Die heutige Herausforderung beim Aufbau einer erstklassigen SOC-Funktion
Der Aufbau einer erstklassigen Sicherheitsfunktion ist eine Herausforderung und erfordert eine ständige Feinabstimmung. Die Prozesse und Reaktionsrunbooks, die gestern noch funktioniert haben, können heute zu unnötigen Reibungsverlusten und Verzögerungen bei der Reaktion auf Vorfälle (Incident Response, IR) führen. Da sich die Angriffsflächen von Tag zu Tag ändern, kann es sich überwältigend anfühlen, über Wasser zu bleiben. Für die meisten ist die proaktive Feinabstimmung von Abläufen und Erkennungen nur eine weitere Priorität in einer langen Liste von "Dingen, die zu tun sind" und fällt in der Regel hinter der alarmierten Brandbekämpfung zurück.
SOC-Teams sind widerstandsfähig und selbst angesichts all dieser Hürden und zahlloser Warnungen halten sie sich selbst in der Verantwortung, ihre Funktionen voranzutreiben und die Sicherheitsprozesse zu optimieren. Um Teams dabei zu unterstützen, schneller auf drohende Bedrohungen zu reagieren und auf einer proaktiven Grundlage aufzubauen, freut sich Vectra AI , einige unserer kürzlich veröffentlichten Produktfunktionen vorzustellen.
Vectra AI Produktverbesserungen der Plattform
Durch den Einsatz eines facettenreichen Ansatzes zur Bedrohungserkennung, der sich darauf konzentriert, die im Heuhaufen versteckten Nadeln zu finden, hilft die neueste Reihe von Erkennungen dabei, blinde Flecken und Bedrohungen für Angreifer mit hoher Effizienz und Kontext aufzudecken. Im Folgenden sind einige Beispiele aufgeführt, weitere Informationen finden Sie in unseren Versionshinweisen (8.1 und 8.2).
- Neue Erkennungsabdeckung für Angreifer, die Entra ID/Azure AD-Persistenz hinzufügen: Warnt Analysten, wenn Angreifer nach einer Identitätskompromittierung versuchen, ein Gerät zu registrieren oder sich von ungewöhnlichen Standorten aus zu authentifizieren. Dies, zusammen mit einem verdächtigen Anmeldeereignis, wird schnell für die Überprüfung durch Analysten priorisiert.
- Verbesserte Abdeckung für Berechtigungsausweitungstechniken in AWS: Dazu gehört eine neue Logik, die Angreifertaktiken einbezieht, die zur Eskalation von Berechtigungen nicht nur über Richtlinien, sondern auch über native AWS-Services wie EC2-Instances verwendet werden. Diese Verbesserungen ermöglichen Erkennungsmethoden, die häufig in Angriffstools wie CloudGoat verwendet werden.
Vectra AI Auto Lockdown für Active Directory (AD)
Die Möglichkeit, Reaktionsfunktionen automatisch in bestehende Betriebsabläufe und Playbooks zu integrieren, ermöglicht es Analysten und Respondern, so schnell wie möglich auf Bedrohungen zu reagieren. Mit der automatischen Sperrung für Active Directory (AD) haben Teams die Möglichkeit, ein Konto basierend auf der Dringlichkeitsbewertung der Warnung und der Wichtigkeit der Entität proaktiv zu sperren. Dieser Ansatz mit doppelter Konfiguration stellt sicher, dass das Konto automatisch in einen Sperrzustand wechselt, wenn eine Entität vordefinierte Schwellenwerte überschreitet (für eine festgelegte, vom Benutzer konfigurierte Dauer). Diese Sperrzeit gibt den Einsatzkräften Zeit, gründliche Untersuchungen durchzuführen und angemessen zu reagieren. Zu den Anpassungsoptionen gehören konfigurierbare Schwellenwerte für die Dringlichkeitsbewertung und die Wichtigkeit von Entitäten sowie die Dauer der Sperrung. Durch diese benutzerdefinierte Automatisierung können Teams das Zeitfenster für Angreifer erheblich verkürzen.
Optimierte Benutzerverwaltung auf der Respond UX
Systemadministratoren auf der Vectra AI Plattform können jetzt ganz einfach die auf ihrem System konfigurierten Benutzer und zugewiesenen Rollen sehen und darauf zugreifen, wodurch höchste Genauigkeit bei der Bereitstellung von Benutzern und der Überprüfung des Systemzugriffs gewährleistet wird - alles innerhalb derselben Benutzeroberfläche. Diese Funktionen umfassen:
- Benutzerverwaltung: Hinzufügen neuer Benutzer, Verwaltung des Zugriffs auf Benutzerrollen, Löschen von Benutzern, Anzeige der Liste der Rollen in Verbindung mit Benutzernamen und Zeitstempeln für die letzten Anmeldungen.
- Rollenverwaltung: Umbenennen von Rollen, Hinzufügen und Entfernen von Berechtigungen, Anzeige der Anzahl der mit jeder Rolle verbundenen Benutzer.
Aber halt! Es gibt noch mehr!
Vectra AI wird in Kürze die Möglichkeit bieten, Benutzer über die RUX v3-API programmatisch aufzulisten, zu erstellen, zu ändern und zu löschen. Dies wird für die Aufnahme einer großen Anzahl neuer Benutzer, die Anpassung an Personalveränderungen und die schnelle Inbetriebnahme neuer Bereitstellungen von entscheidender Bedeutung sein. Bitte bleiben Sie dran für Updates mit Details zu einem neuen v3.4 API-Leitfaden, einer öffentlichen Postman-Bibliothek und Details zu den neuen Endpunkten.
Diese Funktionen sind eine kurze Momentaufnahme des Engagements unseres Teams für die kontinuierliche Bereitstellung von Funktionen, die Sie auf Ihrem Weg zur Exzellenz des Sicherheitsbetriebs unterstützen. Wir empfehlen Ihnen, unsere Versionshinweise zu lesen und sich mit Ihren Ideen zur Verbesserung unseres Produkts an uns zu wenden.
Teams, die mehr über die Vectra AI Plattform erfahren möchten, können sich für eine Demo anmelden und sehen , wie wir Ihnen dabei helfen können, echte Angriffe in wenigen Minuten zu stoppen.