Vectra Recall

Vectra Recall ist eine Funktion der Plattform Vectra AI , die es Unternehmen ermöglicht, vergangene Sicherheitsvorfälle zu untersuchen und zu analysieren. Sie bietet einen historischen Kontext und forensische Fähigkeiten, um den Umfang, die Auswirkungen und die Ursachen von Vorfällen zu verstehen. Vectra Recall ermöglicht es Sicherheitsteams, vergangene Ereignisse zu überprüfen und zu analysieren, gründliche Untersuchungen durchzuführen und wertvolle Erkenntnisse zu gewinnen, um künftige Sicherheitsmaßnahmen und Verteidigungsmaßnahmen zu verbessern.

Als Eckpfeiler der Plattform Vectra AI zur Erkennung von Cyberangriffen und zur Bedrohungsjagd bietet Vectra Recall die effizienteste Methode zur Durchführung von KI-gestützter threat hunting in cloud und Rechenzentren sowie in Benutzer- und IoT-Geräten.

Vectra Recall ermöglicht es erfahrenen Sicherheitsanalysten und professionellen Bedrohungsjägern, aussagekräftige Untersuchungen von Vorfällen durchzuführen.

Vectra Recall ist eine umfassende Quelle für sicherheitsrelevante Netzwerk-Metadaten und ermöglicht qualifizierten Sicherheitsanalysten und professionellen Bedrohungsjägern die Durchführung schlüssiger Untersuchungen von Vorfällen.

Die Metadaten in Vectra Recall sind nach Hostnamen organisiert, nicht nur nach IP-Adressen. Dadurch entfällt die Notwendigkeit, DHCP-Protokolle zu durchsuchen, um das Host-Gerät zu finden, das zu dem Zeitpunkt eine IP-Adresse verwendet hat, und IP-Adressänderungen während einer Untersuchung zusammenzusetzen. Die Suche nach dem Gerät spart Zeit, wenn es auf Schnelligkeit ankommt.

Vectra Recall nutzt auch Privileged Access Analytics, um Verhaltensweisen automatisch zu analysieren, und verwendet künstliche Intelligenz, um Entitäten zu identifizieren, die Privilegien haben, und zwischen genehmigten und bösartigen Verwendungen zu unterscheiden. Sie ist in der gesamten Vectra-Plattform als durchsuchbare Sicherheitsanreicherung in Vectra Stream und Vectra Recall und als Erkennung in Vectra Detect verfügbar. Benutzerdefinierte Anwendungsfälle werden auch durch den Zugriff auf die Attribute über die Vectra REST API unterstützt.

Vectra Recall ermöglicht es Incident Respondern, die Ereigniskette von einem anfänglichen Bedrohungssignal - sei es von Vectra Detect, einem anderen Sicherheitsereignis oder einer Bedrohungsmeldung - anhand von sicherheitsrelevanten Netzwerk-Metadaten zu verfolgen, die nach Hostnamen durchsuchbar sind.

Vectra Recall ist wie eine Transaktionsaufzeichnung jedes Gesprächs zwischen cloud und dem Unternehmen. Die Erfassung und Speicherung historischer Metadaten anstelle von Paketnutzdaten gewährleistet jedoch den Datenschutz und unterstützt Compliance-Vorgaben wie GDPR.

Und da Vectra Recall als Service auf cloud bereitgestellt wird, muss keine Big-Data-Infrastruktur erworben, installiert und verwaltet werden. Es genügt ein einziger Klick, um Metadaten an Vectra cloud weiterzuleiten.

Zusammenfassung der Fähigkeiten von Vectra Recall

  • Ermöglicht Bedrohungsjägern die Sammlung und Speicherung von sicherheitsrelevanten Netzwerk-Metadaten und cloud Ereignissen in Echtzeit, so dass sie ihr umfassendes Wissen über fortschrittliche Cyberangriffe nutzen können.
  • Ermöglicht eine intelligente Untersuchung der Geräteaktivität durch Zuordnung von Geräten, Arbeitslasten und Hostnamen, unabhängig von Änderungen der IP-Adresse.
  • Bietet einen infrastrukturweiten Einblick in die Aktionen aller cloud und Rechenzentrums-Workloads sowie Benutzer- und IoT-Geräte.
  • cloud bietet unbegrenzte Skalierbarkeit, um Metadaten so lange zu speichern und zu suchen, wie sie benötigt werden, während Vectra die Infrastruktur verwaltet.

