Laut dem Microsoft Digital Defense Report 2024 sind Microsoft-Kunden täglich über 600 Millionen Angriffen von Cyberkriminellen und Nationalstaaten ausgesetzt. Bleiben diese Angriffe unentdeckt, können sie zu kostspieligen Geschäftsunterbrechungen, ransomware Vorfällen und Diebstahl hochwertiger Daten führen. Die Frage ist: Können sich Sicherheitsteams ausschließlich auf native Sicherheitslösungen verlassen, um sicher zu sein? Leider lautet die Antwort nein. Vectra AI hat in der ersten Hälfte dieses Jahres einen 6-fachen Anstieg der validierten Kompromittierungen bei Unternehmen beobachtet, die die Premium-Sicherheitslizenz von Microsoft (E5) einsetzen. In allen Fällen war Vectra AI in der Lage, die Angriffe zu erkennen und zu stoppen.
Der Grund dafür ist, dass Microsoft zwar gut darin ist, eine große Anzahl von Angriffen zu verhindern, seine nativen Tools aber nicht die nötige Abdeckung und Klarheit bieten, um Bedrohungsakteure zu stoppen, die die erste Verteidigungslinie umgangen haben. Microsofts natives Verhalten, die Protokollsammlung und einfache Regeln reichen nicht aus, um moderne Angreifer zu finden und zu stoppen. Vectra AIDie umfassenden Funktionen zur Erkennung von und Reaktion auf Bedrohungen wurden speziell entwickelt, um diese Lücken in der nativen Sicherheit von Microsoft zu schließen und Bedrohungen in Microsoft-Umgebungen zu finden, bevor Schaden entsteht.
Das Problem der Microsoft-Bedrohungsoberfläche
Moderne Angriffe auf die Microsoft-Infrastruktur sind nicht mehr auf eine einzige Angriffsfläche beschränkt. Sie erstrecken sich auf Netzwerke, Endpunkte, Identitäten (sowohl menschliche als auch nicht-menschliche), SaaS, cloud und neuerdings auch Gen AI.
Das folgende Beispiel stellt den aktuellen Stand moderner cloud-Ware-Angreifer dar, die sich an den Orten ausbreiten, an denen sich die wertvollsten Daten befinden.
In diesen Fällen, in denen Sicherheit und Prävention versagen, sind KI-gesteuerte Erkennungsfunktionen, die mit lokalen Netzwerken, Active Directory, Microsoft Entra ID, Microsoft 365, Azure IaaS, Azure PaaS und den Endpunkten korrelieren, entscheidend, um Bedrohungen zu stoppen.
Unternehmensorganisationen lösen das Problem der Microsoft-Bedrohungsoberfläche mit der Vectra AI Plattform
"Bevor wir Vectra AI einsetzten, hatten wir nur begrenzten Einblick in bösartiges Verhalten im Netzwerkverkehr oder in Microsoft 365", sagt Kevin Orritt, ICT-Sicherheitsmanager beim Greater Manchester Mental Health NHS Foundation Trust. "Wir sind beeindruckt von dem, was wir jetzt sehen können."
Vectra AI schließt Lücken, indem es eine umfassende Abdeckung bietet, um das Problem der Microsoft-Angriffsfläche anzugehen, KI-gesteuerte Klarheit, um Erkennungslatenz zu beseitigen, und Kontrollfunktionen, die Ihr Sicherheitsteam mit den Antworten ausstatten, die es braucht, um kompromittierte Konten innerhalb von Minuten statt Stunden schnell zu untersuchen und sicher zu sperren.
Deckung zur Verringerung der Exposition
Die agentenlose Echtzeit-Erkennung, -Untersuchung und -Reaktion von Vectravor Ort auf Netzwerkbedrohungen erkennt Bedrohungen über die gesamte Angriffskette hinweg und bietet eine Ost-West-Abdeckung für Aufklärung und seitliche Bewegungen sowie eine Nord-Süd-Abdeckung für Befehl und Kontrolle und Exfiltration. Die KI-gesteuerte Erkennung ist nicht auf Signaturen angewiesen und deckt sowohl bekannte Angriffs-Frameworks wie Cobalt Strike als auch unbekannte und benutzerdefinierte Frameworks ab, die von der nächsten Generation von Angreifern verwendet werden. Sie bietet nicht nur Einblick in das, was anders ist, sondern konzentriert sich auf das Verhalten der Angreifer, um sicherzustellen, dass Sicherheitsteams keine Zeit mit harmlosen Aktivitäten verschwenden. Diese netzwerkzentrierte Abdeckung ermöglicht die früheste Erkennung von Angreifern, die EDR und andere präventive Tools umgangen haben, und bietet zuverlässigen Schutz für jedes Gerät, einschließlich IoT- und OT-Geräte, auf denen EDR nicht eingesetzt werden kann.
