Comunicados y actualizaciones

Cobertura

Vista previa pública de la integración de Netskope con SASE

A medida que los usuarios y las aplicaciones se desplazan más allá del perímetro corporativo, los defensores pierden visibilidad del tráfico crítico que fluye directamente a la cloud. Esto crea puntos ciegos en los que se pueden ocultar el mando y control avanzados (C2) y la filtración de datos, dejando expuestas a las organizaciones.

La nueva integración de Vectra AIcon Netskope CloudTAP cierra esta brecha. Al recibir el tráfico de GENEVE desde Netskope Stitcher, Vectra ofrece la misma visibilidad de metadatos y detección de amenazas para usuarios remotos y cloud que para usuarios locales, lo que elimina los puntos ciegos en los entornos SASE modernos.

Póngase en contacto con su equipo de cuenta de Vectra si está interesado en habilitar la integración Netskope de Vectra. Consulte Integración y optimización de Netskope SASE para obtener detalles sobre la implementación.

Mejoras rápidas

Se han realizado las siguientes mejoras en los algoritmos desde el último ciclo de lanzamiento del software. Los clientes que están conectados al servicio de actualización de Vectra con el soporte remoto activado han recibido estas mejoras. Todos los demás clientes recibirán las siguientes mejoras como parte de esta versión:

• Vectra AI detecta ahora las consultas LDAP dirigidas a cuentas de Active Directory que carecen de preautenticación Kerberos, un paso habitual en los ataques AS-REP roasting. Esta mejora ofrece una visibilidad más temprana del reconocimiento de credenciales, lo que ayuda a los equipos de seguridad a detener a los atacantes antes de que comience el abuso de credenciales.
• Vectra AI ha perfeccionado su lógica de detección de actividades de fuerza bruta RDP y rociado de contraseñas para mejorar la precisión y reducir los falsos positivos en entornos con hosts compartidos o bastiones. La mejora aclara los umbrales de detección y las descripciones, garantizando que los clientes reciban alertas de mayor fidelidad y más información procesable al investigar posibles comportamientos de fuerza bruta.
• Vectra AI ha mejorado el análisis LDAP para identificar el reconocimiento de usuarios de AD con nombres principales de servicio (SPN), un precursor de Kerberoasting. Esta actualización proporciona una detección más rápida de los ataques dirigidos a credenciales, dando a los clientes una visibilidad más profunda de las amenazas sigilosas de Active Directory.

Claridad

JA4T/JA4TS Huellas dactilares: Recall y Stream

Vectra AI incluye ahora huellas JA4T (cliente TCP) y JA4TS (servidor TCP) en metadatos, lo que aporta huellas de última generación al análisis de tráfico cifrado. Este potente marco reduce las colisiones, vincula sesiones relacionadas y facilita la detección de la infraestructura de los atacantes que se oculta tras protocolos comunes. Los analistas obtienen información más clara y rápida, con menos ruido y mejor contexto en las detecciones. Las huellas JA4T/JA4TS son ahora compatibles con Stream y Recall, y se añadirán a Advanced Investigate (RUX) a finales de este año. Más información sobre los nuevos atributos aquí.

Gráfico de ataque: Vista focalizada

Presentamos Focused View, una nueva forma de eliminar el ruido de los complejos gráficos de ataques. En lugar de abrumar a los analistas con todos los nodos y aristas, Focused View filtra las detecciones de baja prioridad y sólo muestra los enlaces y rutas de progresión más importantes. El resultado: menos desorden, menos confusión y una perspectiva clara de cómo se desarrolló un ataque. Con claridad en lugar de desorden, los equipos de seguridad pueden acelerar las investigaciones sin dejar de cambiar al gráfico completo cuando sea necesario.

Arquitectura/ Administración

Presentación del cerebro virtual Vectra para Nutanix

Vectra ofrece ahora un dispositivo Brain totalmente virtualizado para entornos Nutanix. Disponible con un rendimiento de 10 Gbps, este Brain virtual proporciona las mismas capacidades avanzadas que los dispositivos físicos, optimizados para la escalabilidad, la implementación rápida y la eficiencia operativa. Para obtener especificaciones detalladas y configuraciones compatibles, consulte la guía Especificaciones de dispositivos y sensores. Consulte la Guía de implementación de Nutanix para obtener instrucciones de implementación.

Seguridad mejorada: Acceso sólo HTTPS a la interfaz de usuario de Vectra

Para reforzar la seguridad de la plataforma, la interfaz de usuario de Vectra ahora bloquea el acceso externo a través del puerto 80 (HTTP) en lugar de redirigir automáticamente al puerto 443 (HTTPS) como lo hacía anteriormente. Con esta actualización, la interfaz de usuario de Vectra será accesible exclusivamente a través de HTTPS, reforzando aún más la seguridad de la plataforma y garantizando que todas las conexiones estén cifradas por defecto. Esta actualización sólo se aplica al Vectra Brain y no requiere ninguna acción por parte de los usuarios y mantiene su entorno alineado con las mejores prácticas de seguridad modernas.

Cobertura

Cobertura de Command and Control Sliver

Vectra AI ha introducido una nueva cobertura de detección para la actividad de Command & Control (C2) de Sliver, un marco avanzado utilizado por los equipos rojos y los actores de amenazas para eludir las defensas tradicionales. El uso que hace Sliver del cifrado, los codificadores en capas y los patrones variables de temporización y datos le permite camuflar el balizamiento malicioso dentro del tráfico cifrado normal. El modelo de aprendizaje profundo de Vectra identifica estos sutiles patrones sin depender de la inspección de la carga útil, aprovechando el mayor conjunto de datos del sector sobre el comportamiento de la red. Esta actualización mejora nuestros algoritmos actuales de balizamiento C2, ofreciendo una mayor visibilidad de los canales C2 evasivos y ayudando a los equipos de seguridad a detectar la actividad de adversarios sofisticados en una fase más temprana de la cadena de ataque.

Nueva Detección: Cambio en el registro de máquinas virtuales sospechosas de Azure

Vectra AI ha introducido una nueva detección que muestra comportamientos sospechosos relacionados con la modificación de las extensiones de registro para máquinas virtuales Windows y Linux, conjuntos de escalado de máquinas virtuales y máquinas híbridas. Esto proporciona una visibilidad más profunda de las actividades sospechosas que pueden indicar intentos de manipular la supervisión de la seguridad (registros degradados frente a registros totalmente deshabilitados).

Mejora de la detección: Criptominería Azure

Se han introducido mejoras en la detección de criptominería de Azure para filtrar comportamientos relacionados con la modificación de instancias de cálculo existentes. Esta mejora mejora la fidelidad de las alertas en torno a la creación de nuevas instancias de cálculo. El cliente debería esperar menos alertas relacionadas con este comportamiento en su entorno.

Mejoras en la detección de M365

Se han introducido mejoras en las siguientes detecciones para ampliar la cobertura:

• M365 Suspicious mailbox Rule Creation y M365 Suspicious Mail Forwarding: Estas detecciones se han mejorado para incluir la cobertura de los comportamientos relacionados con UpdateInboxRule. Como resultado de esta mejora, los clientes pueden observar un ligero aumento en los volúmenes vinculados a estas alertas.

Mejoras rápidas

Se han realizado las siguientes mejoras en los algoritmos desde el último ciclo de lanzamiento del software. Los clientes que están conectados al servicio de actualización de Vectra con el soporte remoto activado han recibido estas mejoras. Todos los demás clientes recibirán las siguientes mejoras como parte de esta versión:

• NDR-242: Vectra AI ha ampliado sus algoritmos actuales de balizamiento de Command & Control para detectar técnicas avanzadas de balizamiento C2 que utilizan datos y fluctuaciones temporales para eludir la supervisión tradicional de la red. El resultado es una mayor visibilidad del comportamiento sigiloso de C2 y una detección más temprana de las amenazas sofisticadas que intentan ocultarse dentro de la actividad normal de la red.
• NDR-302: Vectra AI ha mejorado la cobertura de detección para las comunicaciones TCP en texto plano, identificando la actividad de comandos sospechosos ocultos en el tráfico no cifrado basado en texto. Esta actualización detecta patrones de comportamiento sutiles, como el flujo anormal de paquetes y la estructura de la carga útil, para descubrir canales de comandos encubiertos que evaden la inspección tradicional. Amplía la visibilidad más allá del tráfico cifrado, reforzando la detección en todos los tipos de comunicación.
• NDR-314: Vectra AI ha ampliado la cobertura para incluir el canal HTTP en inglés de Sliver, que disfraza el tráfico de comando y control con cadenas de palabras inglesas aleatorias para que parezca legítimo. Esta mejora perfecciona la detección de la actividad ofuscada de Sliver dentro del tráfico HTTP normal, reforzando la visibilidad de las técnicas avanzadas de evasión C2.

Claridad

Reducción del volumen de alertas con AI-Triage mejorado

AI-Triage de Vectra ofrece ahora capacidades ampliadas en toda la cadena de destrucción y en las redes modernas, reduciendo significativamente los volúmenes de detección. Investiga y resuelve automáticamente las alertas benignas, reduciendo la fatiga de las alertas y preservando al mismo tiempo la visibilidad completa de las amenazas reales.

Esta capacidad personalizada, rigurosamente probada, identifica los patrones de bajo riesgo que aparecen sistemáticamente en su entorno y los resuelve automáticamente, manteniendo a su equipo centrado en el riesgo significativo.

Espere menos detecciones benignas en la red C2, reconocimiento, Azure AD, M365, Copilot para M365 y AWS.

La visibilidad nunca se pierde: las detecciones resueltas siguen siendo investigables, auditables y totalmente rastreables. No se realiza ninguna acción en su nombre más allá de la resolución.

Próximamente: Contexto ampliado del proceso EDR

En noviembre, Vectra lanzará Vectra AI Stitching con CrowdStrike EDR para todos los clientes. Esta capacidad agiliza las investigaciones encontrando automáticamente el proceso probable relacionado con una detección NDR y presentándolo junto a la detección en la plataforma y cuando el evento se recopila a través de la API.

El resultado es un NDR más potente, menos trabajo manual y mejores resultados para los equipos de seguridad. Cuál fue el proceso que condujo a C2 un navegador o un script de PowerShell, es esperado o sobresale, estas son preguntas que los analistas deben responder inmediatamente, y esta capacidad hace que eso sea instantáneo.

Para garantizar una entrega sin problemas de esta capacidad, animamos a todos los clientes de Crowdstrike a que proporcionen permisos de Lectura NGSIEM / Escritura NGSIEM para apoyar la recopilación futura de esta información. Visite Crowdstrike EDR Integration FAQ para obtener instrucciones sobre cómo conceder estos permisos.

