什麼是 Cortex XSIAM?AI 驅動平台
目錄
革新您的 SOC:網路安全案例研究 | Cortex XSIAM/i>
延伸安全智慧與自動化管理 (Extended Security Intelligence and Automation Management,簡稱 XSIAM) 是一種全新的安全作業方式,可透過緊密整合現代安全作業中心 (SOC) 的功能與流程並將其自動化,大幅提升安全成果。
Cortex XSIAM:AI 驅動的安全平台
XSIAM 旨在成為 SOC 活動的中心,透過將廣泛的功能統一為整體解決方案,取代 SIEM 和特殊產品。XSIAM 的功能包括資料集中化、智慧拼接、分析式偵測、事件管理、威脅情報、自動化、攻擊面管理等,所有功能都以直覺、以工作為導向的使用者體驗提供。
XSIAM 以 XDR 久經考驗的威脅偵測和回應能力為基礎,維護您的安全勢態。XSIAM 擁有集中化的資料儲存與統一的 SOC 功能,提供了擺脫傳統安全性資訊與事件管理 (SIEM) 解決方案的明確遷移路徑。
深入瞭解安全性資訊與事件管理,請閱讀我們的文章「什麼是 SIEM?
XSIAM 由 Palo Alto Networks 於 2022 年首次推出,是一個新穎的類別,旨在提供未來的自主安全性平台。
為什麼我需要 XSIAM 安全性?
目前安全作業中心 (SOC) 的需求已經轉變,然而安全性資訊與事件管理 (SIEM) 和 SOC 的結構卻停滯不前。
當安全性系統的其他重要元件經歷現代化時 - 例如端點從防毒過渡到端點偵測與回應 (EDR) 和延伸偵測與回應 (XDR);網路從傳統的「硬殼」周邊轉移到零信任和安全存取服務邊緣 (SASE);運行時間從資料中心遷移到雲端 - SOC 仍持續以二十年前構想的 SIEM 模式運作。
由於攻擊對手會自動化攻擊由整合性不佳的安全性產品所保護的基礎架構,因此 安全性作業 團隊需要比以往更快的回應速度。與此同時,容器工作負載和持續整合/不斷地部署 (CI/CD) 環境的短暫性,也讓安全性團隊在每時每刻維持安全性勢態方面面臨挑戰。
這帶來的副產品就是管理服務產品的成長,以可擴充的方式提供額外的資源來防衛組織,但即使有了這項額外的支出,許多組織還是覺得不堪負荷。
過去十年來,防禦者面對這些挑戰的一個重要轉變,就是 端點偵測與回應 (EDR ) 以及延伸偵測與回應 (XDR) 解決方案的演進,透過改善安全分析與環境能見度,提供更佳的威脅偵測與回應能力。
儘管現在許多組織已從這些功能中獲益,但許多其他組織仍在使用 SIEM 來集中日誌資料,並匯集其他常用於安全與合規性用例的日誌。不幸的是,SIEM 常常依賴手動設定記錄擷取和偵測規則,以及警示的分流和修復。
XSIAM 尋求將這些流程產品化,並加以整合,以提供近乎即時的安全作業成果,從而減輕對手動流程的依賴。
XSIAM 如何運作?
