vectra AIkönnen Sie parallele Abfragen durchführen, beispielsweise zu Entra-Anmeldeaktivitäten (Fehlversuche, risikobehaftete Sitzungen) und M365-Aktivitäten (E-Mail-Regeln, Zugriffsänderungen).
Zusammengenommen ergibt sich daraus ein klares Bild davon, was passiert ist: fehlgeschlagene Anmeldeversuche → neue Posteingangsregel → mögliche Kompromittierung.
Sie mussten nicht zwischen drei Tools hin- und herwechseln, um ans Ziel zu kommen. Sie haben die Daten direkt über die Investigate-API Vectra AIabgefragt.
Es geht hier nicht darum, Sie auf eine andere Benutzeroberfläche umzustellen
Da stellt sich natürlich die Frage: Wenn man die Untersuchungen über die API durchführen kann, wozu dann überhaupt die Vectra AI nutzen?
Die ehrliche Antwort lautet: Du wirst es wahrscheinlich anders nutzen.
Sicherheitsfachleute arbeiten bereits bevorzugt innerhalb ihrer SIEM- oder SOAR-Lösung. Daran ändert sich nichts. Die Investigate-API versucht nicht, Sie aus diesem Umfeld herauszuholen. Ganz im Gegenteil: Sie ermöglicht es, dass Vectra AI dorthin Vectra AI , wo Sie bereits arbeiten.
Anstatt zur Untersuchung zur Vectra AI zu wechseln, bleiben Sie in Ihrem Arbeitsablauf und binden die Daten Vectra AIdirekt darin ein. Dadurch wird die Rolle Vectra AIin Ihrem Sicherheits-Stack und -Programm erweitert. Nun können bei jeder Untersuchung die Daten Vectra AIgenutzt werden, um ein besseres Signal für Sicherheitsuntersuchungen zu liefern.
Die Quintessenz
SIEM- und SOAR-Lösungen eignen sich gut für die Verwaltung von Arbeitsabläufen, sind jedoch nicht in der Lage, eigenständig koordinierte, qualitativ hochwertige Sicherheitssignale zu generieren oder zu validieren. Vectra AI diese Lücke Vectra AI und möchte sie schließen – zunächst durch die Bereitstellung von Signalen, die das tatsächliche Verhalten von Angreifern widerspiegeln, und anschließend durch Technologien, die den Zugriff auf die zugrunde liegenden Beweise innerhalb der Sicherheits-Workflows ermöglichen, auf die sich Ihr Team bereits stützt.
Das wirkt sich nicht nur auf die Untersuchungen aus. Wenn Sicherheitsteams Zugang zu umfassenderen, verhaltensbasierten Signalen und direkten Beweisen haben, treffen sie schnellere und sicherere Entscheidungen. Die Untersuchungen werden kürzer und präziser, da die Korrelation von Telemetriedaten nicht mehr davon abhängt, dass Analysten den Kontext manuell über isolierte Tools hinweg rekonstruieren müssen. Sicherheitslücken lassen sich leichter identifizieren und priorisieren. Die Automatisierung wird zuverlässiger, da die Workflows auf validierten Daten statt auf fragmentierten Warnmeldungen basieren.
Das Ergebnis ist ein effizienteres und widerstandsfähigeres SOC: geringerer Betriebsaufwand, verkürzte Verweildauer von Angreifern, bessere Transparenz in hybriden Umgebungen und bessere Sicherheitsergebnisse, die auf Fakten statt auf Annahmen beruhen.
Behalten Sie Ihre bestehende Infrastruktur. Mit Vectra AI sorgen Sie einfach dafür, dass sie so funktioniert, wie sie soll.