Controlar

Mejoras del gráfico de ataques

El gráfico de ataques de Vectra AIAI es ahora más inteligente gracias a dos potentes actualizaciones. C2 Blast Radius revela instantáneamente todos los hosts que se comunican con el mismo punto final de comando y control, lo que elimina las referencias cruzadas manuales y acelera la clasificación. Targeted Detections rastrea el punto inicial de compromiso y el movimiento del atacante, proporcionando a los analistas un linaje claro de cómo se llegó a cada host o cuenta. Juntas, estas mejoras ofrecen una visibilidad más nítida, investigaciones más rápidas y respuestas más precisas. Explore las preguntas frecuentes sobre Attack Graph para obtener más información.

Arquitectura / Administración

Verificación de archivos SHA256 para el Portal de Soporte

Todos los archivos actuales y futuros en Recursos Adicionales > Descargas en nuestro Portal de Soporte incluyen ahora un hash SHA256 para validar que el archivo descargado es el mismo que se sirvió desde el Portal de Soporte. Hoy esto se aplica a las descargas de archivos OVA y Vectra Match .

Reconocimiento ampliado de cifrado TLS/SSL

Vectra AI ha ampliado su asignación de conjuntos de cifrado TLS/SSL para incluir los últimos conjuntos de cifrado TLS 1.3 y modernos, lo que garantiza que las sesiones cifradas se identifiquen con precisión y se muestren con nombres claros y legibles. Esta actualización mejora la visibilidad y la precisión del análisis del tráfico cifrado en Recall y Stream, y la compatibilidad con Advanced Investigations está prevista para una futura versión.

Grupos basados en la pertenencia a Active Directory en Quadrant UX

Incorpore sin problemas sus grupos existentes de AD a Vectra y manténgalos perfectamente sincronizados, sin más recreaciones manuales ni mantenimiento tedioso. La importación masiva elimina el trabajo administrativo repetitivo, para que sus equipos puedan centrarse en la búsqueda de amenazas, no en la gestión de grupos. Al racionalizar las reglas de triaje y reducir el ruido, actuará con mayor rapidez sobre las alertas que realmente importan. Esto es eficacia y claridad de señales, integradas. Visite Grupos de Active Directory (AD) para obtener más información.

Presentación de la búsqueda asistida por IA

Hacemos que la búsqueda e investigación de amenazas sea más rápida e inteligente. Con la búsqueda asistida por inteligencia artificial, puede formular preguntas en lenguaje sencillo, en cualquier idioma principal, y obtener al instante respuestas contextualizadas, información visual y recomendaciones sobre los pasos a seguir. Sin sintaxis de consulta, sin conjeturas, sólo inteligencia procesable al alcance de la mano. Los primeros usuarios han reducido el tiempo de investigación en hasta tres horas por caso, descubriendo riesgos que podrían haber pasado por alto. Disponible ahora para clientes de RUX con al menos 14 días de metadatos.

Agente de priorización de IA

El agente de priorización de IA detecta ahora cuándo los atacantes despliegan nuevos sistemas -desde portátiles fraudulentos hasta Raspberry Pis- y lo tiene en cuenta en la puntuación de las amenazas.

También aprende de las tendencias históricas para señalar los tipos de detecciones clave poco frecuentes en todo su entorno, lo que proporciona una priorización más rápida y precisa con menos ruido.

El cliente puede ver un pequeño número de host con las puntuaciones actualizadas. Para más información vea este prodcast. https://youtu.be/DvsvR57xCS8

Ya está disponible la nueva documentación de la API REST

Nos complace presentar el nuevo portal de documentación de la API REST de Vectra: su destino único para crear, probar e integrarse con las API de Vectra más rápido que nunca. RAD sustituye los PDF estáticos por una documentación OpenAPI dinámica y siempre precisa, que se completa con un cliente integrado para probar las solicitudes directamente desde el navegador. Ahora los desarrolladores pueden explorar, validar y generar integraciones sin problemas, lo que garantiza una automatización más rápida, menos errores y una mayor confianza en la seguridad de su entorno. A partir de la versión 3.5 de la API, toda la documentación se proporcionará exclusivamente a través del portal de documentación de la API REST: https://apidocs.vectra.ai

Mejoras rápidas

Se han realizado las siguientes mejoras en los algoritmos desde el último ciclo de lanzamiento del software. Los clientes que están conectados al servicio de actualización de Vectra con el soporte remoto activado han recibido estas mejoras. Todos los demás clientes recibirán las siguientes mejoras como parte de esta versión:

• Vectra AI detecta ahora las consultas LDAP dirigidas a cuentas de Active Directory que carecen de preautenticación Kerberos, un paso habitual en los ataques AS-REP roasting. Esta mejora ofrece una visibilidad más temprana del reconocimiento de credenciales, lo que ayuda a los equipos de seguridad a detener a los atacantes antes de que comience el abuso de credenciales.
• Vectra AI ha actualizado la descripción de su detección de fuerza bruta RDP y rociado de contraseñas para que se ajuste mejor a su comportamiento de detección. Aunque la lógica subyacente permanece inalterada, la descripción revisada aclara cómo se representa la actividad de robo de contraseñas en la interfaz de usuario, lo que ayuda a los analistas a interpretar las alertas con mayor precisión.
• Vectra AI ha mejorado el análisis LDAP para identificar el reconocimiento de usuarios AD con servicePrincipalNames (SPNs) - un precursor de Kerberoasting. Esta actualización proporciona una detección más rápida de los ataques dirigidos a credenciales, dando a los clientes una visibilidad más profunda de las amenazas sigilosas de Active Directory.

Reducción del volumen de alertas con AI-Triage mejorado

AI-Triage de Vectra ofrece ahora capacidades ampliadas en toda la cadena de destrucción y en las redes modernas, reduciendo significativamente los volúmenes de detección. Investiga y resuelve automáticamente las alertas benignas, reduciendo la fatiga de las alertas y preservando al mismo tiempo la visibilidad completa de las amenazas reales.

Esta capacidad personalizada, rigurosamente probada, identifica los patrones de bajo riesgo que aparecen sistemáticamente en su entorno y los resuelve automáticamente, manteniendo a su equipo centrado en el riesgo significativo.

Espere menos detecciones benignas en la red C2, reconocimiento, Azure AD, M365, Copilot para M365 y AWS.

La visibilidad nunca se pierde: las detecciones resueltas siguen siendo investigables, auditables y totalmente rastreables. No se realiza ninguna acción en su nombre más allá de la resolución.

Gráfico de ataque: Vista focalizada

Presentamos Focused View, una nueva forma de eliminar el ruido de los complejos gráficos de ataques. En lugar de abrumar a los analistas con todos los nodos y aristas, Focused View filtra las detecciones de baja prioridad y sólo muestra los enlaces y rutas de progresión más importantes. El resultado: menos desorden, menos confusión y una perspectiva clara de cómo se desarrolló un ataque. Con claridad en lugar de desorden, los equipos de seguridad pueden acelerar las investigaciones sin dejar de cambiar al gráfico completo cuando sea necesario.

Ampliación del registro de recursos para la cuenta de almacenamiento (CDR para Azure)

Vectra AI ahora consumirá los registros de recursos de Azure vinculados a las cuentas de almacenamiento en apoyo de nuevos y próximos casos de uso de detección. Estos nuevos registros permitirán a Vectra detectar contra el impacto y los comportamientos de exfiltración observados en las últimas etapas de la cadena de asesinato cloud . Todos los nuevos conectores CDR para Azure acumularán automáticamente los registros como parte de la configuración del conector. Para los clientes existentes de CDR para Azure, los scripts de despliegue automatizado asociados con CDR para Azure tendrán que volver a ejecutarse. Los equipos de cuentas de Vectra se pondrán en contacto con los clientes existentes para facilitar la ampliación de los registros.

Mejoras en la API de CDR para Azure Alerts

Vectra AI ha introducido mejoras en la API para incluir contexto humanamente legible enriquecido (identidad y nombres de ID de aplicación) en el CDR para alertas de Azure consumidas a través de la API. Esto ayuda a los flujos de trabajo de investigación a reducir significativamente el tiempo que necesita un analista para recopilar el contexto clave. Anteriormente, estos valores enriquecidos sólo estaban disponibles en la plataforma Vectra. Las nuevas mejoras garantizan que estos valores estén ahora presentes en los flujos de trabajo centrados en API que los clientes puedan tener implementados.

Cobertura de Command and Control Sliver

Vectra AI ha ampliado la cobertura para incluir el canal HTTP en inglés de Sliver, que disfraza el tráfico de comando y control con cadenas de palabras inglesas aleatorias para que parezca legítimo. Esta mejora perfecciona la detección de la actividad ofuscada de Sliver dentro del tráfico HTTP normal, reforzando la visibilidad de las técnicas avanzadas de evasión C2.

Cobertura de Command and Control TCP

Vectra AI ha mejorado la cobertura de detección de las comunicaciones TCP en texto plano, identificando la actividad de comandos sospechosos ocultos en el tráfico no cifrado basado en texto. Esta actualización detecta patrones de comportamiento sutiles, como el flujo anormal de paquetes y la estructura de la carga útil, para descubrir canales de comandos encubiertos que evaden la inspección tradicional. Amplía la visibilidad más allá del tráfico cifrado, reforzando la detección en todos los tipos de comunicación.

Nueva Detección: Cambio en el registro de máquinas virtuales sospechosas de Azure

Vectra AI ha introducido una nueva detección que muestra comportamientos sospechosos relacionados con la modificación de las extensiones de registro para máquinas virtuales Windows y Linux, conjuntos de escalado de máquinas virtuales y máquinas híbridas. Esto proporciona una visibilidad más profunda de las actividades sospechosas que pueden indicar intentos de manipular la supervisión de la seguridad (registros degradados frente a registros totalmente deshabilitados).

Mejora de la detección: Criptominería Azure

Se han introducido mejoras en la detección de criptominería de Azure para filtrar comportamientos relacionados con la modificación de instancias de cálculo existentes. Esta mejora mejora la fidelidad de las alertas en torno a la creación de nuevas instancias de cálculo. El cliente debería esperar menos alertas relacionadas con este comportamiento en su entorno.

Mejoras en la detección de M365

Se han introducido mejoras en las siguientes detecciones para ampliar la cobertura:

• M365Creación de reglas de buzón sospechosas y M365 Reenvío de correo sospechoso: Estas detecciones se han mejorado para incluir la cobertura de los comportamientos relacionados con UpdateInboxRule. Como resultado de esta mejora, los clientes pueden observar un ligero aumento en los volúmenes vinculados a estas alertas.