XSIAM 運作方式獨特,採用智慧型自動化,打破現今安全產品以分析師為導向的模式。系統不斷地從任何來源收集深度遙測、警示和事件。然後,它會自動準備和豐富資料,將資料獨特地縫合成安全智慧,並立即應用機器學習偵測分析。
警報會依事件分類,並充分豐富相關內容。確認、處理並結束例行事件。儀表板匯集了受影響使用者、資產和基礎設施的所有相關方面。嵌入式自動化和線上播放簿可加速動作,並隨時間自我學習。無論在哪一方面,XSIAM 都能協助分析師將工作減至最少,讓他們只需專注於系統無法自行執行的活動。
Cortex XSIAM 的主要整合能力
Cortex XSIAM 將這些關鍵的 SOC 產品功能整合到單一的統一平台中:
- 安全性資訊與事件管理 (SIEM) 提供所有常見的 SIEM 功能,包括日誌管理、相關性與警示、報告及長期資料保留。
- 威脅情報平台 (Threat Intelligence Platform, TIP) 將威脅情報資料(包括業界領先的 Unit42® 威脅饋送)聚合、評分並分發至第三方工具,並針對情境和歸因豐富警示內容。
- Extended Detection and Response (XDR) 收集來自任何來源的遙測資料,提供無與倫比的偵測涵蓋範圍和精確度,在 2022 年 MITRE ATT&CK 評估中,技術層級的偵測數量最高。
- 端點防護平台 (EPP) 透過經過驗證的端點代理程式預防端點攻擊,該代理程式可阻止攻擊漏洞、惡意軟體和無檔攻擊,並收集完整的遙測資料以進行偵測和回應。
- 攻擊面管理 (ASM) 提供內嵌的攻擊面管理 (ASM) 功能,以攻擊者的角度來看您的組織,包括資產發現、弱點評估和風險管理。
- 身份威脅偵測與回應 (ITDR) 使用機器學習和行為分析來剖析使用者和實體,並針對可能顯示帳戶已妥協指標或惡意內幕人士的行為發出警示。
- Security Orchestration, Automation, and Response (SOAR) 可透過數百個內建的播放簿自動化幾乎所有使用個案,並透過可視化的拖放播放簿編輯器提供自訂功能。
- 管理、報告和合規性 簡化作業,集中所有組態、監控和報告功能,包括端點政策管理、協調和回應。
Cortex XSIAM | 現代 SOC 的平台
Cortex XSIAM 可協助現代 SOC 從反應式和以人為先的方法 (無法大規模擴充以因應不斷增加的威脅) 演進為 AI 驅動的自主式 SOC。XSIAM 盡可能嵌入自動化和分析功能,以降低 SecOps 成本,並使 SecOps 流程能夠自我維持。
Cortex® XSIAM™ 將改變 SecOps,讓組織在以下方面獲益:
使用整合式平台簡化安全作業 - 將您所有的資料和 SOC 功能整合到單一平台。將 XDR、SOAR、ASM 和 SIEM 等 SOC 功能匯聚到單一平台,可避免控制端切換,並簡化安全作業。
以 AI 驅動的結果大規模阻止威脅 - 開箱即用的 AI 模型超越傳統偵測方法,可連結各種資料來源的事件,準確偵測並大規模阻止威脅。
以自動化為先的方式加速事件修復 - 在分析師檢視事件之前自動採取行動。自動化安全任務以減少手動工作,並加速事件回應和修復。
當我們說 AI 驅動時,我們的意思是它只會運作,而且是即時運作。
Cortex XSIAM 常見問答集
以大幅提升的安全性阻止外洩:
- 建立智慧型資料基礎。Cortex XSIAM 可讓您將廣泛的遙測資料轉換為智慧型資料基礎,為進階分析提供動力,同時讓您以傳統解決方案一半的成本利用資料。
- 加速回應。Cortex XSIAM 利用資料基礎,以自學雲端提供的人工智能偵測新的敵人策略,並將事件調查的關鍵步驟原生自動化。
- 超越威脅。Cortex XSIAM 透過本機攻擊面管理和整合威脅情報,不斷地發現漏洞。
Palo Alto Networks SIEM 著重於基於日誌的相關性和基於規則的偵測,而 XDR 則利用進階分析、機器學習和行為分析,進行更主動和適應性的威脅偵測。如果您需要先進的威脅偵測功能和自動回應行動,XDR 可能更適合您。
透過設定代理程式,您可以建立安全連線,在此連線中您可以路由端點,並收集和轉寄日誌及檔案以供分析。Broker 可利用相同的 Palo Alto Networks 認證,在虛擬機器上分別執行不同的服務。
