Moderne Cyber-Angreifer mit ausgefeilten Hacking-Tools oder dem richtigen gestohlenen Passwort können die Sicherheit am Netzwerkrand leicht umgehen, um innerhalb des Netzwerks zu spionieren und zu stehlen, und bleiben dabei weitgehend unentdeckt.

Aufgrund dieser Lücke müssen Sicherheitsteams Sicherheitswarnungen und -ereignissen manuell nachgehen. Die Unfähigkeit zu bestimmen, welche Warnungen das höchste Risiko für ein Unternehmen darstellen, erschwert die Aufgabe noch weiter.

In der Praxis bedeutet dies oft, dass Sicherheitsverletzungen von einem externen Dritten entdeckt und gemeldet werden, nachdem der Diebstahl oder Schaden bereits eingetreten ist. Dies kann zu einer lähmenden Nachuntersuchung führen, die Millionen von Dollar kosten kann, ganz zu schweigen von unerwünschter negativer Publicity und Markenschäden.

Die Vectra-Plattform zur Erkennung von und Reaktion auf Bedrohungen integriert nahtlos die KI-basierte threat hunting und Vorfallsreaktion von Google SecOps SIEM Backstory, einer globalen Sicherheitstelemetrieplattform, und sorgt so für mehr Kontext bei Untersuchungen und Jagden sowie für mehr operative Intelligenz.

Gemeinsam bieten Vectra und Google SecOps SIEM eine praktische Lösung für das hartnäckigste Problem, mit dem die heutigen Cybersicherheitsteams konfrontiert sind: das Auffinden und Stoppen aktiver Cyberangriffe.

Hauptmerkmale der Integration von Google SecOps SIEM mit Vectra AI:

Schnellere Untersuchungen und Reaktionen

Die Cognito-Plattform bewertet und stuft Netzwerk-Hosts nach Risiko ein. Um eine schnellere Untersuchung und Reaktion zu ermöglichen, werden alle bösartigen Verhaltensweisen automatisch mit dem physischen Netzwerk-Host in Verbindung gebracht, selbst wenn sich die IP-Adresse ändert. Die Integration der Plattformen Cognito und Backstory bietet ein interaktives Dashboard, das schnell die Anzahl der Hosts anzeigt, die als kritisch, hoch, mittel und geringes Risiko eingestuft sind. Diese Bewertungen helfen den Sicherheitsteams bei der Priorisierung von Ereignissen, so dass sie nicht mehr jedes Ereignis manuell bewerten müssen und die Reaktionszeit erheblich verkürzt wird.

Vollständige Transparenz und verbesserte Bedrohungsdaten

Durch die Analyse des gesamten Datenverkehrs cloud und vor Ort im Unternehmen deckt die Cognito-Plattform Bedrohungen in allen Phasen eines aktiven Cyberangriffs auf. Cognito liefert diese außergewöhnliche Bandbreite an Bedrohungsdaten und Sicherheitstelemetrie an das Google SecOps SIEM-Nischen-Maschinendaten-Repository, einschließlich der Erkennung von unbekannter malware und Angriffstools, Bedrohungen, die sich in gewöhnlichen Anwendungen und verschlüsseltem Datenverkehr verstecken, sowie laufende Bedrohungen in jeder Phase der Angriffskette. Dank dieser Transparenz können Sicherheitsteams sofort zwischen opportunistischem Botnet-Verhalten und ernsthafteren, gezielten Bedrohungen unterscheiden und schnell handeln, bevor Vermögenswerte gestohlen oder beschädigt werden.

Echtzeit-Korrelation, zusätzlicher Kontext und durchsuchbare Repositories

Der Erkennungsansatz von Vectra ermöglicht es Sicherheitsteams, Bedrohungen zu erkennen, die von anderen Sicherheitslösungen übersehen wurden. Die Cognito-Integration mit Google SecOps SIEM Backstory verbindet und korreliert Vectras Ergebnisse mit anderen Lösungen von Drittanbietern und liefert dem Sicherheitsteam zusätzlichen Kontext. Google SecOps SIEM erfasst, indiziert und korreliert auch Cognito-Bedrohungserkennungen in Echtzeit und macht sie in einem durchsuchbaren Repository verfügbar, so dass Sicherheitsteams Diagramme, Berichte, Warnungen, Dashboards und Visualisierungen erstellen können.

Die wichtigsten Vorteile sind:

• Cyberangriffe schnell entschärfen und stoppen, bevor Schaden angerichtet wird
• Sie erhalten einen besseren Einblick in jeden Angriff, indem Sie infizierte Hosts, die das höchste Risiko darstellen, priorisieren und Bedrohungen mit Sicherheitstelemetrie korrelieren.
• Einfachere Suche und Analyse von Bedrohungserkennungen

Google SecOps SIEM und Vectra AI Integration: ein überlegenes Modell zur Erkennung von Bedrohungen

Die Cognito-Plattform nutzt überwachte und nicht überwachte KI-Modelle, um Cyberangriffe in allen Phasen der Angriffskill-Chain zu erkennen, von der Befehls- und Kontrollfunktion über die interne Aufklärung bis hin zu lateralen Bewegungen und Datenexfiltration, ohne dabei auf Signaturen oder Reputationslisten angewiesen zu sein. Cognito erkennt diese Bedrohungen durch die Analyse des zugrunde liegenden Verhaltens der Angreifer aus der objektiven Sicht des Netzwerks. Alle erkannten Bedrohungen werden mit den am Angriff beteiligten Hosts in Beziehung gesetzt, während die Risiko- und Sicherheitsbewertungen von Cognito die Hosts mit dem höchsten Risiko priorisieren. Auf diese Weise können Sicherheitsteams neue und unbekannte Bedrohungen erkennen sowie Angriffe entdecken, die nicht auf malware beruhen, wie böswillige Insider oder kompromittierte Benutzerkonten. Durch die Integration werden die mit Metadaten angereicherten Erkennungen von Cognito direkt in das Google SecOps SIEM Backstory Dashboard gezogen. Jetzt können Unternehmen hochwertige Erkennungen von Cognito in ihre bestehenden Arbeitsabläufe einbinden und die Korrelation in der Backstory-Sicherheitstelemetrie automatisieren, um Bedrohungen und Angriffen einen besseren Kontext zu geben.