Solution
Vectra Cognito

Cognito Detect™ est la plate-forme de détection des menaces et d’aide à la résolution des incidents de Vectra®.

Description 

La solution Cognito Detect assure une visibilité complète sur les comportements liés aux cyberattaques, que leur cible soit le cloud, les centres de données, les appareils connectés ou les terminaux des utilisateurs. Indépendamment de l’ampleur et de la distribution géographique des attaques, Cognito offre une couverture de détection homogène, sans angle mort, qui vise à ne laisser aucune chance aux cyberpirates.

Son rôle principal est d’automatiser la détection des attaques et l’évaluation du risque associé en limitant au maximum les faux positifs. Tout cela afin de pouvoir donner la capacité aux analystes et experts sécurité de se concentrer sur les incidents critiques et réels en ne les noyant pas dans un océan d’alertes.

Architecture

Cognito Detect possède un centre névralgique (« cerveau ») et de nombreux capteurs destinés à l’alimenter en données.

Le centre névralgique (Brain), exécuté sur une appliance physique, reçoit les données des capteurs (sensors).

Les capteurs sont facilement déployés sur des sites distants et sur les segments du réseau interne. A l’aide d’un TAP ou d’un port mirroring qui dupliquent le trafic, les capteurs peuvent effectuer une surveillance passive du trafic réseau, extraire les métadonnées importantes et les transmettre au cerveau dans un but d’analyse et de détection des menaces.

Les capteurs virtuels (vSensor) s’exécutent dans VMware ESXi, ce qui permet d’étendre très facilement la couverture de détection des menaces de Cognito à l’ensemble du réseau physique et aux centres de données virtualisés.

Architecture Vectra - Interdata
Principe de détection des attaques

Grâce à sa technologie d’intelligence artificielle, Cognito analyse automatiquement les menaces, les trie, les corrèle et les classe par ordre de priorité. Toutes ces opérations sont exécutées en temps réel à l’échelle de l’entreprise, réduisant ainsi considérablement la charge des analystes en sécurité.

Les trois étapes principales de la phase automatisée de détection

Etape 1. Cognito détecte des comportements d’attaques unitaires et indépendants. Il associe un score de risque et de probabilité à chaque comportement détecté.
Quelques exemples de comportements détectés : Accès distant externe, Tunnel DNS dissimulé, peer-to-peer, activité Tor, scan de port, connexion RDP suspecte, attaque de mot de passe par force brute, client Kerberos suspect, etc….

Etape 2.  Cognito donne un score de Sévérité à chaque machine. Ce score est dépendant des multiples comportements d’attaque qui vont lui être associés au fil du temps. Les comportements sont catégorisés par la phase d’attaque (Command&Control, Reconnaissance, Déplacement latéral, Exfiltration, etc…) à laquelle ils appartiennent. L’ensemble nous permet de connaitre rapidement l’état d’avancement de l’attaque et donc de savoir très rapidement les incidents à traiter en priorité.

Etape 3. Cognito va automatiquement rassembler plusieurs incidents de plusieurs machines différentes au sein d’une même « campagne » lorsqu’il estime que ces incidents ont un lien ensemblesont liés.

Il présente tout cela au sein d’un tableau de bord qui nous permettra de sélectionner en priorité les incidents les plus critiques.

Dashboard Vectra - Interdata
Une solution ouverte  

La solution a été conçue dès le début afin d’être ouverte via des APIs et pouvoir interagir avec un grand nombre de partenaires. Cognito a déjà des intégrations avec de nombreuses solutions du marché telles que :

SIEM : Cognito met à disposition des apps pour Splunk, un content pack pour Arcsight, un DSM pour Qradar et des parseurs pour LogRhythm.

Orchestration : App pour les plateformes d’orchestration de la sécurité Phantom et Demisto permettant d’automatiser facilement la réponse sur incident.

Endpoint : Intégration avec Crowstrike et Carbon black pour enrichir Cognito avec des informations complémentaires en provenance des machines.

Virtualisation : Intégration avec Vmware pour récupérer des informations de contexte sur les machines hébergées sur l’hyperviseur.

Vectra Cognito est la seule solution classée en tant que Visionnaire dans le Magic Quadrant IDPS (Intrusion Detection et Prevention Systems) 2018 du Gartner.

Img3
Awards Vectra - Interdata
Awards Vectra - Interdata
iMG5
Awards Vectra - Interdata

Rien que sur l’année 2018, Vectra a reçu plus d’une dizaine de prix et recommandations de la part du secteur de la sécurité pour sa technologie innovante.

f7067707538241a07676624a715812f2VVVVVVVVVVVVVVV