Vectra erkennt hybride Angreifertechniken, die von Microsoft nicht erkannt werden, wie z. B. Angriffe mit Zugangsdaten, die Zero-Day-Techniken nutzen, und den Missbrauch von Zugangsdaten für laterale Bewegungen. Die patentierte Privilege Access Analytics-Technologie von Vectra vergleicht die tatsächliche Berechtigung einer Identität mit einem idealen Zero-Trust-Score und stellt sicher, dass in dem Moment, in dem ein Berechtigungsnachweis von der tatsächlichen Berechtigung abweicht, ein Alarm ausgelöst wird. Die Abdeckung erstreckt sich über die gesamte Identitäts-Kill-Chain des Angreifers, mit Warnungen für Angreifer, die es auf Anmeldedaten durch Techniken wie Kerberoasting, Brute-Force und expliziten Protokollmissbrauch von RDP, SSH, NTLM, LDAP, DCERPC, SMB und mehr abgesehen haben.
Vectra erkennt, wenn Angreifer zum ersten Mal auf eine Microsoft Entra ID-Anmeldedaten zugreifen, bietet aber auch eine vollständige Abdeckung dessen, was Angreifer als Nächstes tun, wie z. B. die Identifizierung von cloud Privilegienmissbrauch, neuen Geräteregistrierungen und der Erstellung von Backdoor-Zugängen. Die richtige KI wird in der gesamten Vectra-Abdeckung eingesetzt, um eine unvergleichliche Transparenz zu gewährleisten. Langlebige Baselines, die mehr als 20 Attribute der Benutzerauthentifizierung verfolgen, werden gleichzeitig betrachtet, um herauszufinden, welche Anmeldedaten unter Kontrolle sind. Die verhaltensbasierte KI von Vectra bietet nachweislich eine Zero-Day-Abdeckung für Entra ID, indem sie sich auf die Berechtigungen der Benutzer und die ausgeführten Operationen konzentriert. Die gesamte Abdeckung ist in der Vectra-Plattform vereint, die das Netzwerk und die cloud Identität verbindet, um einen integrierten Einblick in das gesamte Microsoft-Unternehmen zu ermöglichen.
Vectra erkennt Angriffe auf Microsoft 365 und überwacht die gesamte Angriffsfläche von M365, einschließlich Teams, Exchange, OneDrive, eDiscovery, Power Automate und SharePoint, und ermöglicht so eine umfassende Überwachung geschäftskritischer Daten.
Vectra erkennt Angreifer, die ihre Angriffe beschleunigen, indem sie Microsofts Gen AI nutzen, um die Entdeckung gezielter Daten zu beschleunigen, die es ihnen ermöglichen, weiter in die Umgebung einzudringen oder hochwertige Informationen zu stehlen.
Vectras Netzwerk-Bedrohungserkennung und -Reaktion dehnt sich nahtlos auf IaaS-Umgebungen aus, indem es Pakete nutzt, um kompromisslose Bedrohungserkennungsfunktionen bereitzustellen. Es ermöglicht eine vollständige hybride Sichtbarkeit und verbindet die Punkte zwischen Bedrohungen, die sich nahtlos zwischen On-Premise- und cloud -Systemen bewegen.
Vectra erkennt Angriffe auf Azure PaaS sowohl mit menschlichen als auch mit nicht-menschlichen Anmeldeinformationen und bietet einen hybriden Einblick in alle kritischen Ressourcen und die Azure-Infrastruktur. Dies umfasst die Überwachung von Azure-Richtlinien, Azure App Service, Azure-Automatisierungskonten und mehr.
Endpoint
Der MXDR-Service von Vectra kombiniert Signale von EDRs, einschließlich Defender für Endpoint, mit den vollen Fähigkeiten von Vectra, um eine umfassende Abdeckung für Bedrohungen zu bieten, die auf Endpunkte, hybride und Multicloud Umgebungen abzielen. Er bietet eine 24x7-Überwachung durch erfahrene Analysten, die Bedrohungen untersuchen, darauf reagieren und sie beseitigen und so die vollständige Unternehmenssicherheit gewährleisten.
