[![Palo Alto](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/static/logo-lockup-7412ecf0965003657af5a6de71849663.svg)](https://www.paloaltonetworks.cn/cortex/cortex-xdr?ts=markdown "Palo Alto") ![Green lines](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/static/974a7f79d062bb8f7c54acfd2ecc62c1/64b70/fg-pattern-tl.png)![Green lines](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/static/64a2d3d04265461f6418fee85ff2be7c/c8fc9/fg-pattern-br.png) ![slack error](fallback.jpg) ##### Cortex XDR # 超越端点安全的界限 今天,你是一名网络安全分析师,正在努力工作,完成任务。你的假期明天就开始了,所以你祈祷今天一切顺利。事情正朝着这个方向发展......直到 让我们使用 Cortex XDR 找出发生了什么,然后生成一份关于贵公司安全状况的报告。 # 审查您的安全事件 首先,您可以查看 "事件管理 "仪表板,它提供了所有正在发生的安全事件及其状态、严重程度和其他详细信息的集中视图。 您看到一个需要关注的事件,于是点击打开。 立即咨询专家 指标来源于 Palo Alto Networks SOC。 # 深入挖掘事件细节 从 "事件概述 "页面,您可以收集更多信息: * ![tick](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/icons/tick.svg) 事件严重性得分 * ![tick](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/icons/tick.svg) 受损资产 * ![tick](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/icons/tick.svg) 发出警报的数据源 * ![tick](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/icons/tick.svg) 已执行自动回复 立即咨询专家 指标来源于 Palo Alto Networks SOC。 # 深入挖掘事件细节 为了生成这一事件,Cortex XDR 通过拼接多个来源的事件,建立主机、身份、网络流量等之间的联系,创建了丰富的活动记录,从而扩大了事件背景。 数百个机器学习模型查找拼接数据中的异常活动,生成新的检测警报。 然后,Cortex XDR 将相关警报归类为单一事件,全面描述了攻击情况,并将需要手动审查的警报数量减少了 98%。 立即咨询专家 指标来源于 Palo Alto Networks SOC。 # 识别受损资产 在这次事件中,您注意到一台 Windows PC 和一台托管在云中的面向互联网的服务器可能已被入侵。 立即咨询专家 指标来源于 Palo Alto Networks SOC。 # 检查 MITRE ATT\&CK^®^ 框架 您还会看到攻击与**MITRE ATT\&CK^®^** 框架的映射,该框架为网络威胁和攻击技术的分类和描述提供了标准化的分类标准。通过自动将攻击映射到该框架,Cortex XDR 可让您全面了解所有相关活动。 立即咨询专家 指标来源于 Palo Alto Networks SOC。 # 利用警报和洞察力进行调查 您的重要警报确认 Windows PC 已被入侵。 在列表下方,您可以看到云托管服务器有一个中等严重性警报。在警报中,您发现有人试图进行暴力破解攻击,但失败了。 现在,是时候隔离被入侵的 Windows 电脑以阻止攻击进一步发展了。 立即咨询专家 指标来源于 Palo Alto Networks SOC。 # 阻止攻击 隔离端点有助于遏制恶意软件和其他威胁的传播。 通过断开被入侵端点与网络的连接,可以防止威胁传播到其他设备或系统,从而限制事件的范围和影响。 立即咨询专家 指标来源于 Palo Alto Networks SOC。 # 搜索并摧毁恶意软件 现在是搜索并销毁勒索软件文件的时候了。 使用实时终端,您可以在端点上远程执行命令和脚本,以便快速修复,而无需实际访问受影响的设备。 立即咨询专家 指标来源于 Palo Alto Networks SOC。 # 拉开帷幕 那么,为什么端点代理没有阻止这次攻击呢? 在本演示中,我们将端点策略设置为只报告,允许攻击继续进行,同时向我们通报攻击进展。这也提醒我们在配置策略时始终遵循最佳实践。 现在,让我们将策略设置为阻止,然后继续前进! 立即咨询专家 指标来源于 Palo Alto Networks SOC。 # 找出安全漏洞,确保符合监管标准 在很好地控制了这次勒索软件事件后,您想起了早些时候的一次暴力攻击尝试中涉及到的云资产。有鉴于此,您可以采取一些积极的安全措施来加强云安全。 Cortex XDR 的云合规性功能可对云资源执行互联网安全中心 (CIS) 基准合规性检查。这有助于发现潜在的安全漏洞,降低风险,避免监管罚款或处罚。 您注意到,合规率仅为 74%,您决定将这一点写入最终报告。