Vectra Recall

Vectra Recall es una función de la plataforma Vectra AI que permite a las organizaciones investigar y analizar incidentes de seguridad pasados. Proporciona contexto histórico y capacidades forenses para comprender el alcance, el impacto y las causas fundamentales de los incidentes. Vectra Recall permite a los equipos de seguridad revisar y analizar sucesos pasados, realizar investigaciones exhaustivas y extraer información valiosa para mejorar las medidas de seguridad y las defensas en el futuro.

Piedra angular de la plataforma de detección de ciberataques y caza de amenazas Vectra AI , Vectra Recall proporciona la forma más eficiente de realizar la caza de amenazas asistida por IA en cloud y cargas de trabajo de centros de datos y dispositivos de usuario e IoT.

Vectra Recall permite a los analistas de seguridad cualificados y a los cazadores de amenazas profesionales llevar a cabo investigaciones de incidentes concluyentes.

Vectra Recall , una fuente completa de metadatos de red enriquecidos con seguridad, también permite a los analistas de seguridad cualificados y a los cazadores de amenazas profesionales llevar a cabo investigaciones concluyentes de incidentes.

Los metadatos de Vectra Recall se organizan por nombre de host, no sólo por dirección IP. Esto elimina la necesidad de buscar en los registros DHCP para encontrar el dispositivo host que estaba utilizando una dirección IP en ese momento y de reconstruir los cambios de dirección IP durante una investigación. La búsqueda por dispositivo ahorra tiempo cuando la rapidez es esencial.

Vectra Recall también aprovecha Privileged Access Analytics para analizar automáticamente comportamientos y utiliza inteligencia artificial para identificar entidades que tienen privilegios y diferenciar entre usos aprobados y maliciosos. Está disponible en toda la plataforma Vectra como enriquecimientos de seguridad en Vectra Stream y Vectra Recall y como detecciones en Vectra Detect. También se admiten casos de uso personalizados accediendo a sus atributos a través de la API REST de Vectra.

Vectra Recall permite al personal de respuesta a incidentes seguir la cadena de sucesos desde una señal inicial de amenaza -ya sea de Vectra Detect, otro suceso de seguridad o inteligencia de amenazas- utilizando metadatos de red enriquecidos con seguridad que se pueden buscar por nombre de host.

Vectra Recall es como un registro transaccional de cada conversación desde cloud hasta la empresa. Pero la recopilación y el almacenamiento de metadatos históricos, en lugar de cargas útiles de paquetes, garantiza la privacidad de los datos y respalda mandatos de cumplimiento como el GDPR.

Y como Vectra Recall se ofrece como un servicio en cloud, no hay que adquirir, instalar ni gestionar ninguna infraestructura de big data. Basta con un solo clic para reenviar los metadatos a Vectra cloud.

Resumen de las capacidades de Vectra Recall

  • Permite a los cazadores de amenazas recopilar y almacenar en tiempo real metadatos de red enriquecidos con seguridad y eventos de cloud , lo que les permite aprovechar su profundo conocimiento de los ciberataques avanzados.
  • Permite la investigación inteligente de la actividad de los dispositivos mediante la asociación de dispositivos, cargas de trabajo y nombres de host, independientemente de los cambios de dirección IP.
  • Proporciona visibilidad en toda la infraestructura de las acciones de todas las cargas de trabajo de cloud y del centro de datos, así como de los dispositivos de usuario e IoT.
  • Ofrece cloud - escala ilimitada para almacenar y buscar metadatos durante todo el tiempo que sea necesario mientras Vectra gestiona la infraestructura.

El poder de Detectar y Recall

Vectra Recall permite a los analistas de seguridad realizar investigaciones en profundidad basadas en los incidentes procesables y de alta fidelidad identificados por Vectra Detect, que automatiza la detección y respuesta a ciberataques basada en IA. Con Vectra Recall, los analistas de seguridad senior también pueden realizar una caza de amenazas basada en alertas de soluciones de seguridad de terceros y utilizar nueva inteligencia de amenazas de alta calidad para cazar retrospectivamente.

Cómo funciona Vectra Recall

Visibilidad de alta fidelidad en toda la empresa Vectra Recall proporciona visibilidad del tráfico de red extrayendo metadatos de todos los paquetes y almacenándolos en cloud para su búsqueda y análisis. Cada dispositivo habilitado para IP en la red es identificado y rastreado, y los datos pueden almacenarse durante cualquier cantidad de tiempo.

Los metadatos capturados incluyen todo el tráfico interno (este-oeste), el tráfico con destino a Internet (norte-sur), el tráfico de infraestructura virtual y el tráfico en entornos informáticos cloud .

Esta visibilidad se extiende a portátiles, servidores, impresoras, dispositivos BYOD e IoT, así como a todos los sistemas operativos y aplicaciones, incluido el tráfico entre cargas de trabajo virtuales en centros de datos y la cloud, incluso aplicaciones SaaS.

