Unsere Kunden verlassen sich auf Vectra AI , um Angriffe mit der Geschwindigkeit und dem Umfang hybrider Angreifer zu erkennen, zu untersuchen und darauf zu reagieren. Doch selbst mit fortschrittlichen Erkennungsfunktionen möchten unsere Nutzer oft die erhaltenen Warnungen und den Kontext der Erkennungen verstehen. Diese zusätzlichen Informationen werden verwendet, um die Ergebnisse zu kontextualisieren und wichtige Fragen zu beantworten, wie z. B. die Identität der beteiligten Akteure, ob die Aktivität bösartig oder legitim ist, wo die Aktivität sonst noch stattfindet und ob die Akteure an anderer Stelle fortbestehen.
Den Arbeitsablauf bei Ermittlungen verstehen: Wann und wie Vectra AI die Rettung bringt
Im Rahmen unserer laufenden UX-Forschung haben wir festgestellt, dass SOC-Teams in der Regel nachforschen, wenn sie eine Erkennung erhalten, die sie nicht vollständig verstehen - wenn Informationen fehlen oder nicht korrekt analysiert wurden. Wenn Analysten auf eine Erkennung stoßen, ist eine Untersuchung wichtig, um weitere Informationen zu sammeln, um die Indikatoren für eine Kompromittierung zu verstehen oder um herauszufinden, was der Akteur in den letzten Stunden getan hat, damit sie normales und bösartiges Verhalten erkennen und vergleichen können. Diese Informationen sind wichtig, um zu zeigen, was passiert ist, um Beweise zu sammeln und um genügend Kontext zu haben, um zu handeln.
"Unser erster Schritt besteht darin, zu verstehen, wer der Akteur ist und wie legitim die Aktivität ist.
- Anwendungsfallforschung, mehrere Nutzer antworten
Im Falle eines bösartigen Angriffs wird die Reaktion der SOC-Analysten zu einem kritischen Wettlauf mit der Zeit. Innerhalb einer kurzen Zeitspanne müssen die Analysten die Umstände schnell bewerten, die Legitimität der Aktivität feststellen, die beteiligten Akteure identifizieren und die angegriffenen Systeme isolieren.
Aus Untersuchungen und vielen ausführlichen Gesprächen mit Kunden geht hervor, dass Untersuchungen oft zeitaufwändig und komplex sind. SOC-Analysten müssen oft zwischen mehreren Tools wechseln, um wichtige Informationen zu finden und ein kohärentes Verständnis der Ereignisse zu schaffen, und sie müssen komplexe Abfragesprachen lernen, um ihre Daten abzufragen. Schnelles Handeln ist entscheidend, wenn es darum geht, auf potenzielle bösartige Aktivitäten zu reagieren. Daher ist in solchen Situationen ein einfacher Zugang zu relevanten Daten äußerst wichtig.
Aus diesem Grund hat sich Vectra AI auf den Weg gemacht, um Tools zu entwickeln, die den SOC-Analysten den Arbeitsablauf bei der Untersuchung erleichtern , indem sie nahtlos Daten aus cloud und aus Netzwerkquellen sammeln und diese auf einer einzigen, leicht zugänglichen Plattform konsolidieren - , die jederzeit eine mühelose Untersuchung ermöglicht.
Rationalisierte Ermittlungen: Einführung des Sofortzugriffs mit der Plattform Vectra AI
Um SOC-Teams bei der schnellstmöglichen Untersuchung von Mustern und potenziell bösartigem Verhalten zu unterstützen, umfasst die Vectra AI Plattform eine Reihe von vordefinierten Abfragen direkt auf der Entity-Seite. So können Analysten schnell Einblicke in die Aktivitäten eines Akteurs gewinnen und haben die wertvollsten Daten sofort zur Hand.
Instant Investigation bietet den Nutzern eine kuratierte Sammlung von Abfragen mit den relevantesten und aggregierten Daten. Diese Abfragen sind innerhalb des Bereichs einer Entität leicht zugänglich und ermöglichen einen mühelosen Vergleich zwischen den von dem Akteur ausgelösten Erkennungen und seinem typischen Verhalten, ohne dass eine neue Sprache erlernt, Zeit für die Erstellung von Abfragen aufgewendet oder nach relevanten Informationen gesucht werden muss. Auf diese Weise haben die Analysten die wichtigsten Erkenntnisse sofort zur Hand.
Diese Abfragen spiegeln das kombinierte Fachwissen unserer Experten in Bezug auf die primären Daten wider, die angesichts der verschiedenen Entdeckungen zu analysieren sind, und leiten die Benutzer dazu an, sich mit den Aktivitäten zu befassen, die für eine umfassende Untersuchung priorisiert werden sollten, um auf potenzielle Sicherheitsbedrohungen zu reagieren.