Mejoras rápidas

Se han realizado las siguientes mejoras en los algoritmos desde el último ciclo de lanzamiento del software. Los clientes que están conectados al servicio de actualización de Vectra con el soporte remoto activado han recibido estas mejoras. Todos los demás clientes recibirán las siguientes mejoras como parte de esta versión:

• NDR-242: Vectra AI ha ampliado sus algoritmos actuales de balizamiento de Command & Control para detectar técnicas avanzadas de balizamiento C2 que utilizan datos y fluctuaciones temporales para eludir la supervisión tradicional de la red. El resultado es una mayor visibilidad del comportamiento sigiloso de C2 y una detección más temprana de las amenazas sofisticadas que intentan ocultarse dentro de la actividad normal de la red.
• NDR-302: Vectra AI ha mejorado la cobertura de detección para las comunicaciones TCP en texto plano, identificando actividad de comandos sospechosa oculta en el tráfico no cifrado basado en texto. Esta actualización detecta patrones de comportamiento sutiles, como el flujo anormal de paquetes y la estructura de la carga útil, para descubrir canales de comandos encubiertos que evaden la inspección tradicional. Amplía la visibilidad más allá del tráfico cifrado, reforzando la detección en todos los tipos de comunicación.
• NDR-314: Vectra AI ha ampliado la cobertura para incluir el canal HTTP en inglés de Sliver, que disfraza el tráfico de comando y control con cadenas de palabras inglesas aleatorias para que parezca legítimo. Esta mejora perfecciona la detección de la actividad ofuscada de Sliver dentro del tráfico HTTP normal, reforzando la visibilidad de las técnicas avanzadas de evasión C2.

JA4+ Huellas dactilares

Vectra AI incluye ahora huellas JA4L, JA4X y JA4H en metadatos, lo que aporta huellas de última generación al análisis del tráfico cifrado. Este potente marco reduce las colisiones, vincula sesiones relacionadas y facilita la detección de la infraestructura de los atacantes que se oculta tras protocolos comunes. Los analistas obtienen información más clara y rápida, con menos ruido y mejor contexto en las detecciones. JA4+ es compatible con Investigate (RUX), Stream y Recall. Más información sobre los nuevos atributos aquí.

Alertas de aplicaciones externas (notificaciones Webhook)

Con las alertas de aplicaciones externas, la plataforma Vectra AI envía notificaciones instantáneas a las herramientas de colaboración de su equipo cuando se producen eventos de seguridad críticos, como hosts o cuentas de alta prioridad y alertas de sistemas clave. Ya no tendrá que mirar la pantalla ni responder con retraso: obtendrá información en tiempo real que le permitirá actuar con mayor rapidez. Ya está disponible con integración directa en Microsoft Teams y pronto será compatible con Slack. Consulte External App Alerts para obtener más información sobre la implementación.

Uso del motor de scripting de Azure AD

Vectra AI ha introducido mejoras para ampliar la gama de comportamientos y agentes de usuario cubiertos por esta detección. Las actualizaciones de la capa de análisis sintáctico ahora filtran los agentes de usuario de los registros con mayor precisión, lo que aumenta la fidelidad y reduce los falsos positivos.

Mejoras en la interfaz de usuario de Entra ID y M365 Detections

Se han introducido mejoras en varias detecciones para proporcionar un contexto adicional y agilizar los flujos de trabajo de investigación:‍

• ‍Anomalíaen la operación de privilegios de AzureAD: ahora incluye los detalles del agente de usuario cuando están disponibles.‍
• Registro de factores sospechosos de Azure AD: Actualizado para incluir el campo result_reason de los logs.‍
• Azure AD Suspicious Sign In: Actualizado para mostrar el estado del dispositivo para mejorar el contexto.‍
• M365 Spearphishing: Se ha actualizado para mostrar los nombres de archivo, lo que permite una clasificación más rápida.

Mejora del modelo de detección de Azure Cloud

Las mejoras en la detección de Azure Diagnostic Logging Disabled amplían la cobertura para incluir la eliminación de extensiones de registro tanto para máquinas virtuales Windows como Linux. Esto proporciona una visibilidad más amplia de las actividades sospechosas que pueden indicar intentos de desactivar la supervisión de la seguridad.

Mejoras rápidas

Se han realizado las siguientes mejoras en los algoritmos desde el último ciclo de lanzamiento del software. Los clientes que están conectados al servicio de actualización de Vectra AIcon el soporte remoto activado han recibido estas mejoras. Todos los demás clientes recibirán las siguientes mejoras como parte de la versión 9.3:

• NDR-251: Añade cobertura de detección de accesos Mimikatz sospechosos a través del tráfico SMB. Esto mejora nuestra capacidad para detectar posibles técnicas de robo de credenciales utilizadas habitualmente en los ataques.
• NDR-117: Amplía la cobertura del algoritmo de actividad de administración del protocolo de escritorio remoto (RDP) para mejorar la cobertura de seguridad.
• NDR-241: Añade cobertura de detección para identificar ataques de fuerza bruta a la autenticación NTLM, lo que ayuda a impedir que los atacantes accedan a las cuentas mediante repetidos intentos de inicio de sesión.

Integración de Zscaler Internet Access SSE en vista previa pública

Vectra AI y Zscaler se han unido para eliminar los puntos ciegos en el tráfico cifrado y directo cloud la nube. A través de la integración con Zscaler Internet Access (ZIA), Vectra reproduce el tráfico de usuario desde PCAP seguros para la detección de amenazas de espectro completo, descubriendo C2 avanzado y exfiltración que las herramientas tradicionales pasan por alto. Supone un cambio radical en la seguridad de los entornos remotos y cloud. Para obtener más información, consulte el comunicado de prensa y el podcast de Vectra AIAI. Póngase en contacto con su equipo de cuentas Vectra AI si está interesado en habilitar la integración ZIA de Vectra. Consulte Zscaler ZIA Integration and Optimization para obtener detalles de implementación.

Gestión integrada de conjuntos de reglas Vectra Match

Vectra Match facilita ahora la detección de Indicadores de Compromiso (IOC) conocidos con firmas compatibles con Suricata, sin necesidad de herramientas externas. A partir de la versión 9.3, puede gestionar, modificar, activar o desactivar reglas directamente en la plataforma, y sus cambios persisten incluso después de las actualizaciones de Amenazas Emergentes. Es más rápido de configurar, más sencillo de mantener y pone en sus manos el control total de la lógica de detección. Para obtener más información, visite Gestión de conjuntos de reglas Vectra AI Match .

Informe ejecutivo

Vectra AI presenta el Executive Overview Report, su instantánea de seguridad lista para la sala de juntas. Diseñado específicamente para CISO y líderes de seguridad, ofrece métricas claras y de gran impacto, como tendencias de ruido a señal y patrones de ataque en evolución. En cuestión de minutos, dispondrá de la información necesaria para mostrar el impacto de Vectra, orientar las decisiones estratégicas y demostrar cómo está reduciendo el riesgo de infracción, sin necesidad de profundizar.

Ataque Gráficos Visualizaciones En Cuadrante UX

El nuevo Gráfico de Ataques aporta claridad instantánea a las amenazas activas al mapear visualmente cómo se mueven los atacantes a través de su red, cloud y entornos de identidad. Gracias a la priorización de Vectra AI , ahora cada amenaza se muestra directamente en la página del host o de la cuenta, lo que ofrece una visión inmediata de dónde comenzó el ataque, con qué sistemas interactuó y cómo evolucionó su nivel de riesgo con el tiempo.

Los equipos de seguridad pueden elegir entre tres vistas intuitivas para investigar las amenazas de la forma que mejor se adapte a su flujo de trabajo:

• Gráfico de ataque: vea cómo se vinculan las distintas entidades durante el ataque.
• Flujo de ataque - Vea la secuencia de acciones del atacante en una ruta estructurada.
• Cronología del ataque: vea cómo ha cambiado y aumentado el riesgo de amenaza. 

Esta capacidad permite a los equipos SOC actuar con rapidez y confianza al mostrar el contexto y la urgencia en una única vista procesable. Para más información, visite las preguntas frecuentes sobre Attack Graph.

JA4/JA4S Huellas dactilares

Vectra AI incluye ahora las huellas JA4 y JA4S en los metadatos, lo que aporta una nueva generación de huellas al análisis del tráfico cifrado. Este potente marco reduce las colisiones, vincula sesiones relacionadas y facilita la detección de infraestructuras de atacantes ocultas tras protocolos comunes. Los analistas obtienen información más clara y rápida, con menos ruido y mejor contexto en las detecciones. JA4 es compatible con Investigate (RUX), Stream y Recall, y pronto lo será con otras aplicaciones del paquete JA4+. Más información sobre los nuevos atributos aquí.

Interfaz de usuario de validación del tráfico de red en Quadrant UX

A partir de la versión 9.3, Vectra AI ha introducido nuevas páginas de Validación de Tráfico. Estas páginas transforman el informe JSON de validación de tráfico en un panel intuitivo que muestra información más rápidamente y sin la molestia de analizar datos sin procesar. Las estadísticas clave se comprueban automáticamente con respecto a los umbrales de salud predefinidos, con claros indicadores rojos o amarillos que resaltan las áreas que pueden necesitar atención. Para más información, lea las preguntas frecuentes.

AI-Triage ahora resuelve automáticamente las amenazas más benignas

La inteligencia artificial patentada de Vectra AIse ha vuelto más inteligente. Nuestro algoritmo AI-Triage mejorado ahora investiga y resuelve automáticamente el 50% de las detecciones benignas de C&C y el 25% de las detecciones benignas de Recon, reduciendo drásticamente los eventos benignos. Aprovecha tanto los patrones locales como los conocimientos globales para ofrecer la señal más clara hasta la fecha. Para obtener más información sobre AI-Triage, consulte el artículo y el vídeo sobre AI-Triage.

Mejor clasificación de las amenazas con priorización por IA

Vectra AI Prioritization se ha mejorado para detectar mejor las amenazas que reflejan los cambios recientes en el comportamiento de los atacantes. Espere una mejor separación de amenazas altas y críticas, una priorización más inteligente en todo su entorno y una priorización más rápida de las amenazas. Tenga en cuenta que las puntuaciones de amenaza y certeza de algunos hosts y cuentas pueden cambiar en función de la lógica de puntuación actualizada una vez que se actualice el sistema.

