什么是 Cortex XSIAM?
目录
革新您的 SOC:网络安全案例研究 | Cortex XSIAM
扩展安全智能和自动化管理(XSIAM)是一种全新的安全运营方法,通过紧密集成和自动化现代安全运营中心(SOC)的功能和流程,显著提高安全成果。
Cortex XSIAM:人工智能驱动的安全平台
XSIAM 旨在成为 SOC 活动的中心,通过将广泛的功能统一到一个整体解决方案中,取代 SIEM 和专业产品。XSIAM 的功能包括数据集中、智能拼接、基于分析的检测、事件管理、威胁情报、自动化、攻击面管理等,所有这些功能都以任务为导向,提供直观的用户体验。
XSIAM 以 XDR 久经考验的威胁检测和响应能力为基础,维护您的安全态势。凭借集中的数据存储和统一的 SOC 功能,XSIAM 为传统的安全信息和事件管理 (SIEM) 解决方案提供了一条清晰的迁移路径。
阅读我们的文章 "什么是 SIEM?",深入了解安全信息和事件管理。
XSIAM 是 Palo Alto Networks 于 2022 年首次推出的一个新类别,旨在提供未来的自主安全平台。
为什么需要 XSIAM 安全软件?
目前,安全运营中心(SOC)的需求已经发生了转变,然而安全信息与事件管理(SIEM)和 SOC 的结构却一直停滞不前。
虽然安全系统的其他重要组成部分也经历了现代化,如端点从防病毒过渡到端点检测和响应(EDR)以及扩展检测和响应(XDR);网络从传统的 "硬壳 "边界过渡到零信任和安全访问服务边缘(SASE);运行时从数据中心迁移到云,但 SOC 仍持续采用二十年前构想的 SIEM 模式。
由于对手自动攻击由集成度不高的安全产品防御的基础设施,因此要求 安全运营 小组比以往任何时候都更快地做出反应。与此同时,容器工作负载和持续集成/持续部署(CI/CD)环境的短暂性也给安全小组带来了挑战,他们必须时刻保持安全态势。
由此产生的一个副产品就是管理服务产品的增长,以可扩展的方式提供更多的资源来保卫组织,但即使增加了这笔费用,许多组织还是感到力不从心。
在过去十年中,防御者在应对这些挑战方面的一个重要转变是 端点检测和响应(EDR) 以及扩展检测和响应(XDR)解决方案的发展,通过改进安全分析和环境可见性来提供更好的威胁检测和响应能力。
如今,虽然许多组织正从这些功能中受益,但还有许多组织仍在使用 SIEM 来集中日志数据,并汇总经常用于安全和合规性用例的其他日志。遗憾的是,SIEM 通常依赖于手动配置日志摄取和检测规则,以及警报的分流和修复。
XSIAM 试图通过将这些流程产品化和集成化来提供近乎实时的安全运营成果,从而减轻对人工流程的依赖。
XSIAM 如何工作?
XSIAM 的运行方式独一无二,它利用智能自动化打破了当今安全产品以分析师为主导的模式。该系统持续收集来自任何来源的深度遥测、警报和事件。然后,它自动准备和丰富数据,将其独特地缝合到安全情报中,并立即应用机器学习检测分析。
警报按事件分组,并充分充实相关背景信息。例行事件得到确认、处理和结案。仪表板汇集了受影响用户、资产和基础设施的所有相关方面。嵌入式自动化和内联播放列表可加快行动速度,并随着时间的推移进行自我学习。在各个方面,XSIAM 都有助于最大限度地减少分析师的任务,这样他们就可以只关注系统本身无法完成的活动。
Cortex XSIAM 的主要集成功能
Cortex XSIAM 将这些关键的 SOC 产品功能整合到一个统一的平台中:
- 安全信息和事件管理 (SIEM) 提供所有常见的 SIEM 功能,包括日志管理、关联和警报、报告和长期数据保留。
- 威胁情报平台 (TIP) 聚合、评分并向第三方工具分发威胁情报数据,包括业界领先的 Unit 42® 威胁源,并丰富警报的背景和属性。
- 扩展检测和响应 (XDR) 从任何来源收集遥测数据,具有无与伦比的检测覆盖面和准确性,在 2022 年 MITRE ATT&CK 评估中技术级检测数量最多。
- 端点保护平台(EPP) 通过久经考验的端点代理防止端点攻击,该代理可阻止漏洞利用、恶意软件和无文件攻击,并收集全面的遥测数据以进行检测和响应。
- 攻击面管理 (ASM) 提供嵌入式攻击面管理 (ASM) 功能,以攻击者的视角审视组织,包括资产发现、漏洞评估和风险管理。
- 身份威胁检测和响应 (ITDR) 利用机器学习和行为分析对用户和实体进行剖析,并对可能表明账户或恶意入侵指标的行为发出警报。
- 安全协调、自动化和响应 (SOAR) 利用数百个内置播放程序自动处理几乎所有用例,并通过可视化拖放播放程序编辑器提供自定义功能。
- 云检测和响应 (CDR) 分析云审计、流量和容器主机日志以及其他来源的数据,以便在混合企业中进行整体检测和响应。
- 管理、报告和合规性 简化操作,集中所有配置、监控和报告功能,包括端点策略管理、协调和响应。
Cortex XSIAM | 现代 SOC 平台
Cortex XSIAM 可帮助现代 SOC 从反应式和以人为本的方法(这种方法无法大规模扩展以应对不断增加的威胁)向人工智能驱动的自主 SOC 的愿景发展。XSIAM 尽可能采用自动化和分析技术,以降低 SecOps 成本,使 SecOps 流程能够自我维持。
Cortex® XSIAM™ 将通过以下方式使组织受益,从而改变 SecOps:
利用融合平台简化安全操作 - 将所有数据和 SOC 功能整合到一个平台中。将 XDR、SOAR、ASM 和 SIEM 等 SOC 功能融合到单一平台中,可消除控制台切换,简化安全操作。
利用人工智能驱动的结果大规模阻止威胁 - 开箱即用的人工智能模型超越了传统的检测方法,可连接各种数据源的事件,从而大规模准确检测和阻止威胁。
以自动化为先的方法加快事件修复 - 在分析师查看事件之前自动采取行动。自动执行安全任务,减少人工操作,加快事件响应和修复。
当我们说人工智能驱动时,我们的意思是它只需工作,而且是实时工作。
Cortex XSIAM 常见问题
大幅提高安全性,杜绝漏洞:
- 建立智能数据基础。Cortex XSIAM 可让您将广泛的遥测数据转化为智能数据基础,为高级分析提供动力,同时让您以传统解决方案一半的成本利用数据。
- 加快响应速度。Cortex XSIAM 利用数据基础,通过自我学习的云原生人工智能来侦测对手的新战术,并自动执行事件调查的关键步骤。
- 超越威胁。Cortex XSIAM 通过本机攻击面管理和集成威胁情报持续发现漏洞。
Palo Alto Networks SIEM 侧重于基于日志的关联和基于规则的检测,而 XDR 则利用高级分析、机器学习和行为分析,进行更主动和自适应的威胁检测。如果您需要高级威胁检测功能和自动响应行动,XDR 可能更适合您。
通过设置代理,您可以建立一个安全连接,在此连接中您可以路由端点,并收集和转发日志和文件以供分析。Broker 可用于在虚拟机上使用相同的 Palo Alto Networks 身份验证分别运行不同的服务。