Die Befugnis zur Erkennung und Recall

Mit Vectra Recall können Sicherheitsanalysten eingehende Untersuchungen durchführen, die auf den von Vectra Detect identifizierten, aussagekräftigen Vorfällen basieren, welche die KI-gesteuerte Erkennung und Reaktion auf Cyberangriffe automatisieren. Mit Vectra Recall können leitende Sicherheitsanalysten auch threat hunting auf der Grundlage von Warnungen aus Sicherheitslösungen von Drittanbietern durchführen und neue, hochwertige Bedrohungsdaten für die nachträgliche Suche nutzen.

So funktioniert Vectra Recall

Vollständige Transparenz im gesamten Unternehmen Vectra Recall bietet Einblick in den Netzwerkverkehr, indem es Metadaten aus allen Paketen extrahiert und auf cloud zur Suche und Analyse speichert. Jedes IP-fähige Gerät im Netzwerk wird identifiziert und nachverfolgt, und die Daten können über einen beliebigen Zeitraum gespeichert werden.

Die erfassten Metadaten umfassen den gesamten internen (Ost-West) Datenverkehr, den internetgebundenen (Nord-Süd) Datenverkehr, den Datenverkehr in der virtuellen Infrastruktur und den Datenverkehr in cloud Computerumgebungen.

Diese Transparenz erstreckt sich auf Laptops, Server, Drucker, BYOD- und IoT-Geräte sowie auf alle Betriebssysteme und Anwendungen, einschließlich des Datenverkehrs zwischen virtuellen Arbeitslasten in Rechenzentren und cloud, sogar SaaS-Anwendungen.

System-, Authentifizierungs- und SaaS-Protokolle reichern die Netzwerk-Metadatenanalyse zur genauen Identifizierung von Systemen und Benutzern an.

Threat hunting mit Vectra Recall

KI-gestützte threat hunting mit Vectra Recall kann durch die Erkennung von Angreifern durch Vectra Detect, bestehende Indikatoren für eine Gefährdung und Anomalien in Daten, die von Sicherheitsanalysten identifiziert wurden, ausgelöst werden.

Jagd mit Indikatoren für Kompromisse

Mit den umfassenden Suchfunktionen für Metadaten und der unbegrenzten Datenspeicherung können Sicherheitsanalysten mit Vectra Recall feststellen, ob in den Metadaten, einschließlich User Agents, IP-Adressen und Domänen, Indikatoren für eine Kompromittierung vorliegen. Vectra Recall liefert außerdem detaillierte Informationen für eine effizientere threat huntingSo lassen sich beispielsweise PowerShell-Befehle von einem Remote-Rechner zu einem Server oder eine bestimmte Art von Verbindung von einem Remote-Standort aus ermitteln.

Jagd auf anomale Verhaltensweisen

Vectra Recall ermöglicht es professionellen Bedrohungsjägern, anomale Verhaltensweisen zu identifizieren, die in visuellen Diagrammen dargestellt werden. Zu den anomalen Verhaltensweisen, die mit Vectra Recall aufgedeckt werden können, gehören:

  • Untypische Verwendung von TCP- und UDP-Ports und Anwendungen
  • Ungewöhnlich hohe Verbindungsraten
  • Heuristische Indikatoren
  • Neue Beaconing-Aktivität
  • Volumetrische Schwellenwerte für die Anzahl der Verbindungen, Anmeldefehler und übermäßige interne und externe Datenübertragungen In einigen Fällen können Anomalien aus einer beliebigen Kombination dieser Verhaltensweisen bestehen, z. B. aus ungewöhnlichen Datenmengen, die an eine ungewöhnliche IP-Adresse gesendet werden.

