威胁环境可以是多种多样的,但每个人都有一个共同的属性,那就是威胁环境在不断变化。遗憾的是,传统的安全工具和聚焦范围狭窄的威胁检测解决方案,使组织在防范、检测和应对威胁态势带来的最新威胁时,面临更高风险。幸运的是,Palo Alto Networks 发明了扩展检测和响应 (XDR),并提供实际的 XDR 解决方案来保护组织。
白皮书
Cortex XDR 概览
Cortex XDR 概览
Cortex XDR 亮点
Cortex XDR 提供业界首个 XDR 解决方案,通过分析来自 Cortex 端点和第三方数据源的数据来应对威胁环境风险,从而提供保护、检测和响应。Cortex XDR 包括简化的自动化操作,使安全分析师在调查过程中更有效率。
- 对网络、Cortex 终端、云、第三方和身份来源的全面可视性,而不仅仅是终端
- 缩短平均检测时间 (MTTD) 和平均响应时间(MTTR)
- 内置针对初始访问战术、技术与流程 (TTP) 的身份导向型威胁检测功能,并可通过附加组件实现基于身份的高级威胁检测分析(如内部威胁检测)
- 在 MITRE ATT&CK 第 4 轮评估中表现领先,检测率高达 97%。
- 真正由数据科学驱动的检测能力,通过机器学习算法减少误报,提升对隐蔽威胁的检测效能
- 依托云原生能力弹性扩展,满足企业级需求,无需部署本地解决方案
- 内置统一端点代理,提供下一代反病毒(简称 NGAV)、端点检测与响应(简称 EDR)、主机防火墙、设备控制、磁盘加密功能,并支持取证收集、主机漏洞与人工制品洞察等附加能力。
Cortex XDR 应对的安全挑战
- Cortex XDR 打破了安全解决方案的孤岛,通过提供端点代理、威胁检测分析引擎、端点与通知自动化、身份威胁检测、取证能力,以及第三方数据接入支持,实现了安全能力的统一。
- 安全技术中缺乏最新的综合威胁情报是大多数组织面临的重大挑战。Cortex XDR 不断整合 Unit 42® 和 Cortex 的威胁研究成果,减轻客户在威胁情报和检测工程方面的巨大负担。
- 经第三方测试验证,Cortex XDR 可解决漏检已知与未知威胁的难题,同时保持低信噪比,减少误报,让安全分析师无需耗费精力追查无效告警。
- 业界普遍认为,分散且集成度低的解决方案成本高昂,且无法将风险降至可接受水平。相比仅聚焦单一功能的 EDR 方案和臃肿的 SIEM 方案,Cortex XDR 能带来更高的投资回报率,同时减少客户的管理负担并提升检测效能。
- 仅聚焦 EDR 而非 XDR 的方案,普遍缺乏组织日益关注的基于身份的威胁检测能力。Cortex XDR 通过身份威胁检测和响应 (ITDR) 模块解决内部威胁、横向移动、异常用户和实体行为等问题。
| XDR 预防 | 每个端点的 XDR Pro | 每千兆字节的 XDR Pro | |
|---|---|---|---|
|
下一代反病毒软件 可阻止恶意软件、勒索软件、漏洞和无文件攻击。 |
|
|
|
|
端点保护 通过设备控制、防火墙和磁盘加密保护端点 |
|
|
|
|
检测和响应 利用 AI 驱动的分析精确定位攻击并协调响应 |
|
|
|
|
托管检测和响应 Unit 42® 专家全天候为您检测和响应威胁 |
|
|
|
|
托管威胁追踪 让 Unit 42 专家全天候为您发现高级威胁 |
|
|
|
|
主机洞察 查找漏洞并对端点进行扫描,以消除威胁 |
|
||
|
取证调查 利用全面的取证证据迅速处理事故 |
|
||
|
第三方安全事件 从其他数据源发送安全事件 |
|
|
|
|
第三方安全日志 从其他数据源发送原始日志 |
|
||
|
网络流量分析 Syslog、Kafka、DB、CSV 文件、FTP、NetFlow、Windows 事件、Pathfinder |
|
||
|
Prisma 和 PANW IoT Security 利用 XDR 统一云和/或控制系统环境 |
|
||
|
集成 威胁情报解决方案、Slack、发送系统日志 |
|
|
|
|
安全分析 将机器学习和 UEBA 检测应用于安全数据 |
|
|
|
|
身份威胁检测和响应(ITDR 模块) 发现难以检测的威胁,如内部人员、横向移动、凭证泄露等 |
|
||
|
扩展威胁追踪数据(XTHD 模块) 在端点收集丰富的数据,以支持环境中的深度威胁追踪操作 |
|