Cortex XSIAM
过去几年,安全运营中心 (SOC) 的需求发生了变化,但 SIEM 和 SOC 的设计却没有改变。安全信息和事件管理 (SIEM) 类别已经为安全运营服务多年,人工开销巨大,而安全成效甚微,改善速度缓慢。安全架构的大多数其他关键部分也已实现现代化:端点已从防病毒 (AV) 转换为端点检测和响应 (EDR) 和扩展检测和响应 (XDR),网络从“硬外壳”边界转换为零信任和 SASE,运行时从数据中心转换为云。相比之下,SOC 仍采用 20 年前设计的 SIEM 模式。
图 1:现在是 SOC 摆脱传统 SIEM 的时候了
为此,SIEM 市场发展缓慢,供应商投资对其产品和解决方案进行重大变革的动力有限。这种技术惰性有几个原因,包括:
“安全分析平台在数据聚合方面拥有十多年的经验,将其应用于这些挑战,但尚未提供足以满足企业规模需求的 IR 能力,这迫使企业优先考虑替代解决方案。”
– Forrester 高级分析师,Allie Mellen
图 2:孤立的工具减缓了调查和响应速度
网络安全面临一个紧迫的威胁补救问题。随着应用、工作负载、微服务和用户快速激增,总数字攻击面的扩张速度超出了我们的保护能力。由此带来的现实问题是,检测和预防工具最终可能每天生成数千个警报,远远超过安全小组人员能够有效处理的数量。这些警报来自许多互不关联的来源,使得安全分析师不得不拼接碎片信息。
分析潜在威胁通常需要许多步骤,包括:
传统 SOC 通常需要许多时间和多种工具才能完成这些步骤,而这还只是分类。最终结果是分析师只有时间处理他们每天遇到的最高优先级的警报。与此同时,令人不安的是,大量低优先级警报根本没有得到解决。历史事件调查显示,大量低优先级警报实际上是单一攻击的一部分,传统威胁检测平台无法识别。
此外,负责警报分流的安全分析师往往缺乏足够的背景信息,无法确定攻击给组织带来的真正风险。因此,警报会升级到更高级别的小组进行进一步验证,这就需要更多的时间、人力和资源,从而在各个层面造成效率低下。因此,网络攻击者寄希望于我们无法快速采取行动,但大多数组织仍然需要几个小时,甚至几天或几个月的时间来识别和补救威胁。
我们弱点的核心在于无法充分利用大规模数据进行防御。SIEM 解决方案旨在促进警报和日志管理,但严重依赖人工驱动的检测和补救,仅可在某些位置使用附加分析和自动化功能。要应对当今的威胁,需要从根本上重新设计使用人工智能在组织中运行网络安全的方法。
现代 SOC 必须构建在全新架构上,以满足现代 IT 环境不断变化的需求。这个架构的特点应该是灵活、可扩展、适应性强,并且能够与大量安全工具和技术集成。总体而言,设计应考虑提供:
与传统安全操作不同,现代 SOC 借助数据科学来处理海量数据集,而不是依靠人类判断和旨在捕获过去出现过的威胁的规则。
Palo Alto Networks 一直在努力解决当前安全解决方案的上述限制。因此,我们的行业需要不断创新,从而在安全领域保持领先。Cortex XSIAM 或扩展安全智能和自动化管理是迈向基于人工智能架构的关键之处,且从底层开始构建。
这是我们如何看待网络安全的转折点,如果某些领域构建机器仅仅是为了提升性能,我们倾向于使用人工智能。这是创建未来自主安全平台的愿景总结,通过近乎实时的检测和响应显著提高安全性。
图 3:我们是 Palo Alto Networks 的首个客户
XSIAM 统一了行业最佳功能,包括 EDR、XDR、SOAR、CDR、ASM、UEBA、TIP 和 SIEM。XSIAM 构建于特定安全数据模型之上,并随着 Palo Alto Networks 通过全球数万名客户收集的威胁情报不断更新,使用机器学习引导的设计来集成大量安全数据。然后,将警报整合到事件中,从而自动分析和分类,并自动响应大多数事件,使分析师能够专注于少数需要人工干预的威胁。XSIAM 的作用已在使用过程中得到验证,为 Palo Alto Networks 自有的 SOC 提供了支持,并将每月超过 1 万亿个事件转化为每天少量分析事件。
Cortex XSIAM 利用机器智能和自动化的力量,从根本上改善安全成果,改变 SecOps 模式。借助 XSIAM,SOC 可以完全控制企业安全(包括端点和云),集中数据和安全功能,以应对威胁、加快响应速度并大幅简化分析师和 SOC 的团队活动。
图 4:Cortex XSIAM 聚焦:一个平台即可完成所有操作
如今,混合型企业产生的安全数据是几年前的数倍。然而,典型的 SOC 仍然依靠数据孤岛、有限的云可视性、老化的 SIEM 技术以及人工、人为驱动的流程来运行,这些都会让攻击者有机可乘。
