Wichtige Erkenntnisse

Als Eckpfeiler der Vectra AI zur Erkennung von Cyberangriffen und zur Bedrohungsjagd bietet Vectra Recall die effizienteste Methode zur KI-gestützten threat hunting in cloud und Rechenzentrums-Workloads sowie in Benutzer- und IoT-Geräten.

Vectra Recall befähigt erfahrene Sicherheitsanalysten und professionelle Bedrohungsjäger zur Durchführung schlüssiger Untersuchungen von Vorfällen.

Vectra Recall ist eine umfassende Quelle für sicherheitsrelevante Netzwerk-Metadaten und ermöglicht qualifizierten Sicherheitsanalysten und professionellen Bedrohungsjägern die Durchführung schlüssiger Untersuchungen von Vorfällen.

Die Metadaten in Vectra Recall sind nach Hostnamen und nicht nur nach IP-Adressen geordnet. Dadurch entfällt die Notwendigkeit, DHCP-Protokolle zu durchsuchen, um das Host-Gerät zu finden, das zu dem Zeitpunkt eine IP-Adresse verwendet hat, und IP-Adressänderungen während einer Untersuchung zusammenzusetzen. Die Suche nach dem Gerät spart Zeit, wenn es auf Schnelligkeit ankommt.

Vectra Recall nutzt auch Privileged Access Analytics zur automatischen Analyse von Verhaltensweisen und verwendet künstliche Intelligenz, um Entitäten zu identifizieren, die über Privilegien verfügen, und zwischen genehmigten und bösartigen Verwendungen zu unterscheiden. Es ist in der gesamten Vectra-Plattform als durchsuchbare Sicherheitsanreicherung in Vectra Stream und Vectra Recall und als Erkennung in Vectra Detect verfügbar. Benutzerdefinierte Anwendungsfälle werden auch durch den Zugriff auf die Attribute über die Vectra REST API unterstützt.

Vectra Recall ermöglicht es den Einsatzkräften, die Ereigniskette von einem anfänglichen Bedrohungssignal - sei es von Vectra Detect, einem anderen Sicherheitsereignis oder einer Bedrohungsmeldung - anhand von sicherheitsrelevanten Netzwerk-Metadaten zu verfolgen, die nach Hostnamen durchsuchbar sind.

Vectra Recall ist wie eine Transaktionsaufzeichnung jeder Konversation zwischen der cloud und dem Unternehmen. Die Erfassung und Speicherung historischer Metadaten anstelle von Paketnutzdaten gewährleistet jedoch den Datenschutz und unterstützt Compliance-Vorgaben wie GDPR.

Und da Vectra Recall als Service in der cloud bereitgestellt wird, muss keine Big-Data-Infrastruktur gekauft, installiert und verwaltet werden. Ein einziger Klick genügt, um Metadaten an die cloud weiterzuleiten.

Zusammenfassung der Fähigkeiten von Vectra Recall

  • Ermöglicht Bedrohungsjägern die Echtzeit-Erfassung und -Speicherung von sicherheitsrelevanten Netzwerk-Metadaten und cloud , so dass sie ihr umfassendes Wissen über fortschrittliche Cyberangriffe nutzen können.
  • Ermöglicht eine intelligente Untersuchung der Geräteaktivität durch Zuordnung von Geräten, Arbeitslasten und Hostnamen, unabhängig von Änderungen der IP-Adresse.
  • Bietet einen infrastrukturweiten Einblick in die Aktionen aller cloud und Rechenzentrums-Workloads sowie Benutzer- und IoT-Geräte.
  • cloud, unbegrenzte Skalierbarkeit für die Speicherung und Suche von Metadaten, solange sie benötigt werden, während Vectra die Infrastruktur verwaltet.

Die Macht zu erkennen und Recall

Mit Vectra Recall können Sicherheitsanalysten eingehende Untersuchungen durchführen, die auf den von Vectra Detect identifizierten, aussagekräftigen Vorfällen beruhen und die KI-gesteuerte Erkennung und Reaktion auf Cyberangriffe automatisieren. Mit Vectra Recall können leitende Sicherheitsanalysten auch eine threat hunting auf der Grundlage von Warnmeldungen aus Sicherheitslösungen von Drittanbietern durchführen und neue, qualitativ hochwertige Bedrohungsdaten für die nachträgliche Suche nutzen.

Wie funktioniert Vectra Recall

Vectra Recall macht den Netzwerkverkehr im gesamten Unternehmen transparent, indem es Metadaten aus allen Paketen extrahiert und in der cloud für die Suche und Analyse speichert. Jedes IP-fähige Gerät im Netzwerk wird identifiziert und nachverfolgt, und die Daten können über einen beliebigen Zeitraum gespeichert werden.

Die erfassten Metadaten umfassen den gesamten internen (Ost-West-) Verkehr, den internetgebundenen (Nord-Süd-) Verkehr, den Verkehr der virtuellen Infrastruktur und den Verkehr in cloud .

Diese Transparenz erstreckt sich auf Laptops, Server, Drucker, BYOD- und IoT-Geräte sowie auf alle Betriebssysteme und Anwendungen, einschließlich des Datenverkehrs zwischen virtuellen Workloads in Rechenzentren und der cloud, sogar SaaS-Anwendungen.

System-, Authentifizierungs- und SaaS-Protokolle reichern die Netzwerk-Metadatenanalyse zur genauen Identifizierung von Systemen und Benutzern an.

Threat hunting mit Vectra Recall

Die KI-gestützte threat hunting mit Vectra Recall kann durch die Erkennung von Angreifern durch Vectra Detect, durch vorhandene Indikatoren für eine Gefährdung und durch Anomalien in Daten, die von Sicherheitsanalysten identifiziert wurden, ausgelöst werden.

