Vectra Cognito Recall

Die effektivste Threat-Hunting-Methode

Als Stützpfeiler der Cognito-Plattform für Cyber-Angriffserkennung und Threat Hunting bietet Cognito Recall von Vectra die effektivste Möglichkeit für KI-gestütztes Threat Hunting in Cloud- und Rechenzentrum-Workloads sowie auf Anwender- und IoT-Geräten.

Cognito Recall dient zudem als umfassende Quelle für angereicherte Netzwerk-Metadaten, sodass erfahrene Security-Analysten und professionelle Threat Hunter schlüssige Untersuchungen von Vorfällen durchführen können.

Cognito Recall ist quasi eine Aufzeichnung aller Gespräche im gesamten Unternehmen. Da jedoch historische Metadaten statt Paket-Payloads erfasst und gespeichert werden, ist gewährleistet, dass Datenschutzbestimmungen wie die DSGVO eingehalten werden.

Und weil Cognito Recall als Cloud-Service bereitgestellt wird, muss keine Big-Data Infrastruktur gekauft, installiert und verwaltet werden. Stattdessen können Sie Metadaten mit einem einzigen Mausklick an die Vectra-Cloud weiterleiten.

Funktionen Cognito Recall

Unterstützt Threat Hunter durch die Echtzeit-Erfassung und Speicherung angereicherter Netzwerk-Metadaten, relevanter Protokolle und Cloud-Ereignisse, sodass sie detaillierte Erkenntnisse zu hochentwickelten Angriffen erhalten.

Ermöglicht intelligente Untersuchungen der Aktivitäten auf Geräten, indem Geräte, Workloads und Host-Namen unabhängig von geänderten IP-Adressen miteinander in Beziehung gesetzt werden.

Liefert unternehmensweite Einblicke zu Aktionen in allen Cloud- und Rechenzentrum-Workloads sowie auf Anwender- und IoT-Geräten.

Unterstützt Cloud-gestützte grenzenlose Skalierung, damit Metadaten so lange wie nötig gespeichert und durchsucht werden können. Dabei verwaltet Vectra die Infrastruktur.

Threat Hunting mit Cognito Recall

KI-gestütztes Threat Hunting in Cognito Recall kann durch Erkennungen von Angreifern aus Cognito Detect, durch bestehende Hinweise auf Kompromittierungen und durch ungewöhnliche Daten ausgelöst werden, die von Security Analysten entdeckt wurden.

Threat Hunting anhand von Hinweisen auf Kompromittierungen
Dank Funktionen zur vollständigen Metadaten-Suche und unbegrenzter Speicherkapazitäten können Security-Analysten mit Cognito Recall feststellen, ob die Metadaten Hinweise auf Kompromittierungen enthalten. Dabei werden User Agents, IP-Adressen und Domains berücksichtigt. Cognito Recall liefert zudem detailliertere Informationen für effizienteres Threat Hunting, z.B. PowerShell-Befehle von einem Remote-System an einen Server oder eine bestimmte Verbindungsart von einem Remote-Standort.

Threat Hunting basierend auf ungewöhnlichem Verhalten
Mit Cognito Recall können professionelle Threat Hunter ungewöhnliche Verhaltensweisen identifizieren und grafisch darstellen, darunter:
–  Ungewöhnliche Nutzung von TCP- und UDP-Ports und Anwendungen
–  Ungewöhnlich hohe Verbindungsraten
–  Heuristische Indikatoren
–  Neue Beaconing-Aktivitäten
–  Volumetrische Schwellenwerte für die Anzahl von Verbindungen, fehlerhaften Anmeldeversuchen und unverhältnismässige Datenübertragungen (in das Unternehmen bzw. aus dem Unternehmen)

In einigen Fällen können Anomalien mehrere dieser Verhaltensweisen enthalten, z.B. wenn ungewöhnliche Datenmengen an eine ungewöhnliche IP-Adresse gesendet werden.

