Nuestros clientes confían en Vectra AI para detectar, investigar y responder a los ataques a la velocidad y escala de los atacantes híbridos. Sin embargo, incluso con capacidades de detección avanzadas, nuestros usuarios a menudo quieren entender las alertas que reciben y el contexto en torno a las detecciones. Esta información adicional se utiliza para contextualizar los hallazgos y responder a preguntas cruciales como la identidad de los actores implicados, si la actividad es maliciosa o legítima y dónde más se está produciendo la actividad, y si los actores persisten en otros lugares.
Comprender el flujo de trabajo de investigación: Cuándo y cómo Vectra AI viene al rescate
Como parte de nuestra investigación en curso sobre UX, nos dimos cuenta de que los equipos SOC suelen investigar cuando reciben una detección que no entienden completamente, cuando falta información o no está correctamente analizada. Cuando los analistas se encuentran con una detección, la investigación se convierte en una forma importante de recopilar más información para comprender los indicadores de compromiso o lo que el actor estaba haciendo en las últimas horas, para que puedan detectar y comparar el comportamiento normal con el malicioso. Esta información es esencial para demostrar lo sucedido, construir pruebas y tener suficiente contexto para actuar.
"Nuestro primer paso es comprender quién es el actor y la legitimidad de la actividad".
- Investigación de casos de uso, varios usuarios responden
En caso de ataque malicioso, la respuesta de los analistas del SOC se convierte en una carrera crítica contra el tiempo. En un breve espacio de tiempo, los analistas deben evaluar rápidamente las circunstancias, determinar la legitimidad de la actividad, identificar a los actores implicados y aislar los sistemas comprometidos.
A través de la investigación y muchas conversaciones en profundidad con los clientes, está claro que con demasiada frecuencia las investigaciones pueden llevar mucho tiempo y ser complejas: los analistas de los SOC a menudo tienen que cambiar entre varias herramientas para encontrar información crucial y crear una comprensión coherente de los acontecimientos, teniendo que aprender lenguajes de consulta complejos para interrogar a sus datos. Actuar con rapidez es crucial cuando hay que responder a posibles actividades maliciosas. Por lo tanto, tener fácil acceso a los datos pertinentes es extremadamente importante en tales situaciones.
Por este motivo, Vectra AI comenzó a crear herramientas para facilitar el flujo de trabajo de investigación de los analistas del SOC , recopilando sin problemas datos tanto de cloud como de fuentes de red y consolidándolos en una única plataforma de fácil acceso: , que permite una investigación sin esfuerzo en cualquier momento.
Racionalización de las investigaciones: Introducción del acceso instantáneo con la plataforma Vectra AI
Para ayudar a los equipos de los SOC a investigar patrones y posibles comportamientos maliciosos lo más rápido posible, la plataformaVectra AI engloba un conjunto de consultas predefinidas directamente en la página de la entidad. Esto permite a los analistas obtener una visión rápida de las actividades de un actor y tener los datos más valiosos a su alcance.
Instant Investigation ofrece a los usuarios una colección curada de consultas que contienen los datos más pertinentes y agregados. Estas consultas son fácilmente accesibles en el ámbito de una entidad, lo que facilita la comparación sin esfuerzo entre las detecciones desencadenadas por el actor y su comportamiento típico, eliminando la necesidad de aprender un nuevo lenguaje, dedicar tiempo a construir consultas o buscar información relevante. Esto permite a los analistas disponer fácilmente de los datos más importantes.
Estas consultas reflejan la experiencia combinada de nuestros profesionales en relación con los datos primarios que deben analizarse ante diversas detecciones, al tiempo que guían a los usuarios para profundizar en las actividades que deben priorizarse para una investigación exhaustiva que dé respuesta a posibles amenazas para la seguridad.