Klarheit zur Beseitigung von Latenzzeiten bei der Erkennung von Bedrohungen
Risikobasierte Priorisierung von Bedrohungen
Die KI von Vectra priorisiert dringende Bedrohungen, bevor Schaden entsteht, indem sie beobachtete Verhaltensweisen mit Hosts, menschlichen und maschinellen Identitäten korreliert. Die KI-Priorisierung zeichnet sich dadurch aus, dass sie Teams auf die komplette Geschichte fokussiert, die ihre Aufmerksamkeit erfordert, und ihre Zeit maximiert, indem sie die beobachtete Aktivität, die Systemklasse, die Berechtigung und die benutzerdefinierten Prioritätseinstellungen berücksichtigt.
Einheitliche Angriffskorrelation über hybride Umgebungen hinweg
Korrelationsalgorithmen verbinden die Punkte zwischen dem Verhalten von Angreifern in lokalen Rechenzentren, Active Directory, Microsoft Entra ID, Microsoft 365 und Azure und schaffen so eine einheitliche Angriffsgeschichte für schnellere und präzisere Untersuchungen. Jedes beobachtete Angreiferereignis wird einem Konto oder einem Rechner mit dem Namen des Akteurs zugeordnet - nicht einfach IPs und nicht unentzifferbare Objekt-IDs, was den Kontext für Teams und ihre Reaktionszeit maximiert.
Beseitigung von Falschmeldungen und gutartigen Signalen
Unsere KI filtert gutartige Verhaltensweisen heraus und eskaliert nur verdächtige Ereignisse. Sie kombiniert automatische Filterung mit optionalen manuellen Zielfiltern, damit sich Sicherheitsteams auf echte Bedrohungen konzentrieren können, ohne Gefahr zu laufen, einen Angriff zu übersehen.
Verbesserte Metadaten für Ermittlungen
Angereicherte Metadaten gehen über das hinaus, was in jedem SIEM erfasst und verarbeitet werden kann. Den Metadaten wird zusätzlicher KI-gesteuerter Kontext hinzugefügt, der dem Sicherheitsteam neue Möglichkeiten eröffnet, wie z. B. Asset-Privilege-Scores, Beacon-Ereignisse, JA3 und den wahren Namen des Akteurs und mehr.
Kontrolle, um Angriffe zu stoppen und Talente zu maximieren
Aktive Haltungsüberwachung
Vectra ermöglicht Teams einen Linksruck, indem es Sicherheitslücken in Netzwerken, Identitäten, cloud Diensten und GenAI-Tools wie Microsoft Copilot für M365 aufdeckt. Wir überwachen aktiv über 20 KI-gestützte Datenströme und Hunderte von Attributen, um herauszufinden, wie Angreifer bei einem zukünftigen Angriff die Kontrolle in Ihrer Umgebung umgehen könnten, und zwar mit dem Kontext, Ihre Angriffsfläche zu reduzieren
Beschleunigte Ermittlungen und Intuitive Threat Hunting
Vectra liefert in jedem Fall sofort Antworten auf die wichtigsten Fragen der Analysten aus den Metadaten von Netzwerk, cloud und Identität - ohne dass eine einzige Abfrage geschrieben werden muss. Wenn eine tiefergehende Untersuchung erforderlich ist, haben die Teams Zugriff auf alle 20 Datenströme mit integriertem Kontext, was die Identifizierung von Bedrohungen beschleunigt.
Umfassende Reaktionsfähigkeiten
Die nativen Integrationen von Vectra mit EDR, AD und Entra ID ermöglichen es Sicherheitsanalysten, manuell oder automatisch die richtigen Maßnahmen zur richtigen Zeit zu ergreifen, um einen Angreifer zu stoppen, egal wo er sich in der Umgebung befindet.
Integration mit Microsoft Sentinel
Vectra lässt sich nativ in Microsoft Sentinel integrieren, wodurch bestehende Arbeitsabläufe verbessert werden, die Verwaltung benutzerdefinierter Analysen entfällt und die Zeit der Teams maximiert wird.
Decken Sie Ihre Sicherheitslücken in Microsoft-Umgebungen auf
Um das Problem der Microsoft-Bedrohungsoberfläche effektiv anzugehen, müssen Sie den nächsten Schritt tun, um Ihre aktuellen Sicherheitslücken zu verstehen. Sicherheitsteams sollten Sicherheitstests für ihre Netzwerk-, Identitäts- und Umgebungen durchführen. CloudVectra AI hilft Ihnen dabei, Angreifer in dem Moment zu erkennen, in dem sie das Unternehmen kompromittieren, und mit einer umfassenden, KI-gesteuerten Verteidigung diejenigen zu jagen, die bereits eingedrungen sind.
Wenn Sie mehr über die Vectra AI Plattform erfahren möchten, besuchen Sie unsere Plattformseite oder vereinbaren Sie jetzt einen Termin für eine Demo.