Por qué los SOC modernos necesitan CrowdStrike + Vectra AI
Los atacantes no se detienen en los puntos finales, y tu sistema de detección tampoco debería hacerlo
El EDR es fundamental. Sin embargo, los atacantes modernos se aprovechan de la identidad, cloud, el SaaS, los dispositivos no gestionados y el tráfico de red cifrado, áreas en las que la visibilidad de los puntos finales por sí sola no puede ofrecer una cobertura completa. Los atacantes modernos no operan de forma aislada y no necesitan un agente en el punto final para actuar. Dado que los equipos de seguridad son responsables de cientos de miles de activos, instalar un agente en todas partes resulta poco práctico, y la mayoría de las soluciones EDR siguen siendo vulnerables a las técnicas de evasión habituales. El resultado son puntos ciegos, fatiga de alertas y amenazas que pasan desapercibidas en una superficie de ataque en constante expansión.
Read the full guide below, or download to read later.
Las 5 razones por las que el EDR no es suficiente
1. Los agentes no pueden estar en todas partes
Hasta el 50 % de los dispositivos pueden carecer de un agente EDR y, dado que el EDR solo supervisa los sistemas que ejecutan un agente, los dispositivos no gestionados (por ejemplo, activos de IoT/OT, equipos de red o sistemas de subcontratistas) crean importantes puntos ciegos que los atacantes aprovechan a sabiendas.
Cómo colaboran Vectra AI CrowdStrike
Vectra AI visibilidad de red sin agentes en centros de datos locales, identidades, cloud y activos no gestionados, lo que enriquece las detecciones de CrowdStrike Falcon Insight XDR con un contexto completo de la superficie de ataque.
2. El EDR está siendo eludido, evadido o desactivado
Los comportamientos de los atacantes que se han comprobado, como el uso indebido de controladores del núcleo, la manipulación de agentes y las herramientas para eliminar los hooks de los sistemas EDR, demuestran que la protección de los puntos finales no es infalible al 100 %.
Cómo colaboran Vectra AI CrowdStrike
Cuando los atacantes eluden la protección de los puntos finales, la telemetría de red basada en IA de Vectra detecta comportamientos posteriores a la intrusión y, a continuación, activa automáticamente el aislamiento de hosts de CrowdStrike mediante la integración.
- Vectra AI el comportamiento.
- CrowdStrike aísla el equipo.
3. La visibilidad centrada en el host no detecta los movimientos laterales ni el uso indebido de identidades
El EDR tiene una visibilidad limitada del movimiento lateral este-oeste, el tráfico SSL cifrado en el canal de control y comando (C2), el uso indebido de Kerberos y cloud . Dado que las identidades son muy fáciles de trasladar, los atacantes pueden desplazarse entre sistemas, pasar a hosts que no cuentan con EDR y hacerse pasar por otras cuentas comprometidas. Para garantizar una respuesta y una recuperación eficaces, es necesario disponer de una visibilidad completa del alcance del ataque en todos los hosts e identidades afectados.
Cómo colaboran Vectra AI CrowdStrike
Vectra AI cloud de red, identidad, SaaS y cloud mediante nuestra IA patentada, mientras que CrowdStrike proporciona telemetría detallada de los puntos finales y capacidad de respuesta.
Juntos:
- Detecciones unificadas
- Alertas relacionadas
- Investigaciones más rápidas en Falcon Next-Gen SIEM
4. Los equipos de seguridad de las organizaciones se ven desbordados por el exceso de alertas
Los centros de operaciones de seguridad (SOC) reciben entre 3.800 y 4.000 alertas al día, pero menos del 1 % de ellas requieren una acción concreta. Contar con más herramientas no garantiza necesariamente una mejor detección.
Cómo colaboran Vectra AI CrowdStrike
Vectra AI el ruido dando prioridad a los comportamientos reales de los atacantes mediante señales generadas por IA.
CrowdStrike Falcon SIEM de última generación:
- Correlaciona petabytes de datos
- Permite realizar consultas a gran velocidad
- Ofrece flujos de trabajo de investigación unificados
Resultado:
- Menos alertas
- Detecciones de mayor precisión
- Reducción del tiempo medio de reparación (MTTR)
5. Requisitos de la tríada de visibilidad del SOC
Una visibilidad eficaz del SOC depende de los registros (SIEM), los dispositivos finales (EDR) y la red (NDR). Si se elimina uno de ellos, los atacantes aprovecharán la brecha resultante.
Posicionamiento de Vectra AI CrowdStrike
Juntos, conforman una arquitectura XDR completa basada en inteligencia artificial.
Cómo funciona la colaboración
Mejor juntos: detección y respuesta unificadas
- CrowdStrike detecta comportamientos sospechosos en los dispositivos finales
- Vectra AI cloud de red, identidad y cloud
- Falcon Next-Gen SIEM unifica la investigación
- Aislamiento automático de hosts mediante CrowdStrike
- SOC muestra una vista de entidad priorizada
Con el apoyo de:
- Integración bidireccional
- Pivote único entre plataformas
- Integración de la ingesta de señales de Vectra en un sistema SIEM de última generación
Qué significa esto para los responsables de seguridad
Cobertura
Visibilidad híbrida en:
- Punto final
- Red
- Identidad
- Cloud
- SaaS
Claridad
- Correlación de amenazas basada en IA en todos los vectores de ataque
- Reducción del ruido de las alertas de hasta un 80-99 %
Controlar
- Aislamiento automatizado de identidades, dispositivos y tráfico
- Investigación unificada respaldada por metadatos mejorados con IA
- Integración perfecta con SIEM
La resiliencia frente a los ataques modernos requiere algo más que EDR
El EDR es fundamental.
Sin embargo, la ciberresiliencia moderna requiere:
- Datos de referencia de la red
- Visibilidad de la identidad
- Cloud
- Correlación basada en la inteligencia artificial
- Respuesta automática
El poder combinado de la plataforma CrowdStrike Falcon y Vectra AI.
Una capa unificada de detección y respuesta: permite ver lo que ocurre en el terminal y en todos los dispositivos conectados a él.
Con la confianza de expertos y empresas de todo el mundo