Schlüssige Untersuchungen von Vorfällen

Cognito Recall ermöglicht aussergewöhnlich effiziente, weitreichende und schlüssige Untersuchungen von Vorfällen.
Dabei können Security-Analysten problemlos der damit zusammenhängenden Kette von Ereignissen folgen – ganz gleich, ob der Angriff zuerst von Cognito Detect, einem SecurityProdukt eines anderen Anbieters oder mithilfe durchsuchbarer, hochwertiger Threat Intelligence in historischen Netzwerk-Metadaten entdeckt wurde.

Sobald Cognito Recall Ereignisse oder Warnmeldungen von Cognito Detect oder einem Drittanbieter-Security-Produkt erfasst, erhalten Security-Analysten einen vollständigen Rundumblick auf alle Workload- und Geräte-Aktivitäten.

Mit Cognito Recall können Security-Analysten ausserordentlich effiziente Untersuchungen durchführen. Dazu steht ihnen der gesamte Kontext von Vorfällen zur Verfügung, ergänzt um relevante Details zu involvierten Geräten, Konten und zur Netzwerkkommunikation.

Cognito Recall ermöglicht Security-Analysten die Identifizierung der Aktivitäten von Host-Geräten zum Zeitpunkt der Bedrohungserkennung. Ausserdem werden wichtige Veränderungen im allgemeinen Verhalten von Host-Geräten sichtbar.

Über grafische Darstellungen und Suchfunktionen deckt Cognito Recall weitere Host-Geräte, Konten sowie externe Domains und IP-Adressen auf, sodass Security-Analysten den vollen Umfang eines Vorfalls erkennen können.

Ausserdem haben sie die Möglichkeit, die Reihenfolge verschiedener verdächtiger Verhaltensweisen darzustellen und so Spuren zu anderen Host-Geräten zu finden und gleichzeitig effizient nach Hinweisen auf eine Kompromittierung zu suchen.

Cognito Recall verbessert kontobasierte Untersuchungen, indem die Lösung alle Details zur Verfügung stellt, die Security Analysten zur Identifizierung aller Nutzungen und Aktionen der potenziell kompromittierten Konten innerhalb bestimmter Zeiträume sowie für Massnahmen gegen Angriffsziele benötigen.

Zudem erhalten Security-Analysten von Cognito Recall ein Gesamtbild des Cyber-Angriffs. Damit kann zum Beispiel festgestellt werden, welche anderen Host-Geräte möglicherweise kompromittierte Konten enthalten.

Sobald bekannt ist, von welchem kompromittierten Host-Gerät ein Angriff ausgeht, müssen Security-Analysten feststellen, welche anderen Host-Geräte mit einer böswilligen Domain oder einer IP-Adresse kommunizieren, die bei diesem Angriff verwendet wurde.

Cognito Recall überwacht die gesamte aus- und eingehende Kommunikation, damit Security-Analysten die Host-Geräte aufdecken können, die innerhalb eines bestimmten Zeitraums mit derselben Domain oder IP-Adresse kommuniziert haben. Ausserdem erfahren sie so, was während der Kommunikation passiert ist.

Bei der Untersuchung der Verhaltensweise von Cyber-Angreifern, die von Cognito Detect entdeckt wurden, kann es nützlich sein, genauere Details über alle Netzwerk-Aktivitäten während des Vorfalls zu erhalten.

Security-Analysten können mit einem Mausklick zwischen Cognito Detect und Cognito Recall wechseln und so detaillierten nützlichen Kontext zu böswilliger Kommunikation innerhalb des Netzwerks abrufen.

Cognito Detect liefert Informationen zu spezifischen Verhaltensweisen während des Angriffs und zu den kompromittierten Host-Geräten, die in den Angriff involviert sind. Parallel dazu bietet Cognito Recall den Security-Analysten die Möglichkeit, Daten zu durchsuchen, die in der Angriffsphase über die Netzwerk-Kommunikation gespeichert wurden.

Sagen Sie Cyber-Angreifern mit Cognito den Kampf an. Kontaktieren Sie uns.

Vorname *

Nachname *

Firma *

Funktion *

E-Mail *

Telefon *

Bemerkung