当社のお客様は、ハイブリッド攻撃者のスピードと規模に対応するため、検知 、調査し、攻撃に対応するために、Vectra AI に依存しています。しかし、高度な検知機能があっても、当社のユーザーは、受信したアラートと検知の周囲のコンテキストを理解したいと思うことがよくあります。このような追加情報は、検出結果を文脈化し、関与しているアクターの身元、活動が悪意あるものか合法的なものか、活動が他のどこで発生しているか、アクターが他の場所でも存続しているかなどの重要な質問に回答するために使用されます。
捜査のワークフローを理解する:いつ、どのようにVectra AI 。
現在進行中の UX 調査の一環として、SOC チームは通常、完全に理解できない検知を受けた場合、つまり情報が欠落していたり、正しく解析されていない場合に調査を行うことに気付きました。アナリストが検知に出くわしたとき、調査は、侵害の指標やアクターが過去数時間に何をしていたかを理解するためのさらなる情報を収集する方法として重要になり、正常なものと悪意のあるものを見分けて比較することができます振る舞い 。この情報は、何が起こったかを実証し、証拠を構築し、行動するのに十分なコンテキストを持つために不可欠です。
"私たちの最初のステップは、アクターが誰であるか、そして活動の正当性を理解することです。"
- ユースケース調査、複数のユーザーが回答
悪意のある攻撃が発生した場合、SOCアナリストのレスポンス 、時間との戦いになります。アナリストは、短時間のうちに状況を迅速に評価し、活動の正当性を判断し、関係者を特定し、侵害されたシステムを隔離しなければなりません。
SOCのアナリストは、重要な情報を見つけ、事象の首尾一貫した理解を得るために複数のツールを切り替える必要があり、データを照会するために複雑なクエリー言語を習得しなければならないことがよくあります。潜在的な悪意のある活動に対応する必要がある場合、迅速に行動することが重要になります。したがって、このような状況では、関連データに簡単にアクセスできることが非常に重要になります。
そのため、Vectra AI 、SOCアナリストの調査ワークフローを 促進するツールを作成する旅に出た。クラウドとネットワークソースの両方からデータをシームレスに収集し、単一の、すぐにアクセスできるプラットフォーム内に統合することで、いつでも楽に調査できるようにした。
合理化された調査:Vectra AI プラットフォームによるインスタント・アクセスの導入
SOCチームが可能な限り迅速にパターンや潜在的な悪意のある行動を調査するのを支援するために、Vectra AI プラットフォームは、事前に定義されたクエリのセットをエンティティページに直接組み込んでいます。これにより、アナリストはアクターの活動を素早く洞察し、最も価値のあるデータをすぐに入手することができます。
Instant Investigationは、最も適切で集約されたデータを含むクエリの厳選されたコレクションをユーザーに提供します。これらのクエリは、エンティティのスコープ内で容易にアクセスでき、アクターがトリガーした検知とその典型的な振る舞い との比較が容易になるため、新しい言語を学んだり、クエリの構築に時間をかけたり、関連情報を探したりする必要がなくなります。これにより、アナリストは最も重要な洞察をすぐに利用できるようになります。
これらのクエリは、様々な検知に直面して分析すべき主要なデータに関する当社の専門家の結合された専門知識を反映し、潜在的なセキュリティ脅威に対してレスポンス 、包括的な調査のために優先されるべき活動を掘り下げるようユーザーを導きます。
分析力を高める:Vectra AI の高度な調査ツールを発表
包括的な洞察のための高度な調査
Instant Investigationに表示されるデータが不十分な場合、または潜在的な悪意のある活動の兆候がある場合、ユーザーはより高度な調査にシームレスに飛び込むことができ、最も関連性の高い情報を含む、当社の専門家によって作成されたデフォルトの列のキュレーションコレクションのおかげで、直ちにデータの分析を開始することができます。
エンタープライズ・サーチで理解を深める
Vectra AIの上に構築されたエンタープライズ検索機能。 Vectra AIの主導Attack Signal IntelligenceTMの上に構築されたエンタープライズ検索機能は、ユーザーが受信したアラートの理解を深め、新たなレベルの詳細とコンテキストを追加します。当社の顧客は、Vectra UI内で直接インシデントを効果的に調査できるようになり、求める答えを見つけるためにプラットフォームを終了する必要がなくなりました。
柔軟なデータ・インタラクション
この高度な機能は、包括的な形式でデータの完全な非集計ビューを表示します。ユーザーは、表形式のビューを操作したり、列を追加したり、カスタムフィルターを作成したり、時間範囲を拡張したりすることで、データを簡単に操作することができる。このような機能により、ユーザーはより適切な情報を積極的に探し出し、必要に応じてより詳細な調査を行うことができる。
ユーザーフレンドリーなクエリ構築
当社の新しい調査ツールのユーザビリティ・テストでは、データ探索のための新しいクエリ言語を習得することは困難で時間がかかること、また、すべての顧客の好みやニーズと一致しない可能性があることを確認しました。潜在的に悪意のある事象に関する調査の特徴である時間との戦いでは、クエリを効率的に作成することによって時間を節約する能力が重要になります。
パワフルでユーザーフレンドリーなクエリー・ソリューション
Advanced Investigationは、アナリストが他のクエリ言語を習得することなく徹底的な調査を行うために必要な柔軟性とガイダンスを提供する、強力なカスタムメイドのエンタープライズ検索ソリューションを提供します。
この新しい調査ワークフローの導入と、ユーザーフレンドリーなクエリー・ビルダーの導入により、Vetra AI Platformは、ジュニアからシニアまで、あらゆるレベルのアナリストが、より効率的で効果的な調査を実施できるようになります。
あらゆるスキルレベルに対応する簡素化されたデータ探索
この機能をテストしたところ、高度なクエリ言語に習熟していない若手アナリストにとって、非常に有益であることがわかりました。これらのアナリストは、このクエリ作成方法がユーザーフレンドリーであり、非常に効果的であることがわかりました。
今では、スキルレベルに関係なく、誰でもデータを掘り下げて、いくつかのフィルタを追加するだけでクエリを作成することができます。この合理化されたプロセスにより、すべてのアナリストがサイバー脅威から組織をよりよく守ることができるようになります。
関連データに焦点を当てる
Vectra AI は、SOCチームが最も関連性の高いフィールドにのみアクセスできるようにし、調査ワークフローに不可欠な情報を迅速にナビゲートできるようにします。
攻撃面の点と点を結ぶ
さらに、顧客がハイブリッドクラウド環境全体でアクターの振る舞い パターンを認識できるように、Vectra AI プラットフォームは、異なるアタックサーフェス全体でアクターの活動を接続することによってデータを強化します。このアプローチにより、多様なデータセットと相互作用しながら、潜在的に脅威となりうる動きを包括的に理解することができます。
「アドバンスド・インベスティゲーションは読みやすいので、何が起こっているのかすぐに判断でき、ドリルダウンしてさらに詳しく調べることができる。とても便利です。- MSSPのお客様
インスタント・インベスティゲーションでSOCを強化する方法については、技術概要をお読みいただくか、セルフガイドプラットフォームツアーをお試しください。