分析师人数的增加无法阻挡这一趋势,而额外的工具只会加重当今复杂的 SOC 架构和工程维护负担。现代 SOC 必须转向智能化的机器驱动模式,这种模式可以从端点到云大规模阻止攻击,将分析师的参与和 SOC 工程开销降至最低。
Cortex XSIAM 旨在利用机器智能和自动化的力量来显著提高安全性并转变手动 SecOps 模式,从而满足现代 SOC 的需求。该模型可实现机器分类数据的承诺,使 SOC 能够主动而非被动做出响应,以便分析师可以关注异常行为和异常情况。
XSIAM 特殊设计为 SOC 活动的中心,通过将大量功能统一到面向任务的全面 SecOps 平台中取代 SIEM 和专业产品。XSIAM 专门构建为以威胁检测和响应为核心,能够集中、自动化和扩展安全运营,从而全面保护混合型企业。
以人为本的 SecOps 方法早已遇到瓶颈。现代 SOC 必须转用机器主导、人工授权的智能安全系统,以前所未有的规模和效率提供更好的保护。
XSIAM 是现代 SOC 的中央运营平台,提供同类最佳的 EDR、XDR、SOAR、攻击面管理 (ASM)、威胁情报管理 (TIM)、UEBA、SIEM 等功能。但是 XSIAM 不是不同工具的集合。相反,XSIAM 在面向任务的用户体验和丰富的事件管理流程中将功能和智能结合,从而最大限度减少活动和上下文切换,以支持快速准确的攻击响应。
XSIAM 在运行方式上具有革命性意义,它利用智能自动化打破了当今安全产品以分析师为主导的模式。从数据获取到事件管理,XSIAM 有助于最大限度地减少分析师和所有 SOC 人员的任务,以便他们可以专注于系统无法执行的重要活动。
如今,大多数 SOC 团队运营的数据有限且相互孤立,包括针对流动云和面向互联网的资源可视性严重不足,这些资源已经涉及超过三分之一的违规案例。云安全产品提供了必要保护,但通常在 SOC 之外独立运行。然而,SOC 团队必须能够集中监控完整的端到端安全性,并对涉及云资产的诸多事件进行调查。
XSIAM 为所有企业安全来源构建了智能数据基础,从端点到来自提供商、动态工作负载和云安全产品的专业云源。该系统不断从这些来源收集深度遥测警报和事件,自动准备及丰富数据,并以独特方式将其整合到安全情报中,从而支持大量机器学习分析,专门针对特定来源和杀伤链行为检测。
SIEM 的老化数据库架构、管理复杂性和有限发展迫使创新相关专业工具。结果,SOC 架构是一个复杂而脆弱的迷宫,包含数据管道、产品集成和持续的管理难题。
XSIAM 整合了多种工具和扩展、集中和自动化数据集合,以简化 SOC 基础架构并显著降低工程和运营成本。
现代 SOC 转型的一个关键组成部分是确保安全小组充分发挥机器学习的潜力,以增强和补充人的安全能力。高级分析和 AI 可以显著减少团队处理企业中大量数据以提出关键安全见解的时间。作为人工智能的子集,机器学习使用来自客户端环境的训练数据,使机器能够学习并改善关于环境和任务性能的知识。
通过自动检测多个数据源中的异常模式,并自动提供具有上下文的警报,如今的机器学习可以实现加快调查速度和消除企业盲区的承诺。
其工作原理是利用优质的安全相关数据训练机器学习模型,然后使用它们检测数据之间和数据当中的模式,然后测试和优化流程。ML 技术可以收集、整合和分析数据,并对数据进行查询,从而减少人类执行这些任务所需的时间和知识。这也最大限度地降低了 SOC 团队在数据中嵌入的多个安全层中查找威胁背景和证据的难度。
受监督的机器学习技术可用于从设备(如台式计算机、邮件服务器或文件服务器)中读取数字标记,然后学习不同类型设备的行为并检测异常行为。机器学习的前景在于能够围绕环境中发生的事情进行因果推断,并让软件指导后续行动,而不是依赖人与人之间的互动。例如,纯粹根据加入的数据集内的行为和交互来标记不良行为,这样它就能通过明确的指令将决策传播到网络的其他部分,如指示智能体遏制不良行为,或指示防火墙不要与不良行为通信。
XSIAM 中的机器学习可以提供:
XSIAM 的核心是威胁检测和响应,XSIAM 在自动化事件管理流程方面独一无二。XSIAM 分析提供基于技术的智能,允许将警报分组到事件中,并充分利用相关上下文。嵌入式自动化和内联剧本将分析结果应用于智能执行,尽可能全面处理和关闭警报或事故。
图 5:分析师事件管理视图
分析师事件管理视图提供了自动采取的操作、结果和推荐剩余操作的完整摘要。需要进一步的调查和响应活动时,分析师会看到详细的事件时间表和来自所有分析和功能的大量 XSIAM 情报。补救和响应操作可以利用内联剧本,对于托管端点,XSIAM 提供了一键式补救操作选项以及强大的实时终端访问和取证工具。