Mejores prácticas de triaje

Vectra AI Vectra AI está introduciendo una nueva serie de Mejores Prácticas diseñadas para ayudar a los usuarios a sacar el máximo provecho de las características clave de la Plataforma Vectra AI . La primera publicación de esta serie se centra en el Triage. La guía de Mejores Prácticas de Triaje incluye terminología común, cuándo y por qué hacer triaje, instrucciones de cómo hacerlo, preguntas frecuentes y mucho más. Visite el artículo Triage Best Prac tices para perfeccionar su flujo de trabajo de Triage.

Eliminación de VirusTotal

Vectra AI ha eliminado la integración de VirusTotal de Quadrant UX debido a cambios en las licencias. La ventana emergente de Destino Externo ya no muestra datos de VirusTotal, y en la próxima versión se realizará una limpieza completa de la interfaz de usuario para evitar confusiones. Para comentarios o preguntas sobre esta eliminación, póngase en contacto con su equipo de cuenta Vectra AI .

Nueva suite de detección: AWS S3

Vectra AI ha introducido tres nuevas detecciones para sacar a la luz comportamientos sospechosos en torno al uso de AWS S3 en las fases de impacto y extracción de la cadena de destrucción de cloud :

• Eliminación sospechosa por lotes de S3 de AWS: Esta detección saca a la superficie comportamientos asociados con descargas a gran escala y eliminaciones asociadas con múltiples archivos. Este comportamiento puede indicar la fase de manipulación destructiva de la actividad del ransomware en el entorno.
• Eliminación sospechosa de objetos de S3 de AWS: Al igual que la nueva detección de eliminación por lotes de S3, esta detección destaca comportamientos en los que se descargaron objetos individuales y luego se eliminaron de un bucket de S3 de una manera que puede indicar la fase de manipulación destructiva de la actividad de ransomware en el entorno.
• Cifrado sospechoso en S3 de AWS: Esta detección destaca actividades de cifrado inusuales que podrían indicar una fase de cifrado de ransomware en curso.Está diseñado para sacar a la superficie el cifrado de muchos objetos S3 utilizando una clave externaKMS (SSE-KMS) o una clave controlada por el cliente (SSE-C).

Mejoras de señalización en M365, Azure AD y Azure

Se han introducido mejoras en las siguientes detecciones de AAD, Microsoft 365 y Azure para tener más en cuenta el riesgo de los comportamientos subyacentes y mostrarlos rápidamente para su revisión. La introducción de estas mejoras puede dar lugar a cambios en el número de entidades priorizadas dentro de la plataforma Vectra AI :

• M365 Actividad sospechosa de Power Automate: Esta detección alerta sobre posibles comportamientos de exfiltración o C2 utilizando Power Automate en el entorno. Las mejoras introducidas en esta detección se traducen en mejoras significativas en la fidelidad de esta detección y la reducción de la tasa de falsos positivos observados en esta detección y detecciones similares (M365 Power Automate HTTP Flow Creation y M365 Suspicious Power Automate Flow Creation).
• Azure AD Privilege Operation Anomaly: Esta detección alerta sobre operaciones anómalas de Azure AD potencialmente asociadas con la escalada de privilegios. Vectra AI está mejorando esta detección para afinar los comportamientos considerados anómalos. El resultado esperado es una disminución del ruido en torno a esta detección.
• Operación arriesgada de Exchange: Esta detección alerta sobre operaciones privilegiadas dentro de Exchange que pueden ser objeto de abuso por parte de un atacante. Vectra AI está mejorando el alcance de los comportamientos considerados para esta alerta y eliminando acciones potencialmente benignas en Exchange (como la configuración de respuestas automáticas). Los clientes pueden esperar una reducción significativa del volumen (más del 30%) gracias a estas mejoras.
• Registro de diagnóstico de Azure deshabilitado: Esta detección detecta comportamientos que afectan a la defensa en relación con la eliminación de la configuración de los registros de diagnóstico de Azure. La detección se ha mejorado para ampliar la cobertura en torno a la eliminación del registro de diagnóstico en máquinas virtuales (VM). Los clientes pueden observar un aumento menor en los volúmenes de detección asociados con esta mejora.

Mejoras rápidas

Se han realizado las siguientes mejoras en los algoritmos desde el último ciclo de lanzamiento del software. Los clientes que están conectados al servicio de actualización de Vectra AIcon el soporte remoto activado han recibido estas mejoras. Todos los demás clientes recibirán las siguientes mejoras como parte de la versión 9.3:

• NDR-222: Actualiza el título de una detección de Actividad de Protocolo Sospechosa para el uso sospechoso de la Administración Remota de Windows (WinRM). El nuevo título es "Posible uso malintencionado de WinRM" para reflejar mejor la naturaleza del comportamiento.
• CS-10426: Se ha resuelto un problema que afectaba a algunas detecciones de Actividad de protocolo sospechosa en las que las direcciones IP de origen y destino se atribuían incorrectamente debido a que el cliente actuaba como proxy. Esta corrección se ha aplicado a todos los algoritmos de detección pertinentes.
• NDR-251: Amplía la cobertura de detección contra técnicas de penetración utilizadas por el repositorio de paquetes Kali Linux.
• NDR-251: Amplía la detección de Actividad Tor identificando IPs de destino que coinciden con nodos Tor conocidos.

Contexto más sólido con las nuevas mejoras del gráfico de ataques

‍VectraVectra AI ha mejorado el Gráfico de Ataques con dos nuevas y potentes funciones. En primer lugar, ahora los analistas pueden ver las detecciones dirigidas directamente a la entidad que están investigando, lo que facilita la respuesta a la pregunta: "¿Cómo se ha visto comprometida esta entidad?". Esto ayuda a localizar rápidamente al "paciente cero" incluso en escenarios complejos de movimiento lateral. En segundo lugar, el gráfico de ataques ahora visualiza el radio de explosión de los canales de mando y control (C2), ampliándose automáticamente para mostrar todas las entidades vinculadas al mismo dominio o IP maliciosos. En conjunto, estas mejoras aceleran las investigaciones, revelan vínculos ocultos y ofrecen a los equipos un contexto completo para detener los ataques con mayor rapidez.

Acelere las investigaciones con la caza en cinco minutos

Noscomplace anunciar que ya están disponibles las búsquedas de cinco minutos en Advanced Investigations. Estas búsquedas guiadas revelan información significativa en metadatos sin necesidad de que los clientes dominen SQL o terminología especializada. Los equipos de seguridad pueden descubrir rápidamente los patrones de los atacantes, demostrar el valor proactivo "en tiempo de paz" y aumentar la eficacia con unos pocos clics. Entre bastidores, la función está impulsada por nuestro marco flexible de entrega de contenidos, que incluye diseños adaptables, animaciones fluidas y atractivos efectos visuales para que la experiencia del analista sea perfecta.

Alertas de aplicaciones externas (notificaciones Webhook)

Con las alertas de aplicaciones externas, Vectra AI envía notificaciones instantáneas a las herramientas de colaboración de su equipo cuando se producen eventos de seguridad críticos, como hosts o cuentas de alta prioridad y alertas de sistemas clave. Ya no tendrá que mirar la pantalla ni responder con retraso: obtendrá información en tiempo real que le permitirá actuar con mayor rapidez. Ya está disponible con integración directa en Microsoft Teams y pronto será compatible con Slack. Consulte External App Alerts para obtener más información sobre la implementación.

JA4+ Huellas dactilares

‍VectraVectra AI incluye ahora huellas JA4, JA4S, JA4L, JA4X y JA4H en metadatos, lo que aporta huellas de última generación al análisis del tráfico cifrado. Este potente marco reduce las colisiones, vincula sesiones relacionadas y facilita la detección de la infraestructura de los atacantes que se oculta tras protocolos comunes. Los analistas obtienen información más clara y rápida, con menos ruido y mejor contexto en las detecciones. JA4+ es compatible con Investigate (RUX), Stream y Recall. Más información sobre los nuevos atributos aquí. ‍

Investigaciones más sencillas con datos CDR de Azure legibles por humanos

Vectra AI ha facilitado el uso de Azure CDR sustituyendo los confusos UUID por nombres claros y legibles. Los nombres de las cuentas en la API REST reflejan ahora Entra ID reconocibles, mientras que la actividad de detección muestra nombres intuitivos de objetos y aplicaciones. Los analistas ya no necesitan descifrar los ID en bruto, lo que agiliza el triaje, facilita las investigaciones y hace que los cuadros de mando sean más procesables.

Grupos basados en la pertenencia a Active Directory

Incorpore sin problemas sus grupos existentes de AD a Vectra y manténgalos perfectamente sincronizados, sin más recreaciones manuales ni mantenimiento tedioso. La importación masiva elimina el trabajo administrativo repetitivo, para que sus equipos puedan centrarse en la búsqueda de amenazas, no en la gestión de grupos. Al racionalizar las reglas de triaje y reducir el ruido, actuará más rápidamente sobre las alertas que realmente importan. Esto es eficacia y claridad de señales, integradas. Visite Grupos de Active Directory (AD) para obtener más información. 

Integración de Zscaler Internet Access SSE en vista previa pública

Vectra AI y Zscaler se han unido para eliminar los puntos ciegos en el tráfico cifrado y directo cloud la nube. A través de la integración con Zscaler Internet Access (ZIA), Vectra reproduce el tráfico de usuario desde PCAP seguros para la detección de amenazas de espectro completo, descubriendo C2 avanzado y exfiltración que las herramientas tradicionales pasan por alto. Supone un cambio radical en la protección de entornos remotos y cloud. Para más información, consulte la nota de prensa y el podcast de Vectra. Póngase en contacto con su equipo de cuentas de Vectra si está interesado en habilitar la integración ZIA de Vectra. Consulte Zscaler ZIA Integration and Optimization para obtener detalles de implementación.

Una visión ejecutiva más profunda con eficacia de señal en los informes del CISO

Vectra AI ahora incorpora métricas de eficacia de las señales directamente en los informes de los CISO, mostrando cómo se resolvieron las detecciones y las entidades como benignas, remediadas o no clasificadas. Este contexto añadido demuestra el valor de las detecciones más importantes para los analistas y destaca los resultados de la corrección de un vistazo. Los ejecutivos obtienen una visibilidad clara de la calidad de las amenazas, lo que les permite tomar decisiones de seguridad más inteligentes y demostrar el valor cuantificable de Vectra. 

Visibilidad más inteligente con Network Discovery Dashboard

Vectra AI presenta Network Discovery Dashboard, una nueva y potente forma de explorar su entorno con un mapa de red interactivo. Los analistas ahora pueden rastrear hosts e IPs visualmente, detectar anomalías en contexto y acelerar las investigaciones con una navegación intuitiva. Este panel simplifica los entornos complejos, convirtiendo los datos de red sin procesar en información práctica para responder a las amenazas con mayor rapidez y confianza.

