Hace unos meses, escribí sobre la nueva función de respuesta automática de la plataforma Cognito:Vectra Account Lockdown. Al integrarse con un proveedor de identificación (IdP) como Active Directory y aprovechar nuestras capacidades de detección de IA de primera clase, Account Lockdown puede desactivar automáticamente las cuentas de red que muestren actividad sospechosa.
Los analistas también tienen la opción de desactivar manualmente las cuentas durante una investigación de seguridad. Deshabilitar una cuenta puede ralentizar significativamente un ataque activo al limitar el acceso a recursos adicionales. Esto limita el radio de acción del ataque y da a su SOC más tiempo para investigar y detener el ataque. Y aunque esto ha sido increíblemente bien recibido por nuestros clientes, especialmente cuando se configura para activarse automáticamente en función de umbrales de puntuación de alta fidelidad -a saber, amenaza, certeza y privilegio observado-, sabíamos que nuestro trabajo no había terminado.
Para una aplicación inmediata y precisa, debe ir directamente al origen de un ataque y bloquear el propio punto final.
Nuestra integración con Microsoft Defender for Endpoint hace precisamente eso. Además de enriquecer los hosts de Detect con datos contextuales de los endpoints, los analistas de seguridad ahora pueden realizar el bloqueo de hosts en hosts ATP de Microsoft Defender, directamente desde la interfaz de usuario de Cognito Detect. Al igual que el bloqueo de cuentas de Vectra , el bloqueo de hosts puede ser realizado manualmente por un analista con solo pulsar un botón o configurado para la activación automática de la aplicación en función de los umbrales de puntuación de amenazas, certeza y privilegios observados del host.
Con las acciones automatizadas de aplicación activa, las organizaciones siempre deben equilibrar el riesgo. Por un lado, el exceso de celo en la aplicación de alertas erróneas provocará cortes generalizados, interrumpirá las operaciones y, en algunos casos, causará más daños que algunos ataques reales. Por otro lado, no actuar puede permitir a los atacantes afianzarse en su entorno de red.
Con Vectra Host Lockdown, aprovechamos nuestras detecciones de IA basadas en el comportamiento, las mejores del sector, con los refuerzos precisos que obtiene de Microsoft Defender for Endpoint. Esto le ofrece lo mejor de ambos mundos. Es una forma excelente de garantizar que la automatización cause las mínimas interrupciones posibles y, al mismo tiempo, le ofrezca una mayor seguridad de que los atacantes son detenidos en seco.
Obtenga más información sobre Host Lockdown y sobre nuestra integración con Microsoft Defender for Endpoint. También he creado un vídeo allí, mostrando cómo nuestros productos trabajan juntos. Y como siempre, no dude en ponerse en contacto con nosotros para obtener más información o programar una demostración.