Verbessern Sie Ihre Analyse: Vectra AI stellt fortschrittliche Untersuchungstools vor
Erweiterte Untersuchungen für umfassende Einblicke
Wenn die in Instant Investigation präsentierten Daten nicht ausreichen oder wenn es Hinweise auf potenzielle bösartige Aktivitäten gibt, können Benutzer nahtlos in eine fortgeschrittenere Untersuchung eintauchen und sofort mit der Analyse der Daten beginnen, dank einer kuratierten Sammlung von Standardspalten, die von unseren Experten erstellt wurden und die wichtigsten Informationen enthalten.
Verbessertes Verständnis mit Enterprise Search
Vectra AIDie unternehmensweite Suchfunktion, die auf der Grundlage von Vectra AI-gesteuerten Attack Signal IntelligenceTM aufbaut, bereichert das Verständnis der Benutzer für die erhaltenen Warnmeldungen und fügt eine neue Ebene von Details und Kontext hinzu. Unsere Kunden können nun Vorfälle direkt in der Vectra-Benutzeroberfläche untersuchen und müssen die Plattform nicht mehr verlassen, um die gesuchten Antworten zu finden.
Flexible Dateninteraktion
Diese erweiterte Funktion bietet eine vollständige, nicht aggregierte Ansicht der Daten in einem umfassenden Format. Die Benutzer können mit den Daten leicht interagieren, indem sie die tabellarische Ansicht bearbeiten, Spalten hinzufügen, benutzerdefinierte Filter erstellen und den Zeitbereich erweitern. Mit diesen Funktionen können sie proaktiv nach weiteren sachdienlichen Informationen suchen und bei Bedarf eine intensivere Untersuchung durchführen.
Benutzerfreundliches Erstellen von Abfragen
Bei der Prüfung der Benutzerfreundlichkeit unserer neuen Untersuchungstools haben wir festgestellt, dass das Erlernen einer neuen Abfragesprache für die Datenexploration sowohl schwierig als auch zeitaufwändig ist und möglicherweise nicht den Vorlieben oder Bedürfnissen aller Kunden entspricht. In dem Wettlauf gegen die Zeit, der für die Untersuchung potenziell bösartiger Ereignisse charakteristisch ist, wird die Fähigkeit, Zeit durch die effiziente Erstellung von Abfragen zu sparen, entscheidend.
Leistungsstarke und benutzerfreundliche Abfragelösung
Advanced Investigation ist eine leistungsstarke, maßgeschneiderte Lösung für die Unternehmenssuche, die Analysten die nötige Flexibilität und Anleitung bietet, um gründliche Untersuchungen durchzuführen, ohne eine weitere Abfragesprache erlernen zu müssen.
Durch die Implementierung dieses neuen Untersuchungs-Workflows und die Einführung eines benutzerfreundlichen Query Builders versetzt die Vetra AI Platform Analysten aller Ebenen - von Junior bis Senior - in die Lage, Untersuchungen mit verbesserter Effizienz und Effektivität durchzuführen.
Vereinfachte Datenexploration für alle Qualifikationsniveaus
Beim Testen der Funktion stellten wir fest, dass sie sich als außerordentlich vorteilhaft für Nachwuchsanalysten erwies, die möglicherweise keine fortgeschrittenen Abfragesprachen beherrschen. Wir haben festgestellt, dass diese Personen diese Methode der Abfrageerstellung sowohl als benutzerfreundlich als auch als äußerst effektiv empfanden.
Jetzt kann jeder, unabhängig von seinem Kenntnisstand, in die Daten eindringen und eine Abfrage erstellen, indem er einfach ein paar Filter hinzufügt. Dieser rationalisierte Prozess ermöglicht es allen Analysten, ihre Organisationen besser vor Cyber-Bedrohungen zu schützen.
Konzentration auf relevante Daten
Aus dem Feedback unserer Kunden geht hervor, dass SOC-Analysten vor der Herausforderung stehen, mit einer riesigen Menge an Rohdaten umzugehen. Vectra AI stellt sicher, dass SOC-Teams nur mit den relevantesten Feldern interagieren, so dass sie schnell die Informationen finden können, die für ihren Untersuchungsablauf wichtig sind.
Verknüpfung der Punkte über Angriffsflächen hinweg
Um Kunden dabei zu helfen, Muster im Verhalten von Akteuren in ihrer hybriden cloud Umgebung zu erkennen, erweitert die Vectra AI Plattform die Daten, indem sie die Aktivitäten der Akteure über verschiedene Angriffsflächen hinweg verbindet. Dieser Ansatz ermöglicht ein umfassendes Verständnis potenziell bedrohlicher Bewegungen, da sie mit verschiedenen Datensätzen interagieren.
Advanced Investigation" ist leicht zu lesen, so dass man schnell feststellen kann, was vor sich geht, und weitere Abfragen durchführen kann. Das ist sehr nützlich." - MSSP-Kunde
Erfahren Sie, wie Sie Ihr SOC mit Instant Investigations ausstatten können, indem Sie den technischen Überblick lesen oder unsere selbstgeführte Plattform-Tour ausprobieren.