Meno alert, più informazioni sugli incidenti: l'importanza di questa svolta per i partner

I team di sicurezza, inclusi i tuoi e quelli dei tuoi clienti, non hanno bisogno di più alert, ma di informazioni più dettagliate sugli attacchi. Il nuovo metodo d’indagine di WatchGuard mette a fuoco l’incidente: prende, cioè, i molteplici segnali provenienti dagli endpoint e li consolida in un unico incidente che mostra il percorso completo dell’attacco - con cronologia, mappatura MITRE ATT&CK e tracciato del processo per consentire decisioni e risposte più rapide.

Cosa significa per i partner?

• Miglioramento delle operazioni tra i tenant, con meno ore di analisi, perché si lavora su un unico incidente e non su decine di alert frammentati. Meno alert per incidente a livello di endpoint negli ambienti reali.
• Migliore precisione e prioritizzazione degli alert, con informazioni di maggior valore ai clienti, senza aggiungere dipendenze SIEM/MDR.
• Risultati dimostrati con una metrica semplice: indice di efficienza = rilevamenti / (falsi positivi + volume di allerta). Meno incidenti ma con più dettagli: l’indice di efficienza aumenta e il sovraccarico da troppi alert diminuisce.

Come funziona in breve

La correlazione, l'aggregazione e l'inferenza basate sull'intelligenza artificiale ricostruiscono automaticamente la sequenza degli attacchi. Gli analisti possono definire i segnali da includere ed escludere man mano che gli incidenti si evolvono con nuovi rilevamenti o attività sospette, per poi usare la telemetria arricchita per esplorare il percorso di attacco nel contesto completo, senza bisogno di altre risorse.

Vuoi dare un’occhiata alla rappresentazione grafica della ricostruzione degli incidenti in Advanced EPDR nel dettaglio? Leggi il brief sull’indagine focalizzata sugli incidenti per scoprire in che modo gli alert vengono automaticamente trasformati in un singolo incidente, aumentando l'efficienza per il tuo team e i tuoi clienti.