Ampliación de la oferta de BPC Cerebro

A partir de la versión 9.2, Vectra introduce ofertas adicionales de Brain alojados en Google Cloud Platform, o GCP. Los nuevos GCP Brains son capaces de manejar 5Gb/s y 15Gb/s y soportan las mismas características que otros Cloud Brains. 

Añadido Soporte de Grupo Añadido para v2.x. API QUX

A partir de la versión 9.2, Vectra soporta la obtención de miembros de grupo desde el endpoint /groups. Para obtener más información, consulte: https://support.vectra.ai/vectra/article/KB-VS-1638

AI-Triage para detecciones en Cloud AWS y Azure

Vectra AI ha introducido AI Triage, su solución patentada de IA agéntica en sus carteras de cobertura de AWS y Azure. AI-Triage ahora investiga automáticamente las alertas de AWS Cloud y Azure Cloud basándose en factores como la prevalencia y los perfiles de amenazas para filtrar las actividades benignas en los entornos de los clientes. El impacto de AI-Triage es una reducción de las entidades priorizadas y las cargas de trabajo de investigación correspondientes para los analistas de SOC.

Actividad de protocolo sospechosa: Detecciones internas

Vectra AI está ampliando la cobertura de las detecciones de Actividad de protocolo sospechosa. Ahora, Sospect Protocol Activity incluye detecciones que cubren ataques internos laterales/reconectados y es compatible con los protocolos LDAP, Kerberos, NTLM y SMB. Esta función está desactivada por defecto, pero puede ser activada por el cliente y se incluye como parte de la línea estándar de productos Detect. Para más información sobre SPA, consulte https://support.vectra.ai/s/article/KB-VS-1793.

Actividad de protocolo sospechosa: Fuerza bruta

Vectra AI está ampliando la cobertura de las detecciones de Actividad de protocolo sospechosa. Ahora, SPA puede detectar intentos de fuerza bruta en todos los protocolos. Esta regla detecta los ataques de fuerza bruta en los que un atacante intenta varias solicitudes de autenticación en un breve periodo de tiempo. Los ataques de fuerza bruta pueden dirigirse a varios protocolos como SMB, LDAP, FTP, RDP, SSH y HTTP, y a menudo son utilizados por adversarios para obtener acceso no autorizado a cuentas.

Nueva detección: Actividad de retransmisión NTLM

Vectra AI ha introducido una nueva detección para NTLM Relay Activity. Esto mejora la visibilidad de Vectra de las técnicas de movimiento lateral utilizadas por los atacantes. Esta detección identifica los intentos de explotar la autenticación NTLM observando cuando un atacante consulta un host y retransmite la autenticación capturada a otro host, a menudo como parte de los esfuerzos de escalada de privilegios o compromiso de dominio.

Nueva detección: M365 Copilot Detección de Datos Sensibles

Vectra AI ha introducido una nueva detección para los comportamientos de descubrimiento en torno a M365 CoPilot. La nueva detección de descubrimiento de datos confidenciales de M365 CoPilot en la que una sesión de CoPilot fue aprovechada por una identidad para acceder a archivos que pueden contener información confidencial. El objetivo de esta detección es identificar a los actores de amenazas que utilizan una cuenta en el entorno para descubrir información confidencial.

Nuevo conjunto de detecciones: Detecciones de lecho de roca de AWS

Vectra AI ha introducido cuatro nuevas detecciones para sacar a la luz comportamientos sospechosos en torno al uso de AWS Bedrock, un servicio totalmente administrado ofrecido por AWS que simplifica la creación y el despliegue de aplicaciones de IA generativa.

• Configuración de registro de AWS Bedrock deshabilitada: Esta detección destaca los casos en los que se ha observado a un director deshabilitando el registro de avisos para AWS Bedrock a nivel regional. La desactivación del registro de avisos detiene la captura de toda la actividad de avisos y respuestas en los modelos de AWS Bedrock y puede indicar un intento de dañar las defensas u ocultar el uso malicioso.
• Modelo novedoso de AWS Bedrock habilitado: Esta detección identifica actividades sospechosas relacionadas con la habilitación de un modelo de AWS Bedrock por parte de una identidad que no tiene historial previo de realizar dichas acciones. Señala el posible acceso no autorizado a servicios de IA generativa que pueden ser sensibles desde el punto de vista de la seguridad y estar asociados a un alto costo.
• Actividad sospechosa de AWS Bedrock: Esta detección identifica actividad sospechosa relacionada con la habilitación e invocación de un modelo de AWS Bedrock por parte de una identidad que no tiene historial previo de realizar dichas acciones. La combinación de habilitación seguida de la invocación de un modelo sugiere que un atacante está probando y utilizando el modelo, generando respuestas a expensas de la víctima.
• Novedad de AWS Bedrock habilitada: Detecta cada instancia cuando se habilita un modelo fundacional de AWS Bedrock, ya que esta acción no es común y puede tener implicaciones de costes o seguridad. Se trata de una detección informativa y no contribuye a la puntuación o priorización de la entidad. Pretende ser una información relevante para la seguridad y no puede considerarse sospechosa de inmediato.

Mejoras de la señalización

Reducción significativa de las alertas de priorización benignas mediante mejoras en el algoritmo de priorización de IA de Vectra y actualizaciones de detección. En algunos casos, los clientes pueden ver hasta un 50 % menos de alertas de cuentas y hosts priorizados, sin sacrificar la cobertura de las amenazas reales.

• Azure AD y M365: Se han perfeccionado las alertas de priorización para cuentas con detecciones específicas, reduciendo las alertas benignas a la vez que se mantiene la detección de ataques modernos. Las detecciones afectadas incluyen Actividad de descarga sospechosa de M365, que ahora incorpora el contexto de número de sistema autónomo (ASN), y Motor de secuencias de comandos sospechosas de Azure AD, con un análisis sintáctico mejorado para el ag...

Mejoras rápidas

Se han realizado las siguientes mejoras en los algoritmos desde el último ciclo de lanzamiento del software. Los clientes que están conectados al servicio de actualización de Vectra con el soporte remoto activado han recibido estas mejoras. Todos los demás clientes recibirán las siguientes mejoras como parte de la versión 9.2:

• NDR-166: Esta versión mejora la detección de túneles DNS ampliando la cobertura en todos los tipos de respuesta DNS, lo que proporciona una detección de amenazas más amplia y precisa.
• NDR-144: Mejora las detecciones C2 contra las técnicas utilizadas por el Covenant C2 Framework.
• NDR-202: Esta versión mejora el rendimiento del algoritmo de nuestras detecciones de filtración, lo que permite una identificación más rápida de las amenazas.
• NDR-195: Mejora las detecciones HTTP contra técnicas de penetración utilizadas por el Repositorio de Paquetes de Kali Linux.
• NDR-221: Mejora las detecciones HTTP contra el uso sospechoso de Windows Remote Management (WinRM), reforzando la visibilidad del potencial abuso de este protocolo.
• NDR-232: Mejora las detecciones de Actividad HTTP sospechosa para tener en cuenta el uso de proxy, mejorando la precisión de la detección en entornos con proxy.

AI-Triage ahora resuelve automáticamente las amenazas más benignas

La inteligencia artificial patentada de Vectra AIse ha vuelto más inteligente. Nuestro algoritmo AI-Triage mejorado ahora investiga y resuelve automáticamente el 50% de las detecciones benignas de C&C y el 25% de las detecciones benignas de Recon, lo que reduce drásticamente los eventos benignos. Aprovecha tanto los patrones locales como los conocimientos globales para ofrecer la señal más clara hasta la fecha.Para obtener más información sobre AI-Triage, consulte la KB de AI-Triage y nuestro reciente vídeo de actualización.

Nuevo conjunto de detecciones: Detecciones de lecho de roca de AWS

Vectra AI ha introducido cuatro nuevas detecciones para sacar a la luz comportamientos sospechosos en torno al uso de AWS Bedrock, un servicio totalmente administrado ofrecido por AWS que simplifica la creación y el despliegue de aplicaciones de IA generativa. 

• Configuración de registro de AWS Bedrock deshabilitada: Esta detección destaca los casos en los que se ha observado a un director deshabilitando el registro de avisos para AWS Bedrock a nivel regional. La desactivación del registro de avisos detiene la captura de toda la actividad de avisos y respuestas en los modelos de AWS Bedrock y puede indicar un intento de dañar las defensas u ocultar el uso malicioso. 
• Modelo novedoso de AWS Bedrock habilitado: Esta detección identifica actividades sospechosas relacionadas con la habilitación de un modelo de AWS Bedrock por parte de una identidad que no tiene historial previo de realizar dichas acciones. Señala el posible acceso no autorizado a servicios de IA generativa que pueden ser sensibles desde el punto de vista de la seguridad y estar asociados a un alto costo. 
• Actividad sospechosa de AWS Bedrock: Esta detección identifica actividad sospechosa relacionada con la habilitación e invocación de un modelo de AWS Bedrock por parte de una identidad que no tiene historial previo de realizar dichas acciones. La combinación de habilitación seguida de la invocación de un modelo sugiere que un atacante está probando y utilizando el modelo, generando respuestas a expensas de la víctima.
• Novedad de AWS Bedrock habilitada: Detecta cada instancia cuando se habilita un modelo fundacional de AWS Bedrock, ya que esta acción no es común y puede tener implicaciones de costes o seguridad. Se trata de una detección informativa y no contribuye a la puntuación o priorización de la entidad. Pretende ser una información relevante para la seguridad y no puede considerarse sospechosa de inmediato. 

Nueva suite de detección: AWS S3

Vectra AI ha introducido tres nuevas detecciones para sacar a la luz comportamientos sospechosos en torno al uso de AWS S3 en las fases de impacto y extracción de la cadena de destrucción de cloud : 

• Eliminación sospechosa por lotes de S3 de AWS: Esta detección saca a la superficie comportamientos asociados con descargas a gran escala y eliminaciones asociadas con múltiples archivos. Este comportamiento puede indicar la fase de manipulación destructiva de la actividad del ransomware en el entorno. 
• Eliminación sospechosa de objetos de S3 de AWS: Al igual que la nueva detección de eliminación por lotes de S3, esta detección destaca comportamientos en los que se descargaron objetos individuales y luego se eliminaron de un bucket de S3 de una manera que puede indicar la fase de manipulación destructiva de la actividad de ransomware en el entorno. 
• Cifrado sospechoso en S3 de AWS: Esta detección destaca actividades de cifrado inusuales que podrían indicar una fase de cifrado de ransomware en curso.Se ha diseñado para detectar el cifrado de muchos objetos de S3 mediante una clave KMS externa (SSE-KMS) o una clave controlada por el cliente (SSE-C). 
  