Eleve su análisis: Presentación de las herramientas avanzadas de investigación de Vectra AI
Investigación avanzada para una visión global
Si los datos presentados en Instant Investigation son insuficientes, o si hay indicios de posibles actividades maliciosas, los usuarios pueden sumergirse sin problemas en una investigación más avanzada y empezar a analizar los datos inmediatamente gracias a una colección curada de columnas predeterminadas elaboradas por nuestros expertos que incluyen la información más relevante.
Mejorar la comprensión con la búsqueda empresarial
La función de búsqueda empresarial de Vectra AI AI, construida sobre Inteligencia de señales de ataque Attack Signal IntelligenceTM, enriquece la comprensión de los usuarios de las alertas que reciben, añadiendo un nuevo nivel de detalle y contexto. Nuestros clientes pueden ahora investigar eficazmente los incidentes directamente dentro de la interfaz de usuario de Vectra, eliminando la necesidad de salir de la plataforma para encontrar las respuestas que buscan.
Interacción flexible con los datos
Esta función avanzada presenta una vista completa y no agregada de los datos en un formato integral. Los usuarios pueden interactuar fácilmente con los datos manipulando la vista tabular, añadiendo columnas, creando filtros personalizados y ampliando el intervalo de tiempo. Estas capacidades les permiten buscar de forma proactiva más información pertinente y profundizar en una investigación más exhaustiva en caso necesario.
Consultas fáciles
Durante las pruebas de usabilidad de nuestras nuevas herramientas de investigación, observamos que aprender un nuevo lenguaje de consulta para la exploración de datos supone un reto y requiere mucho tiempo, y puede no ajustarse a las preferencias o necesidades de todos los clientes. En la carrera contrarreloj que caracteriza las investigaciones de sucesos potencialmente maliciosos, la capacidad de ahorrar tiempo mediante la elaboración eficiente de consultas resulta crucial.
Solución de consulta potente y fácil de usar
Advanced Investigation proporciona una potente solución de búsqueda empresarial personalizada que ofrece la flexibilidad y orientación que los analistas necesitan para llevar a cabo investigaciones exhaustivas sin tener que aprender otro lenguaje de consulta.
Gracias a la implementación de este nuevo flujo de trabajo de investigación y a la introducción de un generador de consultas fácil de usar, la plataforma Vetra AI permite a los analistas de todos los niveles, desde los más jóvenes hasta los más veteranos, llevar a cabo investigaciones con mayor eficiencia y eficacia.
Exploración de datos simplificada para todos los niveles de destreza
Al probar esta función, nos dimos cuenta de que resultaba excepcionalmente beneficiosa para los analistas noveles que no dominan los lenguajes de consulta avanzados. Observamos que este método de creación de consultas les resultaba fácil de usar y muy eficaz.
Ahora, cualquiera, independientemente de su nivel de conocimientos, puede profundizar en los datos y elaborar una consulta simplemente añadiendo unos pocos filtros. Este proceso simplificado permite a todos los analistas proteger mejor a sus organizaciones frente a las ciberamenazas.
Centrarse en los datos pertinentes
Según los comentarios de nuestros clientes, los analistas SOC se enfrentan al reto de tratar con una enorme cantidad de datos sin procesar. Vectra AI garantiza que los equipos SOC solo interactúen con los campos más relevantes, lo que les permite navegar rápidamente por la información esencial para su flujo de trabajo de investigación.
Conectando los puntos a través de las superficies de ataque
Además, para ayudar a los clientes a reconocer patrones en el comportamiento de los actores a través de su entorno cloud híbrida, la plataforma Vectra AI mejora los datos conectando las actividades del actor a través de diferentes superficies de ataque. Este enfoque permite una comprensión exhaustiva de los movimientos potencialmente amenazadores a medida que interactúan con diversos conjuntos de datos.
"Investigación avanzada, es fácil de leer para poder determinar rápidamente lo que está pasando y profundizar, para hacer más consultas. Es muy útil". - Cliente de MSSP
Aprenda a armar su SOC con Instant Investigations leyendo el resumen técnico o pruebe nuestra visita autoguiada a la plataforma.