Jagd mit Indikatoren für Kompromisse

Mit umfassenden Suchfunktionen für Metadaten und einer unbegrenzten Datenspeicherung können Sicherheitsanalysten mit Vectra Recall feststellen, ob Indikatoren für eine Kompromittierung in den Metadaten vorhanden sind, einschließlich User Agents, IP-Adressen und Domänen. Vectra Recall liefert außerdem detaillierte Informationen für eine effizientere threat huntingVectra Recall liefert auch detaillierte Informationen für eine effizientere Bedrohungssuche, z. B. PowerShell-Befehle von einem Remote-Rechner zu einem Server oder eine bestimmte Art von Verbindung von einem Remote-Standort.

Jagd auf anomale Verhaltensweisen

Vectra Recall ermöglicht es professionellen Bedrohungsjägern, anomale Verhaltensweisen zu identifizieren, die in visuellen Diagrammen angezeigt werden. Zu den anomalen Verhaltensweisen, die mit Vectra Recall aufgedeckt werden können, gehören:

  • Untypische Verwendung von TCP- und UDP-Ports und Anwendungen
  • Ungewöhnlich hohe Verbindungsraten
  • Heuristische Indikatoren
  • Neue Beaconing-Aktivität
  • Volumetrische Schwellenwerte für die Anzahl der Verbindungen, Anmeldefehler und übermäßige interne und externe Datenübertragungen In einigen Fällen können Anomalien aus einer beliebigen Kombination dieser Verhaltensweisen bestehen, z. B. aus ungewöhnlichen Datenmengen, die an eine ungewöhnliche IP-Adresse gesendet werden.

> Laden Sie unsere Anleitung für die Bedrohungsjagd mit Vectra Recall herunter

Vectra Recall bietet umfassende Metadatensuchfunktionen und unbegrenzte Datenspeicherung
Vectra Recall bietet umfassende Metadatensuchfunktionen und unbegrenzte Datenspeicherung

Schlüssige Untersuchungen von Vorfällen mit Vectra Recall

Screenshot des Recall
Mit Vectra Recall können Bedrohungsjäger anomale Verhaltensweisen erkennen

Mit Vectra Recall können Sicherheitsanalysten tiefer gehende, aussagekräftigere Untersuchungen von Vorfällen mit bemerkenswerter Effizienz durchführen.

Sicherheitsanalysten können die Kette von zusammenhängenden Ereignissen aus Angriffserkennungen von Vectra Detect, Sicherheitsprodukten von Drittanbietern und durchsuchbaren, qualitativ hochwertigen Bedrohungsdaten in historischen Netzwerk-Metadaten problemlos verfolgen.

Wenn Ereignisse oder Warnungen von Vectra Detect oder Sicherheitsprodukten anderer Anbieter eingehen, stellt Vectra Recall sicher, dass Sicherheitsanalysten einen vollständigen 360-Grad-Überblick über alle Arbeitslasten und Geräteaktivitäten erhalten.

Mit Vectra Recall können Sicherheitsanalysten Vorfälle mit beispielloser Effizienz untersuchen, indem sie den vollständigen Kontext der Vorfälle sowie relevante Details zu den zugehörigen Geräten, Konten und der Netzwerkkommunikation nutzen.

Host-basierte Untersuchungen

Vectra Recall ermöglicht es Sicherheitsanalysten, die Aktivitäten von Host-Geräten in der Umgebung einer Bedrohungserkennung zu identifizieren und signifikante Änderungen im Gesamtverhalten der Host-Geräte aufzudecken.

Durch visuelle Diagramme und Suchfunktionen macht Vectra Recall andere Host-Geräte, Konten sowie externe Domänen und IP-Adressen sichtbar, so dass Sicherheitsanalysten das gesamte Ausmaß des Vorfalls erkennen können.

Sicherheitsanalysten können auf einfache Weise eine Vielzahl verdächtiger Verhaltensweisen durchgehen, um die Spur der Beweise zu identifizieren, die zu anderen Host-Geräten führt, und auf diesem Weg effizient nach Anzeichen für eine Gefährdung suchen.

Kontobasierte Ermittlungen

Vectra Recall verbessert kontobasierte Untersuchungen, indem es die Details liefert, die Sicherheitsanalysten benötigen, um alle Verwendungen und Aktionen von potenziell gefährdeten Konten in bestimmten Zeiträumen sowie Aktionen gegen Ziele zu identifizieren.

Durch den Einsatz von Vectra Recall erhalten Sicherheitsanalysten auch ein umfassenderes Bild von einem gesamten Cyberangriff, was bei der Untersuchung anderer Host-Geräte, die möglicherweise kompromittierte Konten haben, hilfreich sein kann.

Was ist Cognito Recall?

Cognito Recall ist der frühere Name der Vectra Recall . Die Vectra AI wurde ursprünglich als"Cognito-Plattform" bezeichnet. Die Plattform und ihre Funktionen wurden umbenannt, um die Entwicklung unserer Produkte widerzuspiegeln.

Was ist der Unterschied zwischen Vectra Recall und Vectra Detect?

Vectra Recall ist eine Ergänzung zu Vectra Detect. Vectra Detect identifiziert kompromittierte Hosts in Echtzeit als Ausgangspunkt für eine Untersuchung. Vectra Recall findet Bedrohungen, die von der Erkennung übersehen wurden, indem historische Metadaten untersucht werden.

Weitere Grundlagen der Cybersicherheit

Häufig gestellte Fragen