Habilitación perfecta de Azure CDR

Vectra AI ha agilizado la habilitación de Azure CDR con una nueva corrección del servicio de redirección. Ahora, los clientes pueden implementar Azure CDR sin problemas y sin restricciones de VPN o IP que bloqueen la configuración. Esto elimina la fricción en la incorporación de la telemetría cloud , lo que garantiza una rentabilidad más rápida y una visibilidad inmediata de las amenazas de Azure. Los equipos de seguridad obtienen una cobertura más rápida con menos complicaciones. 

Gestión integrada de conjuntos de reglas Vectra Match

Vectra Match facilita ahora la detección de Indicadores de Compromiso (IOC) conocidos con firmas compatibles con Suricata, sin necesidad de herramientas externas. A partir de la versión 9.3, puede gestionar, modificar, activar o desactivar reglas directamente en la plataforma, y sus cambios persisten incluso después de las actualizaciones de Amenazas Emergentes. Es más rápido de configurar, más sencillo de mantener y pone en sus manos el control total de la lógica de detección. Para obtener más información, visite Gestión de conjuntos de reglas Vectra Match .

Presentación: Informe ejecutivo general

Vectra presenta el informe Executive Overview sobre la plataforma Vectra AI . Este informe está dirigido a los CISO y a los ejecutivos de seguridad que necesitan aportar métricas de alto nivel a sus reuniones de junta directiva o de nivel ejecutivo. Las métricas incluyen el túnel de ruido a señal, el tiempo de investigación ahorrado con Vectra, las tendencias de ataque y mucho más. Este informe permite a los ejecutivos tomar decisiones estratégicas y evaluar cómo Vectra reduce el riesgo de violación de la seguridad para su organización.

Presentación: Vista Global

Global View permite a las grandes empresas y a los MSSP gestionar e investigar de forma centralizada las amenazas en varios Brains y tenants desde una única implantación RUX, lo que resulta ideal para operaciones globales con entornos complejos.

Presentación Gráficos de ataque

El nuevo Gráfico de Ataques aporta claridad instantánea a las amenazas activas mapeando visualmente cómo se mueven los atacantes a través de su red, cloud y entornos de identidad. Gracias a la priorización de IA de Vectra, ahora cada amenaza se muestra directamente en la página del host o de la cuenta, lo que le proporciona una visión inmediata de dónde comenzó el ataque, con qué sistemas interactuó y cómo evolucionó su nivel de riesgo con el tiempo.

Los equipos de seguridad pueden elegir entre tres vistas intuitivas para investigar las amenazas de la forma que mejor se adapte a su flujo de trabajo:

• Gráfico de conectividad: vea cómo se vinculan las distintas entidades durante el ataque.
• Gráfico de árbol - Visualice la secuencia de acciones del atacante en una ruta estructurada.
• Puntuación histórica a lo largo del tiempo: comprenda cómo ha cambiado y aumentado el riesgo de la amenaza.

Esta capacidad permite a los equipos SOC actuar con rapidez y confianza al mostrar el contexto y la urgencia en una única vista procesable.

Resuelto el problema de descarga del informe de validación de tráfico

Hemos resuelto un problema que impedía a algunos clientes, sobre todo a los de entornos RUX de gran tamaño, descargar el informe de validación de tráfico de red cuando su tamaño superaba los 6 MB aproximadamente. El flujo de trabajo se ha mejorado para admitir descargas de informes de mayor tamaño, lo que garantiza un acceso fiable a los datos de validación del tráfico independientemente del tamaño del informe.

Introducción de la red de sistemas Vectra X47/M47

A partir de la versión 9.1, Vectra presenta los nuevos sistemas X47 y M47. Al igual que otros sistemas de la serie X, el X47 puede desplegarse como cerebro, sensor o en modo mixto. El M47 soporta Vectra Stream a velocidades de hasta 75 Gbps. El hardware cuenta con 4 x 1 Gbps de cobre y 2 x 10/25 Gbps SFP28. Para obtener más información sobre las especificaciones del dispositivo, consulte las Especificaciones del dispositivo y del sensor. 

Para las guías de implantación, consulte la Guía de inicio rápido de X47 o la Guía de inicio rápido de M47. 

Modificación del tipo de grupo en Quadrant UX Network

A partir de 9.1, Vectra soporta la conversión entre tipos de grupos estáticos y dinámicos para despliegues QUX. Los filtros de triaje existentes que hacen referencia a un grupo estático, seguirán funcionando sin necesidad de ningún cambio después de que el grupo se redefina utilizando una expresión regular en la configuración del grupo dinámico. Esto debería permitir una mayor flexibilidad y facilidad de implementación a medida que los clientes cambian a grupos dinámicos. Para obtener más información sobre los grupos dinámicos, consulte las Preguntas frecuentes sobre grupos dinámicos.

Mejoras en la gestión de claves SSL

A partir de la versión 9.1, Vectra AI ahora soporta certificados de Criptografía de Curva Elíptica (ECC). Los clientes pueden cargar su propio certificado a través de los comandos existentes. Además, se han actualizado los comandos que admiten la solicitud de firma de certificado (CSR). Uso:

• Reemplazar clave de certificado" para generar una nueva clave y un certificado autofirmado para el servidor HTTPS, esencialmente restableciéndolo a los valores por defecto pero permitiendo al cliente personalizar la longitud de la clave.
• `certificate info` para imprimir alguna información sobre el certificado HTTPS actual para que la vea el usuario.

Para más detalles sobre la instalación del certificado, consulte: Instalación de certificados SSL (sólo Quadrant UX).

Actualización de la versión Vectra Match Suricata

Vectra AI ha actualizado el Suricata para soportar nuevas características en el motor Suricata incluyendo JA4 y hemos habilitado el análisis de protocolos para los protocolos OT. La configuración base suricata.yaml también ha sido actualizada para reflejar las últimas características de Suricata. Para más detalles sobre la configuración de Suricata de Vectra, consulte: Configuración de Vectra Match Suricata.

Añadido soporte Oauth2 para v2.x. API QUX

Vectra ai ha actualizado las APIs de QUX v2.x para incluir soporte para autenticación OAuh2. Ahora, tanto el Token de Acceso Personal (PAT) existente como el flujo Oauth2 son soportados en v2.x. El token de acceso Oauth2 será válido durante 6 horas, después de las cuales expirará, y será necesario solicitar un nuevo token utilizando las credenciales del cliente API. La creación del cliente API debe realizarse únicamente en la interfaz de usuario de Vectra. El acceso a las API v2.x anteriores a la v2.5 funciona de la misma manera que para la v2.5. La colección pública de postman se ha actualizado para todas las versiones v2.x. Para obtener más información, consulte: REST API Quick Start Guide for Postman v2.5 using OAuth2 (QUX).

Mejora de la detección de túneles ocultos

Se ha mejorado la detección de túneles ocultos para identificar nuevas conexiones sin balizas que se ponen en contacto con sistemas externos. Esta mejora proporciona una nueva cobertura para las herramientas de ataque sin balizas basadas en la línea de comandos de túneles ocultos. Para obtener más información sobre la detección de túneles ocultos en general, consulte Comprender las detecciones Vectra AI .

RDP Recon Detection Enhancement

La detección RDP Recon ha sido mejorada para detectar ataques RDP Password Spray en los que un atacante puede intentar probar un pequeño número de contraseñas contra un gran número de cuentas. La versión anterior de RDP Recon se centraba en un atacante que intentaba probar un gran número de contraseñas contra una cuenta, esta mejora amplía RDP Recon para cubrir escenarios en los que se lleva a cabo un ataque de fuerza bruta muy superficial a través de muchas cuentas.

Mejoras en la detección de AWS AWS

Se han introducido mejoras en las siguientes detecciones de AWS para mejorar la fidelidad asociada a ellas. La introducción de estas mejoras da como resultado una cobertura más amplia de los comportamientos maliciosos y puede estar asociada a pequeños aumentos en las entidades priorizadas dentro de los entornos de los clientes.

• Criptominería de AWS: Esta detección alerta sobre comportamientos relacionados con el inicio de varias instancias informáticas de alta potencia. Se ha ampliado para mostrar una gama más amplia de actividades de ciberpiratería atribuidas a responsables humanos y no humanos. Es posible que los clientes observen un pequeño aumento en el volumen de detecciones.

• Herramientas de ataque de AWS: Esta detección alerta sobre herramientas de ataque conocidas en un entorno AWS. Se ha mejorado para aumentar la fidelidad y reducir la tasa de falsos positivos.

Mejoras de la señalización 

Reducción significativa de las alertas de priorización benignas mediante mejoras en el algoritmo de priorización de IA de Vectra y actualizaciones de detección. En algunos casos, los clientes pueden ver hasta un 50 % menos de alertas de cuentas y hosts priorizados, sin sacrificar la cobertura de las amenazas reales.

• Azure AD y M365: Se han refinado las alertas de priorización para cuentas con detecciones específicas, reduciendo las alertas benignas a la vez que se mantiene la detección de ataques modernos. Las detecciones afectadas incluyen M365 DLL Hijacking Activity, Azure AD Suspicious Access from Cloud Provider y Azure AD Suspicious Sign-on.

• Red: Se han refinado las alertas de priorización para hosts con detecciones específicas, reduciendo las alertas benignas a la vez que se mantiene la detección de ataques modernos. Entre las detecciones afectadas se incluyen patrones como actividad administrativa sospechosa y concurrencias de exploración de puertos, exploración de la red oscura y barridos de puertos.

Mejoras rápidas

Se han realizado las siguientes mejoras en los algoritmos desde el último ciclo de lanzamiento del software. Los clientes que están conectados al servicio de actualización de Vectra con el soporte remoto activado han recibido estas mejoras. Todos los demás clientes recibirán las siguientes mejoras como parte de la versión 9.1:

• NDR-96: Esta versión introduce una mejora en nuestro algoritmo RDP Recon, ampliando la cobertura de los ataques RDP Sweep en los que se utilizan evasiones para limitar la cantidad de contraseñas intentadas por cuenta.
• NDR-106: Mejora nuestras detecciones C2 contra las técnicas utilizadas por Mythic C2.
• NDR-104: Esta versión introduce cobertura de ataque para el exploit Apache Camel Case: CVE-2025-27636.
• NDR-73: Esta versión introduce una mejora de la señal de ataque para el Acceso Remoto Externo con el fin de disminuir las detecciones positivas verdaderas benignas a destinos populares.
• NDR-108: Esta versión introduce una mejora para aumentar la escala y la salud de Beacon Detector cuando está bajo una carga pesada, mediante la limitación de los metadatos beacon para destinos benignos populares en el medio ambiente.