图 6:借助 MITRE ATT&CK 映射、相关警报、剧本状态、警报来源和构件,您可以获得有关事件的详细情境信息
Cortex XSIAM 是一个真正的 SOC 平台,改变了传统的多工具、人工驱动的 SOC 运行模式。绝大多数使用传统 SOC 模式的组织对其现有的安全架构和管理都有类似的困扰。Cortex XSIAM 由经历过这些痛苦的安全从业者构建。该产品的发展受到 Palo Alto Networks 客户的影响,这些客户在寻求一种解决安全成果挑战的方法。
图 7:集中化、自动化和规模化运营,保护您的组织
| 关键功能摘要 | |
|---|---|
|
数据获取 云架构通过数百个预构建的数据包、标准连接器类型和简单的自动化配置步骤简化了启用、监控和报告。 |
威胁情报管理 管理 Palo Alto Networks 和第三方威胁情报源,并自动将这些内容映射到警报和事件。 |
|
智能数据基础 通过任何来源持续收集深度遥测、警报和事件,自动丰富并将其映射到统一的数据模型中,然后将事件整合到针对机器学习分析而调整的情报中。 |
端点保护和智能 将 SIEM 和 EPP/EDR 的支出整合到统一的集成解决方案中,利用完整的端点代理和云分析后端来提供端点威胁预防、自动响应和对任何威胁调查都实用的深度遥测。 |
|
威胁检测分析 通过基于技术的分析在所有收集数据中应用专门的分析和基于行为的检测。 |
攻击面可视性和操作 借助嵌入式 ASM 功能,全面了解您的资产清单,包括内部端点和针对已发现的面向 Internet 的资产漏洞警报。 |
|
自动调查和响应 自动执行多项任务,并为您的分析师提供必要情报和指导,完成需要人工操作的各种操作(使用自动化功能和智能内联剧本)。 |
用户和实体行为分析 利用机器学习和行为分析对用户、机器和实体进行剖析,以识别和警告可能表明帐户被盗或内部恶意人员的行为。 |
|
剧本和编排 创建和编排剧本,用于强大的 SOAR(安全编排、自动化和响应)模块和市场。 |
网络和云分析 利用专业分析检测网络和云数据中的异常并发出警报,例如防火墙事件、云服务提供商日志和云安全产品警报。 |
|
Cortex 风险暴露管理 利用人工智能驱动的优先级排序和自动修复功能,将漏洞噪音减少高达 99%,覆盖企业和云。 |
Cortex 电子邮件安全 扩展行业领先的人工智能驱动检测和响应,阻止最先进的基于电子邮件的威胁。 |
|
管理、报告与合规性 集中管理功能可简化运营。强大的图形报告功能支持报告的合规性、数据提取、事件趋势、SOC 性能指标等。 |
|
Cortex XSIAM 的最新演进向前迈出了革命性的一步,将被动事件响应与主动安全态势管理统一起来。XSIAM 3.0 扩展了其功能,以应对当今影响企业的两个最关键的风险领域:
通过人工智能驱动的优先级排序和自动修复功能,将漏洞噪音减少高达 99%,覆盖企业和云。这一突破性的漏洞管理方案专门针对那些存在现成武器化漏洞利用且缺乏补偿控制措施的高危漏洞,使企业能够精准锁定其中 0.01% 真正关键的威胁。
借助 Cortex 风险暴露管理,您可以:
结合大语言模型分析与行业顶尖的检测响应技术,有效拦截高级网络钓鱼尝试和邮件渗透。预计到 2030 年,电子邮件将成为 50 亿用户的主要通信工具,并占所有安全事件的四分之一,因此,这种能力可提供安全保障:
XSIAM 3.0 将这些功能整合到统一的数据、人工智能和自动化平台中,成功保护了全球数百个要求最苛刻的 SOC 环境,将安全运营从被动的事件响应转变为主动的网络防御,能够处理任何当前和未来的威胁载体。
我们行业领先的网络安全专家通过应用技术专业知识、专业服务和运营流程来帮助您优化部署,从而充分利用您的安全投资。
图 8:全球客户服务为 XSIAM 提供了诸多支持和服务选项
XSIAM 部署服务支持更广泛地采用 Cortex XSIAM 功能,并加快价值实现。
关键优势:
SOC 转型服务为组织构建和增强安全运营中心提供了框架,从而快速高效地响应安全事件并轻松实现流程自动化。
关键优势:
高级客户成功可提供持续指导、无缝协调和优质技术支持。
关键优势:
有关这些服务的更多信息,请联系我们的服务销售团队。
获取最新的 XSIAM 资源:
访问 访问 XSIAM 产品页面
什么是 XSIAM?
请求 XSIAM 的个人演示
在 15 分钟的视频中了解 XSIAM 的运作方式
来自真实 Cortex XSIAM 用户的真实结果