/p\> 立即咨询专家 指标来源于 Palo Alto Networks SOC。 # 在单一仪表板中评估漏洞 由于您在调查过程中发现了一台被入侵的 PC,因此您需要使用漏洞评估来检查可能未打补丁和被利用的潜在漏洞。 您会发现,您标记的受攻击电脑存在多个导致勒索软件攻击的漏洞,这为您提供了开始打补丁所需的信息。 立即咨询专家 指标来源于 Palo Alto Networks SOC。 # 简明扼要的报告 是时候以简洁的格式为你的经理生成报告了。您可以从许多预建模板中进行选择,也可以创建自定义报告。 您可以生成有关调查的报告,包括事件管理、云合规性和漏洞评估。 单击一行生成报告 报告编号 生成时间 姓名 说明 492 2024 年 4 月 12 日 00:46:39 云库存报告 提供各组织最主要事件和主机的细目,以及最主要事件的概述。 493 2024 年 4 月 12 日 00:46:07 风险管理报告 概述所有端点和应用程序的漏洞评估状态。 488 2024 年 4 月 12 日 13:15:22 事故管理 提供各组织最主要事件和主机的细目,以及最主要事件的概述。 489 2024 年 4 月 12 日 13:15:05 云合规性报告 概述 CIS 基准合规情况 490 2024 年 4 月 12 日 13:14:45 脆弱性评估报告 概述所有端点和应用程序的漏洞评估状态。 491 2024 年 4 月 12 日 13:14:10 云库存报告 提供按账户、类型和位置分列的所有云资产明细,以及随时间变化的资产数量(每 2 小时刷新一次) 492 2024 年 4 月 12 日 00:46:39 风险管理报告 概述与身份有关的风险、趋势和统计数据。 493 2024 年 4 月 12 日 00:46:07 风险管理报告 提供按账户、类型和位置分列的所有云资产明细,以及随时间变化的资产数量(每 2 小时刷新一次) 492 2024 年 4 月 12 日 00:46:39 云库存报告 概述与身份有关的风险、趋势和统计数据。 493 2024 年 4 月 12 日 00:46:07 风险管理报告 提供按账户、类型和位置分列的所有云资产明细,以及随时间变化的资产数量(每 2 小时刷新一次) ![report]()![close](data:image/svg+xml;base64,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) 立即咨询专家 指标来源于 Palo Alto Networks SOC。 ## 冲浪 祝贺你您成功调查并解决了勒索软件攻击。调查显示 * ![tick](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/icons/tick.svg) 对云资产的暴力攻击尝试 * ![tick](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/icons/tick.svg) 存在未修补漏洞的电脑 * ![tick](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/icons/tick.svg) 安全策略设置为仅报告,允许攻击继续进行。 幸运的是,您很快就隔离了被入侵的端点,并在没有物理访问电脑的情况下消除了勒索软件文件。 整个事件的详细报告已经生成。现在,你将在倒计时 1 小时后抵达海滩。 立即咨询专家 指标来源于 Palo Alto Networks SOC。 ## 时间就是生命 Cortex XDR 使安全分析人员能够专注于他们最擅长的领域。安全运营部门可利用 Cortex XDR 实现以下功能 * ![tick](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/icons/tick.svg) 预防端点和云工作负载上的勒索软件等威胁 * ![tick](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/icons/tick.svg) 将 MTTD(平均检测时间)加速到机器速度 * ![tick](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/icons/tick.svg) 快速应对攻击的根本原因 利用 Cortex XDR 实现更高的安全性。 ![surf 1](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/icons/surf-1.svg) 警报减少 98 ![surf 2](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/icons/surf-2.svg) 更快速的调查。 ![surf 3](https://www.paloaltonetworks.com/content/dam/pan/en_US/includes/igw/xdr-product-tour/icons/surf-3.svg) 在 MITRE Engenuity 2023 中无需更改配置即可实现 100% 预防和检测 立即咨询专家 指标来源于 Palo Alto Networks SOC。 ### 申请个人 Cortex XSOAR 演示 ## 期待与您交流。 #### 我们将联系您,为您安排 30 分钟的个人演示。我们将探讨如何利用 Cortex 产品组合发现更少的警报、建立端到端自动化并实现更智能的安全操作。