Vectra Network Incident Detection


Vectra Network Incident Detection & Response

Künstliche Intelligenz für automatische Bedrohungs-Erkennung und -Abwehr in Echtzeit

Die Cognito-Plattform von Vectra für automatisierte Bedrohungserkennung analysiert kontinuierlich den internen und den Internet-Netzwerkverkehr und gewährt uneingeschränkte Einblicke in die Verhaltensweisen, die mit Cyber-Angriffen einhergehen – und zwar von Workloads in der Cloud und im Rechenzentrum bis hin zu Systemen für Endanwender und IoT-Geräten. Alle Phasen möglicher unbefugter Netzwerkzugriffe werden in Echtzeit erkannt. Cognito nimmt bei Verdacht auf Spionageversuche, Diebstahl und anderen ungewöhnlichen Aktivitäten im Netzwerk auf diese Weise Angreifern jedwede Chance, sich irgendwo zu verstecken.

Logo Vectra

 

Zur Bedrohungs-Erkennung verwendet Vectra eine Kombination aus Methoden des maschinellen Lernens, Data Science sowie Verhaltensanalyse. Die maschinellen Lernverfahren passen sich dabei dem Verhalten von fortschreitenden Angriffen an. Alle Entdeckungen werden korreliert und priorisiert, was eine Bewertung jedes Angriffs sowie eine Gesamtansicht der Cybersicherheitslage des Unternehmens in Echtzeit ermöglicht.

Cognito hat ein zentrales "Gehirn" und verfügt über eine Vielzahl von Sensoren, die diese "Steuerungszentrale" mit Input versorgen. Es handelt sich um eine Applikation, die auf der X-Series-Appliance läuft und Daten von den S-Series-Sensoren empfängt.

Grafik Vectra Cognito Plattform

Stellt skalierbare, mit Sicherheitsdaten angereicherte Netzwerk-Metadaten bereit, um benutzerdefinierte Detection- und Response Tools zu versorgen

  • Verwertbare Netzwerkdaten im Zeek-Format
  • Eingebettet in datenwissenschaftlich abgeleitete Sicherheitseinblicke
  • Ordnet Netzwerkmetadaten eindeutigen Hostattributen zu

KI-gestützte Bedrohungssuche – von Cloud- und Rechenzentrums-Workloads bis zum Unternehmen

  • Maßgeschneiderte investigative Workbench, optimiert für Vectra-Metadaten – für bedarfsgerechte Suchvorgänge in Sekundenbruchteilen
  • Bietet Transparenz über Cloud-, Rechenzentrums- und Unternehmensumgebungen hinweg, indem umfangreiche Netzwerkmetadaten, relevante Protokolle und Cloud-Events in Echtzeit gesammelt und gespeichert werden
  • Führen Sie eine retrospektive Bedrohungssuche mithilfe von Security-angereicherten Netzwerkmetadaten durch
  • Tauchen Sie tief in Incidents ein, die von Sicherheitstools ausgelöst wurden, um andere an einem Vorfall beteiligte Hostgeräte, Accounts und Angreifer zu identifizieren

Die Macht der KI, laufende Angriffe in Echtzeit zu erkennen und zu priorisieren

  • Automatisieren Sie manuelle Prozesse und konsolidieren Sie Tausende von Events und historischen Kontext, um Hosts zu identifizieren, die die größte Bedrohung darstellen
  • Genaue Einblicke in das Verhalten von Angreifern über alle öffentlichen Clouds, private Rechenzentren und Unternehmensumgebungen
  • Einzigartiger Kontext eliminiert die endlose Suche nach Bedrohungen und ermöglicht sofortiges Handeln

Die X-Series-Appliances von Vectra Networks sind bis auf die größten Netzwerke skalierbar und können als All-in-one-Geräte zur Überwachung des Datenverkehrs und zur Echtzeit-Erkennung von Bedrohungen eingesetzt werden. Die X-Serien-Appliance wird in Kombination mit den Sensoren der S-Serie eingesetzt. Die Sensoren der S-Serie überwachen den Datenverkehr und die X-Serien-Appliance analysiert, korreliert und erkennt Bedrohungen in den Metadaten der Sensoren.

Produktabbildung Vectra X-Serie

Die Sensoren der S-Serie können leicht an Remote-Standorten oder mit Access-Switches an internen Netzwerksegmenten bereitgestellt werden. Sie überwachen passiv den Netzwerkverkehr. Daraus werden kritische Metadaten extrahiert. Zur Gefährdungsanalyse werden diese an eine X-Serien-Appliance weitergeleitet. In Netzwerk-Umgebungen, die skalierbare Sensoren erfordern, kann die X-Series-Appliance auch als Sensor verwendet werden und Daten an die zentrale Verarbeitungsinstanz senden.

S-Series-Sensoren können physische oder virtuelle Maschinen sein. Sie werden von Systemen anderer Anbieter mit Daten versorgt, zum Beispiel in Form von Logs, die ihren Ursprung in anderen Security-Produkten, Authentifizierungs-Systemen oder SaaS-Anwendungen haben. Auch „Indicators of Compromise“ – Hinweise auf einen Angriff, die aus einem fremden Monitoring-System stammen – werden ausgewertet.

Die kompakte Größe und das einfache Bereitstellungsmodell der Vectra S-Serie ermöglichen eine umfassende Abdeckung des gesamten Netzwerks. Besonders eignet sich die Plattform daher für Remote-Standorte wie kleine Büros, Kliniken und Einzelhandelsfilialen.

Produktabbildung Vectra S-Serie

Cognito lässt sich in ein Ökosystem von Sicherheitstechnologien integrieren, um Cyberangriffe zu bekämpfen beispielsweise:

  • Firewall (u.a. Palo Alto Networks): Erkennen Sie gefährdete Hosts, deren IP-Adressen und Bedrohungssicherheit, und senden Sie diese Informationen an Firewalls, um infizierte Geräte in Quarantäne zu stellen, die Kommunikation mit Command-and-Control-Servern zu beenden und die Datenexfiltration zu stoppen.
  • SIEM: Bieten Sie SIEMs umfassende Einblicke in Bedrohungen, die sich der traditionellen Sicherheit entziehen. Mit dem Einblick in alle Angriffsphasen bietet Cognito einen effizienten Ausgangspunkt für Untersuchungen und SIEM-Regeln, indem Bedrohungen auf infizierte Hosts abgebildet werden.
Vectra Integration Ecosystem

 

License and System Rental

Sie haben bei allen Produkten und Services die Möglichkeit, diese als Rental/Leasing zu erwerben. Weitere Informationen finden Sie auf unserer Webseite indevis License and System Rental oder Sie fragen einfach unser Vertriebsteam: +49 (89) 45 24 24-100.