Mejora de la búsqueda por nombre de sensor

Hemos mejorado la funcionalidad de búsqueda en la página de detecciones para permitir la búsqueda por nombre de sensor en lugar del LUID interno del sensor. Esta actualización responde a los comentarios de los clientes y facilita la búsqueda de detecciones asociadas a sensores específicos con nombres reconocibles.

Detección mejorada del abuso de copilotos en M365

En respuesta al gran interés de los clientes, estamos ampliando la protección contra posibles abusos de Microsoft Copilot. Además de la detección de acceso sospechoso a Copilot M365 existente (que señala el acceso desde ubicaciones inusuales), estamos introduciendo una nueva detección: M365 Copilot Sensitive Data Discovery. Identifica el comportamiento de los atacantes que intentan localizar documentos confidenciales a través de Copilot en Microsoft 365.

Enriquecer el contexto de priorización de la IA

Vectra muestra ahora perfiles de ataque personalizados cuando las detecciones abarcan varias superficies de ataque, lo que ayuda a identificar amenazas complejas con mayor claridad. Se han introducido dos nuevos tipos de perfiles:

• Adversario de red híbrida: Indica un atacante activo tanto en entornos de identidad de red como de identidad cloud , lo que sugiere una actividad coordinada en infraestructuras locales y cloud .
• Adversario de servicios en varias Cloud : Representa a un atacante que opera a través de múltiples servicios cloud-como proveedores de identidad, plataformas SaaS o entornos de cloud pública- sin contacto directo con los sistemas de identidad de la red.

Estos perfiles están diseñados para reflejar la naturaleza de las amenazas híbridas y mejorar el contexto de las amenazas en la interfaz de usuario.

Soporte AI Triage para detecciones Azure

Vectra está mejorando la compatibilidad con las detecciones de Azure mediante la habilitación de AI Triage para las alertas Azure CDRCloud Detection and Response). Para cada tipo de detección de Azure existente, estamos evaluando y aplicando algoritmos de destilación de IA adecuados, definiendo campos de contexto relevantes y abordando cualquier requisito de gestión específico. Esto ayudará a obtener información de alta fidelidad de forma más eficiente y mejorará la claridad de la detección dentro de la plataforma.

Introducción de Grupos Dinámicos en Cuadrante

A partir de la versión 9.0, Vectra AI ahora soporta Grupos Dinámicos en Quadrant UX. Los Grupos Dinámicos son una característica de la Plataforma Vectra AI que permite a los clientes utilizar reglas Regex para definir qué hosts o cuentas deben pertenecer a cada grupo de triaje, lo que resulta en entidades que se clasifican automáticamente en grupos a medida que se detectan. Esta función reducirá la cantidad de tiempo que los clientes dedican a gestionar y actualizar los grupos. La compatibilidad de Respond UX con esta función se introdujo en diciembre de 2024. Para obtener más información, consulte: https://support.vectra.ai/s/article/KB-VS-1839.

Red de cerebros GCP de alto rendimiento

Vectra ai ha creado una nueva variante de 64 núcleos del GCP Brain y ha validado el Brain de 96 núcleos existente para que admita un mayor rendimiento general que el publicado anteriormente. Consulte la Guía de implementación de GCP Brain para obtener más información.

Soporte de proxy para la actividad y Match protocolos sospechosos

A partir de la versión 9.0, Vectra AI ha añadido soporte de proxy automático para Match y SPA. Aunque no se requiere ninguna acción por parte del usuario, existen variables adicionales para Match . Para más información, consulte las preguntas frecuentes sobre Match https://support.vectra.ai/s/article/KB-VS-1635.

IPs proxy del lado sur a través de CLI

A partir de la versión 9.0, Vectra agregó soporte para ver las IPs de proxy de la lista aprendida del lado sur a través de la línea de comandos. Los proxies del lado sur identifican los proxies en los que Vectra se sitúa entre el cliente y el proxy. Esto difiere de los proxies del lado norte que se configuran en Administrar -> Proxies en la interfaz de usuario. Utilice "show proxy --southside" para mostrar los proxies del lado sur que el sistema ha aprendido observando el tráfico de la red.

Informe de validación de tráfico mejorado

A partir de la versión 9.0, Vectra AI ha añadido nuevos campos al informe de validación de tráfico de red mejorado disponible en la página de estadísticas de red. Los nuevos campos incluyen estadísticas sobre errores de NIC, truncamiento de paquetes y caídas/agujeros en el tráfico. Para obtener más información, consulte: https://support.vectra.ais/article/KB-VS-1648.

Interfaces S1 SFP+ compatibles para uso de MGT1 o captura

Starting in 9.0, Vectra now supports the use of the S1’s two onboard SFP+ interfaces for capture or management. The command “set management <default|sfp>” will alter the interface configuration for the MGT1 port. The command “set capture <default|sfp>” will alter the interface assignment used for capture. This creates 4 total configurations for management or capture. All options with new interface assignment diagrams for each are detailed in the S1 Quick Start Guide. Please note: The rated throughput of the S1 appliance does not change when using SFP+ ports. This only changes the physical interface assignments. Care should be taken to only forward a supported amount of traffic to the S1.

X29/M29 Appliance - Nueva sintaxis para utilizar SFP+ para MGT

The X29/M29 appliances have an option to configure one of their SFP+ interfaces to be used as the MGT1 management port. The command has changed in version 9.0 to be consistent with the command syntax that is used now for all appliances that offer options to change similar interface options. The old command was “set management speed <1G|10G>” and the new command is “set management <default|sfp>”. Please see the X29 Quick Start Guide or the M29 Quick Start Guide for details.

Mejoras en las detecciones de AWS

Se han introducido mejoras en las siguientes detecciones de AWS para mejorar la fidelidad asociada a ellas. La introducción de estas mejoras da como resultado una cobertura más amplia de los comportamientos maliciosos y puede estar asociada a pequeños aumentos en las entidades priorizadas dentro de los entornos de los clientes.

• Registro de AWS CloudTrail deshabilitado: Esta detección alerta sobre la técnica de evasión de defensa de desactivar el registro de AWS. Se han introducido mejoras en el modelo para ampliar el perfil de comportamiento que representa esta conducta maliciosa.
• AWS CloudTrail Logging Modificado: Esta detección alerta sobre la técnica de evasión de la defensa consistente en degradar el registro de AWS. Se han introducido mejoras en el modelo para ampliar el perfil de comportamiento que representa esta conducta maliciosa.
• Secuestro de usuarios de AWS: Esta detección alerta sobre técnicas de persistencia en torno a la creación de claves de acceso a AWS. Se ha introducido aprendizaje adicional en este modelo para tener en cuenta la repetición de comportamientos y el impacto subsiguiente en el volumen de alertas emitidas. Esta mejora se traduce en una mayor eficacia de las alertas en torno a este comportamiento de riesgo.

Mejoras en la puntuación de las detecciones M365

Se han introducido mejoras en las siguientes detecciones de Microsoft 365 para tener más en cuenta el riesgo de los comportamientos subyacentes y mostrarlos rápidamente para su revisión. La introducción de estas mejoras puede dar lugar a cambios en el número de entidades priorizadas dentro de la plataforma Vectra:

• M365 Actividad sospechosa de Power Automate: Esta detección alerta sobre posibles comportamientos de exfiltración o C2 utilizando Power Automate en el entorno. Las mejoras introducidas en esta detección se traducen en mejoras significativas en la fidelidad de esta detección y la reducción de la tasa de falsos positivos observados en esta detección y detecciones similares (M365 Power Automate HTTP Flow Creation y M365 Suspicious Power Automate Flow Creation).

Apoyo a la autenticación mediante OAuth

Vectra admite tanto el Token de Acceso Personal (PAT) existente como el flujo Oauth2 en v2.x. El token de acceso Oauth2 será válido durante 6 horas, tras las cuales caducará, y será necesario solicitar un nuevo token utilizando las credenciales del cliente API. La creación del cliente API debe realizarse únicamente en la interfaz de usuario de Vectra. El acceso a las API v2.x anteriores a la v2.5 funciona de la misma manera que para la v2.5. La colección pública de postman se ha actualizado para todas las versiones v2.x.

Soporte M365 GCC

Vectra ahora es compatible con los entornos de Microsoft 365 Government Community Cloud (GCC). Mientras que el soporte existía previamente para los clientes de GCC-High y Azure AD, esta actualización amplía la cobertura a los clientes que operan en entornos GCC, comúnmente utilizados por las agencias estatales, locales y federales de Estados Unidos. Al integrarse con los puntos finales específicos de GCC de Microsoft, Vectra AI garantiza una agregación de registros segura y conforme a las normativas para proporcionar una visibilidad completa y la detección de amenazas en todos los niveles de cloud gubernamental de Microsoft.

Soporte EDR de Cybereason

Vectra ha añadido soporte para la ingesta de alertas EDR de Cybereason. Los clientes que utilizan Cybereason ahora pueden configurar su integración dentro de Cantina para permitir la ingestión y visibilidad de alertas.

Modificación del tipo de grupo

A partir de 9.1, Vectra soporta la conversión entre tipos de grupos estáticos y dinámicos para despliegues QUX. Los filtros de triaje existentes que hacen referencia a un grupo estático, seguirán funcionando sin necesidad de ningún cambio después de que el grupo se redefina utilizando una expresión regular en la configuración del grupo dinámico. Esto debería permitir una mayor flexibilidad y facilidad de implementación a medida que los clientes cambian a grupos dinámicos. Para obtener más información sobre los grupos dinámicos, consulte las Preguntas frecuentes sobre grupos dinámicos.

Soporte para desactivar la detección de DNS

Ahora los usuarios pueden desactivar la inspección de paquetes de respuesta DNS dentro de la página de Configuración. Si se selecciona, aparecerá un mensaje de advertencia para informar a los usuarios de que desactivar el registro de paquetes de respuesta DNS puede afectar a las detecciones relacionadas.

Investigue desde cualquier lugar: Última IP vista

Ahora los usuarios pueden pivotar a Investigaciones Avanzadas desde puntos de datos clave fuera de la página de Investigaciones Avanzadas. Esta actualización introduce un nuevo menú en el campo Última IP vista dentro de las tarjetas de Host en la página Responder. Al pasar el ratón por encima del campo Última IP vista, los usuarios pueden seleccionar una consulta que contenga la dirección IP y pasar directamente a los resultados de la consulta en la página de Investigaciones avanzadas.

Navegación principal mejorada

Para dar soporte al creciente número de cuadros de mando, se ha actualizado la navegación, que ha pasado de pestañas horizontales a una barra lateral vertical plegable. Este rediseño ofrece a los usuarios una forma más escalable y fácil de acceder y gestionar los cuadros de mando.