> Laden Sie unseren Leitfaden für die Bedrohungsjagd mit Vectra herunter Recall

Vectra Recall bietet umfassende Metadatensuchfunktionen und unbegrenzte Datenspeicherung
Vectra Recall bietet umfassende Metadatensuchfunktionen und unbegrenzte Datenspeicherung

Schlüssige Unfalluntersuchungen mit Vectra Recall

Bildschirmfoto von Vectra Recall
Vectra Recall ermöglicht es Bedrohungsjägern, anomale Verhaltensweisen zu erkennen

Vectra Recall ermöglicht es Sicherheitsanalysten, tiefergehende und aussagekräftigere Untersuchungen von Vorfällen mit bemerkenswerter Effizienz durchzuführen.

Sicherheitsanalysten können die Kette von zusammenhängenden Ereignissen aus Angriffserkennungen von Vectra Detect, Sicherheitsprodukten von Drittanbietern und durchsuchbaren, qualitativ hochwertigen Bedrohungsdaten in historischen Netzwerk-Metadaten problemlos verfolgen.

Wenn Ereignisse oder Warnungen von Vectra Detect oder Sicherheitsprodukten anderer Anbieter eingehen, sorgt Vectra Recall dafür, dass Sicherheitsanalysten einen vollständigen 360-Grad-Überblick über alle Arbeitslasten und Geräteaktivitäten erhalten.

Mit Vectra Recall können Sicherheitsanalysten Vorfälle mit beispielloser Effizienz untersuchen, indem sie den vollständigen Kontext der Vorfälle sowie relevante Details zu den zugehörigen Geräten, Konten und der Netzwerkkommunikation nutzen.

Host-basierte Untersuchungen

Vectra Recall ermöglicht es Sicherheitsanalysten, die Aktivitäten von Host-Geräten in der Umgebung einer Bedrohungserkennung zu identifizieren und signifikante Änderungen im Gesamtverhalten der Host-Geräte aufzudecken.

Durch visuelle Diagramme und Suchfunktionen zeigt Vectra Recall andere Host-Geräte, Konten sowie externe Domänen und IP-Adressen auf, so dass Sicherheitsanalysten den gesamten Umfang des Vorfalls erkennen können.

Sicherheitsanalysten können auf einfache Weise eine Vielzahl verdächtiger Verhaltensweisen durchgehen, um die Spur der Beweise zu identifizieren, die zu anderen Host-Geräten führt, und auf diesem Weg effizient nach Anzeichen für eine Gefährdung suchen.

Kontobasierte Ermittlungen

Vectra Recall verbessert kontobasierte Untersuchungen, indem es die Details liefert, die Sicherheitsanalysten benötigen, um alle Nutzungen und Aktionen von potenziell gefährdeten Konten in bestimmten Zeiträumen sowie Aktionen gegen Ziele zu identifizieren.

Durch den Einsatz von Vectra Recall erhalten Sicherheitsanalysten außerdem ein umfassenderes Bild eines Cyberangriffs, das bei der Untersuchung anderer Host-Geräte, die möglicherweise kompromittierte Konten haben, hilfreich sein kann.

Was ist Cognito Recall?

Cognito Recall ist die frühere Bezeichnung für die Vectra-Funktionalität Recall . Die Plattform Vectra AI wurde ursprünglich als"Cognito-Plattform" bezeichnet. Die Plattform und ihre Funktionen wurden umbenannt, um die Entwicklung unserer Produkte widerzuspiegeln.

Was ist der Unterschied zwischen Vectra Recall und Vectra Detect?

Vectra Recall ist eine Ergänzung zu Vectra Detect. Vectra Detect identifiziert kompromittierte Hosts in Echtzeit als Ausgangspunkt für eine Untersuchung. Vectra Recall findet Bedrohungen, die von der Erkennung übersehen wurden, indem historische Metadaten untersucht werden.

Häufig gestellte Fragen