Vor ein paar Wochen haben mein Kollege und ich in einem Blog darüber gesprochen, wie die Theorie der kognitiven Belastung auf die Cybersicherheit angewendet werden kann. Die wichtigste Erkenntnis aus dieser Diskussion ist, dass Vectra AI darauf abzielt, unsere Benutzeroberfläche und Arbeitsabläufe so zu gestalten, dass die kognitive Belastung minimiert und die Informationsverarbeitung optimiert wird. Beispiele dafür, wie wir dies auf der Vectra AI -Plattform umgesetzt haben, finden Sie auf unserer Hunt-Seite oder im Respond-Modul.
Jetzt haben wir vor kurzem eine neue Funktion auf der Vectra AI eingeführt, die nicht nur die Theorie der kognitiven Belastung aufgreift, sondern auch die Untersuchung von Angriffen und Bedrohungen für moderne Sicherheitsanalysten optimiert, rationalisiert und beschleunigt. Vectra's Attack Graphs ist ein integraler Bestandteil des Schutzes des modernen Netzwerks und ist die Antwort von Vectra AIauf die Komplexität moderner Angriffe.
Einführung von Angriffsdiagrammen
Vectra AI's Attack Graphs ist eine Funktion in der Vectra AI Plattform, die Entdeckungen visualisiert, die mit einer oder mehreren priorisierten Entitäten verbunden sind, die sich über das gesamte moderne Netzwerk erstrecken und auf einer Zeitachse abgebildet werden.
Die Angriffsgrafiken von Vectra fassen verdächtige Verhaltensweisen, die bösartige Aktivitäten über mehrere Angriffsflächen (d. h. mehrere Entitäten) darstellen, in einer Visualisierung zusammen, die das vollständige Bild eines modernen Angriffs vermittelt. Damit können Analysten grundlegende Fragen zur Untersuchung von Bedrohungen beantworten:
- Woher kam dieser Angriff?
- Welche Auswirkungen hat das?
- Wie war die Reihenfolge der Ereignisse?
Die Angriffsgrafiken von Vectra beantworten diese drei Fragen, indem sie die von den Vectra AI , cloud und Identitätstechnologien von Vectra gesammelten Erkennungen und Informationen in einer Baum- oder Hub-Ansicht konsolidieren. Die Linien, die jeden Knoten verbinden, der eine Domäne, ein Konto, einen Server, einen Host oder ein Objekt darstellt, zeichnen ein Bild davon, wie ein moderner Angreifer jeden Teil des modernen Netzwerks nutzt, um verdächtige Aktivitäten heimlich und tief in modernen Netzwerken durchzuführen.
Die Vectra AI bietet drei Visualisierungsformen: eine Baumansicht, eine Zeitleistenansicht und eine netzwerkartige Ansicht, die wir "Angriffsgrafik" nennen. Diese Ansichten sorgen dafür, dass sich die Analyse der Visualisierung nahtlos in den Arbeitsablauf eines jeden Analysten einfügt.
Mit Attack Graphs können moderne Sicherheitsteams:
- Bewertung des Umfangs der Angriffe und ihrer Auswirkungen auf die Priorisierung von KI.
- Visualisieren Sie den Verlauf von Angriffen über Netzwerke, Identitäten und Clouds hinweg.
- Verfolgen Sie Bedrohungen bis zum ursprünglichen Akteur zurück, um schneller reagieren zu können.
- Sammeln Sie alle wichtigen Informationen über die priorisierte Bedrohung in einem einzigen, übersichtlichen Fenster.
Das rechtzeitige Sammeln der oben genannten Informationen, das die kognitive Belastung optimiert, ist für eine rasche und wirksame Untersuchung und Reaktion auf moderne Bedrohungen unerlässlich.
Beschleunigte Untersuchungen mit Vectra's Attack Graphs - ein Multi-Domain Angriff
In diesem Beispiel haben wir unseren "marketing-collab"-Server mit jedem priorisierten Alarm in einer Baumansicht des Angriffsgraphen visualisiert. Wir konzentrieren uns automatisch auf das Element, das in Rot priorisiert ist und nach der Dringlichkeitsbewertung von Vectra als hoch eingestuft wird.
Die erste Frage, die wir uns stellen, lautet: "Woher kommen sie?" In diesem Fall wurde die priorisierte Entität mit einem versteckten HPS-Tunnel von einer externen Domain namens "minutemen.vault-tech.org" angegriffen. Damit wissen wir sofort, dass dies der Patient Null oder die ursprüngliche Quelle des Angriffs sein könnte.
Die nächste Frage, die wir uns stellen wollen, lautet: "Was ist sonst noch passiert?" Um dies zu untersuchen, folgen wir den Zweigen der Baumansicht, um den Angriff tiefer zu ergründen. Wir können sehen, dass der Angreifer RPC Recon, Kerberoasting Targeted Weak Cipher, verdächtige LDAP-Abfragen bis zu einem Domain Controller "10.232.100.32" und eine verdächtige Remote-Ausführung durchgeführt hat. Diese Remote-Ausführung versuchte eine seitliche Verlagerung auf ein anderes Konto "jump-station5", das auf dem Vectra Dringlichkeitsscore als mittel eingestuft wurde.
Der nächste Schritt in unserer Untersuchung besteht darin, die Erkennungen aus einem anderen Blickwinkel zu betrachten. Wir können die "Angriffsgrafik-Ansicht" wählen, die uns eine moderne Netzwerkansicht des Angriffs bietet.
Diese Ansicht gibt uns mehr Klarheit, insbesondere durch die Möglichkeit, Elemente zu verschieben und mehrere Elemente zu sehen, die sich gegenseitig anvisieren.
Hier können wir sehen, dass es mehrere Erkennungen gibt, die auf diesen Domänencontroller oder das "jump-station5"-Konto abzielen, einschließlich RPC Recon oder LDAP Query. Im nächsten Teil der Untersuchung geht es darum, den zeitlichen Verlauf des Angriffs zu verstehen. Wir wollen die Frage beantworten: "In welcher Reihenfolge sind die Ereignisse eingetreten? " oder "Wie hat sich der Angriff entwickelt? Diese Frage lässt sich schnell beantworten, wenn Sie die Wiedergabetaste auf dem Angriffsdiagramm drücken. Das Diagramm zeigt Ihnen deutlich, wo und wann jede Erkennung stattfand und wie schnell der Angriff in unserer Umgebung voranschritt.
Die Angriffsgrafiken von Vectra stellen wichtige Informationen für gründliche Untersuchungen in einer einfachen Ansicht dar und rationalisieren den Prozess für Sicherheitsanalysten, indem sie genau darstellen, was in einer Umgebung passiert, wodurch die Zeit für die Untersuchung von Alarmen um 50 % reduziert wird (Quelle: 2025 IDC Business Value of Vectra AI Report). In diesem Beispiel waren wir in der Lage, das Ausmaß des Angriffs innerhalb von Minuten vollständig zu verstehen und die Auswirkungen auf die Priorisierung der Bedrohung sofort zu erkennen. Die Angriffsgrafiken von Vectra bieten Klarheit darüber, welche Art von Reaktion ein Analyst möglicherweise durchführen muss.
Weitere Informationen zu Vectra's Attack Graphs finden Sie in unserem Podcast.
Um Vectra's Attack Graphs in Aktion zu sehen, vereinbaren Sie bitte einen Demo-Termin mit uns.