Los registros de sistemas, autenticación y SaaS proporcionan un enriquecimiento del contexto al análisis de metadatos de red para la identificación precisa de sistemas y usuarios.

Caza de amenazas con Vectra Recall

La caza de amenazas asistida por IA con Vectra Recall puede activarse mediante detecciones de atacantes de Vectra Detect, indicadores de compromiso existentes y anomalías en los datos identificadas por los analistas de seguridad.

Cazar utilizando indicadores de compromiso

Con funciones completas de búsqueda de metadatos y almacenamiento ilimitado de datos, Vectra Recall permite a los analistas de seguridad determinar si existen indicadores de peligro en los metadatos, incluidos agentes de usuario, direcciones IP y dominios. Vectra Recall también ofrece información en profundidad para una caza de amenazas más eficiente, como comandos PowerShell desde una máquina remota a un servidor o un tipo específico de conexión desde un sitio remoto.

Búsqueda de comportamientos anómalos

Vectra Recall permite a los cazadores de amenazas profesionales identificar comportamientos anómalos que se muestran a través de gráficos visuales. Entre los comportamientos anómalos que pueden detectarse con Vectra Recall se incluyen los siguientes:

  • Uso atípico de puertos y aplicaciones TCP y UDP
  • Tasas de conexión inusualmente altas
  • Indicadores heurísticos
  • Nueva actividad de balizamiento
  • Umbrales volumétricos de recuento de conexiones, fallos de inicio de sesión y transferencias excesivas de datos internos y externos En algunos casos, las anomalías podrían consistir en cualquier combinación de estos comportamientos, como cantidades inusuales de datos enviados a una dirección IP poco común.

> Descargue nuestra Guía sobre cómo cazar amenazas con Vectra Recall

Vectra Recall ofrece funciones completas de búsqueda de metadatos y almacenamiento ilimitado de datos.
Vectra Recall ofrece funciones completas de búsqueda de metadatos y almacenamiento ilimitado de datos.

Investigaciones de incidentes concluyentes con Vectra Recall

Captura de pantalla de Vectra Recall
Vectra Recall permite a los cazadores de amenazas identificar comportamientos anómalos

Vectra Recall permite a los analistas de seguridad llevar a cabo investigaciones de incidentes más profundas y concluyentes con notable eficacia.

Los analistas de seguridad pueden seguir fácilmente la cadena de eventos relacionados a partir de las detecciones de ataques encontradas por Vectra Detect, los productos de seguridad de terceros y la inteligencia sobre amenazas de alta calidad que se puede buscar en los metadatos históricos de la red.

Cuando se reciben eventos o alertas de Vectra Detect o de productos de seguridad de terceros, Vectra Recall garantiza que los analistas de seguridad tengan una visión completa de 360 grados de toda la carga de trabajo y la actividad de los dispositivos.

Con Vectra Recall, los analistas de seguridad pueden investigar incidentes con una eficacia sin precedentes utilizando un contexto completo sobre los incidentes, junto con detalles relevantes sobre los dispositivos asociados, las cuentas y las comunicaciones de red.

Investigaciones basadas en hosts

Vectra Recall permite a los analistas de seguridad identificar la actividad de los dispositivos host en torno al momento de la detección de una amenaza y revelar cambios significativos en el comportamiento general de los dispositivos host.

Mediante gráficos visuales y funciones de búsqueda, Vectra Recall expone otros dispositivos host, cuentas y dominios y direcciones IP externas, lo que permite a los analistas de seguridad identificar el alcance completo del incidente.

Los analistas de seguridad pueden secuenciar fácilmente una amplia gama de comportamientos sospechosos para identificar el rastro de pruebas que conduce a otros dispositivos host y buscar eficazmente indicadores de compromiso a lo largo del camino.

Investigaciones basadas en cuentas

Vectra Recall mejora las investigaciones basadas en cuentas proporcionando los detalles que los analistas de seguridad necesitan para identificar todos los usos y acciones de cuentas potencialmente comprometidas en periodos de tiempo específicos, así como las acciones contra los objetivos.

Al aprovechar Vectra Recall, los analistas de seguridad también obtienen una visión más amplia de un ciberataque global, que puede ser decisiva durante las investigaciones de otros dispositivos host que podrían haber comprometido cuentas.

¿Qué es Cognito Recall?

Cognito Recall es el antiguo nombre de la funcionalidad Vectra Recall . La Plataforma Vectra AI se denominaba originalmente"Plataforma Cognito". La Plataforma y sus funciones han cambiado de nombre para reflejar la evolución de nuestros productos.

¿Cuál es la diferencia entre Vectra Recall y Vectra Detect?

Vectra Recall complementa a Vectra Detect. Vectra Detect identifica hosts comprometidos en tiempo real como punto de partida de la investigación. Vectra Recall encuentra amenazas que la detección no ha detectado investigando metadatos históricos.

Preguntas frecuentes