Mejoras en la conciliación de cuentas federadas

Esta actualización añade soporte para reconciliar cuentas Federadas en EntraID con sus correspondientes Nombres Principales de Usuario (UPNs), incluyendo alineación con entidades Azure CDR coincidentes y cuentas M365/AzureAD.

Mejoras en el tiempo de inactividad de las copias de seguridad

A partir de la versión 8.10, Vectra ha mejorado el tiempo de inactividad de las copias de seguridad para que tarden menos de diez minutos en completarse. La facilidad de uso de la función de copia de seguridad sigue siendo la misma, esta solución introduce una drástica reducción del tiempo de finalización de las copias de seguridad. 

Nuevo VMWare vSensor

A partir de 8.10, Vectra está aumentando las capacidades de ancho de banda de VMWare vSensors. Los VMWare Sensors son capaces de manejar 20Gb/s de tráfico y soportan todas las mismas características que otros Cloud Sensors. Para obtener más información, consulte nuestra guía de despliegue: https://support.vectra.ai/s/article/KB-VS-1075 

Mejora del túnel DNS oculto NoReply

Como parte de la versión 8.10, Vectra ha mejorado nuestra detección de túneles DNS ocultos para detectar escenarios en los que un atacante puede intentar filtrar datos a través de DNS utilizando técnicas en las que el servidor no responde (por lo tanto, el túnel es sólo un túnel unilateral en el que el atacante transmite los datos de entrada a salida).

Mejoras de puntuación en las detecciones de Azure AD y M365

Se han introducido mejoras en las siguientes detecciones de Microsoft 365 y Azure AD para tener más en cuenta el riesgo de los comportamientos subyacentes y mostrarlos rápidamente para su revisión. La introducción de estas mejoras puede dar lugar a cambios en el número de entidades priorizadas dentro de la plataforma Vectra:

• Azure AD/Entra ID
  
  • Configuración de dominio de Azure AD modificada: Esta detección alerta cuando un nuevo dominio no verificado o verificado se añade sospechosamente al entorno. 
  • Cambio de acceso entre inquilinos de Azure AD: Esta detección alerta cuando se añade o actualiza la configuración de acceso entre inquilinos de un socio.
  • Nueva autoridad de certificación registrada en Azure AD: Esta detección alerta cuando se registra una nueva Autoridad de Certificación en el inquilino.
  • Azure AD Privilege Operation Anomaly: Esta detección alerta sobre posibles comportamientos de escalada de privilegios o de toma de control de cuentas en el entorno. Las mejoras realizadas en esta detección se traducen en mejoras significativas en la fidelidad de esta detección y la reducción de la tasa de falsos positivos. 
• Microsoft 365
  
  • M365 Cambio de configuración de simulación de Phishing : Esta detección alerta cuando se cambia la configuración asociada a una cuenta de Phishing .

Cambio de buzón de SecOps M365: Esta detección alerta cuando se cambia la configuración asociada a una cuenta SecOps.

Lanzamiento de CDR para Azure

Vectra AI añade detecciones basadas en IA que exponen los comportamientos de los atacantes dirigidos a los servicios cloud de Microsoft Azure y Microsoft Copilot, proporcionando refuerzos muy necesarios para las herramientas nativas de los clientes:

• Detecta a los atacantes que abusan de Azure Cloud
• Identifica ataques reales en tiempo real conectando los puntos a través de Azure IaaS, Active Directory, Microsoft 365, Copilot y Microsoft Entra ID dentro de un único panel de vidrio.
• Detiene el compromiso de Azure, permitiendo a los equipos de seguridad 1) identificar las brechas de seguridad para Azure Cloud, 2) acceder fácilmente a la actividad enriquecida relevante de Azure y a los registros de recursos, y 3) tomar acciones de respuesta decisivas para contener rápidamente las cuentas de Microsoft Entra ID involucradas en un ataque.
  

Grupos dinámicos

Los grupos se han ampliado para admitir miembros dinámicos mediante la definición de una expresión regular (RegEx) para describir los nombres de los miembros que se deben incluir. Esto supone un enorme ahorro de esfuerzo operativo en la gestión de grupos para triaje o puntuación. La pertenencia a un grupo se evalúa en tiempo de ejecución, para garantizar que las nuevas entidades se categorizan correctamente sin ningún esfuerzo adicional por su parte. Esto se aplica a grupos para hosts o cuentas.

Consultas guardadas para la investigación avanzada

Agilización del proceso de gestión de consultas dentro de la experiencia de Investigación Avanzada de Respond UX mediante la posibilidad de guardar y compartir consultas.

Los analistas podrán crear, guardar, actualizar y eliminar consultas sin problemas, reduciendo la repetición y fomentando la reutilización. Los analistas también podrán compartir las consultas guardadas con otros analistas, lo que fomentará la colaboración y el intercambio de conocimientos dentro de los equipos.

La región de Suiza está activada

Ahora podemos desplegar Respond UX en Suiza. Esto permite a los clientes suizos alojar dentro de sus propias fronteras si es necesario. Esta nueva región es compatible con todos los productos Vectra.

Los PCAP selectivos están habilitados para los clientes de la red Respond UX

Con esta versión, ahora somos totalmente compatibles con PCAP selectivos para nuestros clientes de la red Respond UX. Esta función le permite aprovechar la huella del sensor Vectra para ejecutar una captura de paquetes personalizada de forma remota, sin tener que acceder a la infraestructura local.

Vectra Match - Juego de reglas seleccionado

Con esta versión, Vectra ha introducido un enlace descargable que permite a los usuarios recuperar el conjunto de reglas de Vectra Match. Aparecerá un nuevo enlace en la interfaz de usuario de la página Match Vectra Match para el contenido diario actualizado, así como consumible a través de la API. Para más información, consulte Vectra Match Curated Rules et.

Copilot para el panel de superficie de amenazas M365

Este es un nuevo panel en Respond UX para M365 centrado en el uso de Copilot en toda la organización. Utilice este panel para comprender el uso de Copilot dentro de su organización y a qué archivos accede Copilot.

Integración de puntos finales de salud en la API V3

Nuevo punto final de API en la API Respond UX V3 para dar visibilidad a integraciones como EDR, AD, etc., lo que le permite supervisar estas integraciones críticas a lo largo del tiempo.

Vectra Match ahora disponible en Investigaciones Instantáneas y Avanzadas

Con esta versión, Vectra Match es compatible con Respond UX. El soporte de Respond UX trae todo el soporte de WebUI y API entregado en Quadrant UX y agrega soporte de Investigación Instantánea y Avanzada para alertas Match . Consulte la Guía de implementación deMatch para obtener más información.

Gestión de usuarios añadida a la API V3

Nuevo punto final de API en la API de Respond UX V3 para gestionar usuarios independientes dentro de su tenant de Respond UX. Utilice esta API para aprovisionar o desaprovisionar usuarios automáticamente a partir de sus guías de onboarding o offboarding.

Bloqueo automático de la cuenta AzureAD

El bloqueo automático de cuentas AzureAD está diseñado para dotar a los usuarios de Vectra de mecanismos de defensa proactivos contra las amenazas. Al habilitar esta función, ahora puede configurar dos parámetros fundamentales: Puntuación de urgencia e Importancia de la entidad. Este enfoque de doble configuración garantiza que cuando una entidad supera los umbrales predefinidos de Puntuación de Urgencia e Importancia, entra automáticamente en un estado de bloqueo durante un periodo de tiempo configurado por el usuario. Este periodo permite una investigación exhaustiva, garantizando que las amenazas potenciales se investigan y se responde a ellas con eficacia.

Cuadro de mando de la superficie de amenaza de la red

Lanzamiento inicial de un nuevo panel de superficie de amenazas para nuestros clientes de la red Respond UX. Este panel revela una gran cantidad de información sobre su entorno y expone la superficie de ataque y los problemas de cumplimiento. Aproveche este panel para explorar el uso de protocolos antiguos y obsoletos dentro de su entorno, y garantizar el cumplimiento de sus políticas establecidas para áreas como SMBv1.

Detect para AWS - Soporte para S3 copyObject en los logs de CloudTrail

Por defecto, CloudTrail rellena los buckets de S3 mediante eventos putObject. Durante la ingesta, Vectra descartaba los eventos rellenados con el comando copyObject. Con este cambio, Vectra ingiere eventos creados mediante copyObject o putObject.

Consolidación del bloqueo de AzureAD y AD

Para los clientes con opciones para bloquear tanto las cuentas AzureAD como AD (clientes con red y Detect para AzureAD), hemos armonizado la experiencia para ofrecer una mejor experiencia general, integrando estas dos capacidades diferentes y permitiendo una mayor visibilidad y selectividad para la acción que desea realizar. Elija bloquear Azure AD o AD, o ambos, todo desde la misma experiencia.

Bloqueo automático de cuentas AD

El bloqueo automático de cuentas AD está diseñado para dotar a los usuarios de Vectra de mecanismos de defensa proactivos contra las amenazas. Al activar esta función, ahora puede configurar dos parámetros fundamentales: Puntuación de urgencia e Importancia de la entidad. Este enfoque de doble configuración garantiza que cuando una entidad supera los umbrales predefinidos de Puntuación de urgencia e Importancia, entra automáticamente en un estado de bloqueo durante un periodo de tiempo configurado por el usuario. Este periodo permite una investigación exhaustiva, garantizando que las amenazas potenciales se investigan y se responde a ellas con eficacia.

Mejoras en la gestión de usuarios

Esta mejora proporciona a los administradores de Respond UX el aspecto familiar de la interfaz de gestión de usuarios que ofrece nuestra plataforma Quadrant UX. Ahora, los administradores pueden gestionar fácilmente los usuarios y sus funciones, garantizando la máxima precisión a la hora de aprovisionar usuarios y auditar el acceso al sistema.

Acceso sospechoso a Azure AD desde el proveedor de Cloud

Vectra ha introducido la capacidad de detectar a los atacantes que comprometen una identidad y acceden a ella desde un proveedor de cloud pública, como Amazon, Azure o GCP para intentar evadir la detección y ocultar su verdadera ubicación. La detección utiliza el aprendizaje automático para identificar si un usuario accede normalmente a su cuenta desde la cloud pública. Las alertas de Bening pueden activarse cuando un usuario utiliza una aplicación que se enruta a través de una cloud pública o de máquinas virtuales alojadas en cloud . Esta nueva alerta priorizará una cuenta cuando se produzca con otras alertas de forma similar a la alerta de inicio de sesión sospechoso de Azure AD.