Cortex XSIAM
在過去幾年中,安全性作業中心 (SOC) 的需求已經改變了,但 SIEM 和 SOC 的設計卻沒有改變。多年以來,安全資訊和事件管理 (SIEM) 類別都是以提供安全作業為主,但是必須仰賴大量的手動工作,安全成果的改善也非常緩慢。其實,其餘大部分的安全架構皆已經現代化:端點會從防毒軟體 (AV) 轉移至端點偵測與回應 (EDR),然後再到擴展的偵測與回應 (XDR);而網路會從「硬殼」周邊轉移至零信任和 SASE;執行階段則會從數據中心轉移至雲端。相比之下,SOC 仍以 20 年前設計的 SIEM 模式操作。
圖 1:是讓 SOC 超越過去的傳統 SIEM 的時候了
因此,SIEM 市場的發展可說相當的緩慢,廠商對於其產品和解決方案重大變革的投入也缺乏足夠的動力。我們對於造成這種技術慣性歸納下列幾個原因:
「安全分析平台在數據彙總方面已經累積超過十年的經驗來讓其因應這些挑戰,但卻無法隨著企業的擴張提供足夠的事件回應能力,迫使他們必須轉而尋求其他的解決方案。」
- Allie Mellen,Forrester 資深分析師
圖 2:孤立的工具會減慢調查和回應速度
網路安全性可能會產生緊急威脅補救的問題。由於應用程式、工作負載、微服務和使用者的迅速激增,我們的整體數位攻擊範圍擴張速度將會比我們的保護範圍更加快速。另一方面,這樣的情況還可能會讓偵測和防禦工具每天都會產生數千個警示 — 遠遠超過安全團隊有效處理的數量。這些警示來自許多互不關聯的來源,進而讓安全分析人員難以處理。
潛在威脅的分析通常需要許多步驟,包括:
在傳統 SOC 中,這些步驟需要大量時間和多種工具才能完成,而且這只是分類而已。最後結果是分析人員只有時間解決他們每天遇到的最高優先順序警示。同時,大量令人不安的低優先順序警示根本沒有進行處理。經由歷史事件調查發現,一系列的低優先順序警示其實都只是單一攻擊的一部分,這也是傳統威脅偵測平台所難以察覺的情況。
此外,負責警示分類的安全分析人員通常沒有足夠的脈絡來確定攻擊對企業造成的實際風險。因此,該警示將呈報給一個較高層級的群組,以進行進一步的驗證,這需要更多的時間、精力和資源,進而在所有層級造成效率低下。於是網路攻擊者就是看準我們缺乏快速行動的能力,而大部分的企業確實都需要數小時、甚至幾天或幾個月的時間來識別及補救威脅。
就我們的弱點而言,最核心的關鍵在於我們無法充分利用大規模的數據來進行防禦。雖然 SIEM 解決方案的目的在於提升警示和日誌管理,但其仍非常依賴人員導向的偵測和補救,頂多附加一些分析和程序自動化。為了能夠抵禦現今的威脅,我們必須透過 AI 來徹底改造在企業中維護網路安全性的方式。
現代 SOC 必須建立在全新的架構上,才能因應現代化 IT 環境不斷演進的需求。此一架構應具有彈性、可擴充、可調整等特性,並且能夠與各種安全工具和技術進行整合。整體來說,這樣的設計應能提供:
與傳統安全性作業不同,現代 SOC 會運用資料科學來處理大量的資料集,而不是依靠人力判斷以及為了應付過往威脅所設計的規則。
Palo Alto Networks 長期致力於透過目前的安全解決方案來解決上述的限制。因此,我們的產業需要持續創新才能保持安全領域的領先地位。Cortex XSIAM,也就是所謂的擴充式安全性情報和自動化管理,目前正逐漸轉為全新打造、由 AI 驅動的架構。
這是一個我們對於網路安全思維的轉折點,也就是朝向機器明顯比我們更為優越的 AI 領域發展。這是一個創造未來自發性安全平台的共同願景,也就是透過幾乎即時的偵測與回應大幅提升安全性。
圖 3:在 Palo Alto Networks,我們就是自己的第一個客戶
XSIAM 統一了同級最佳的功能,包括 EDR、XDR、SOAR、CDR,ASM、UEBA、TIP 和 SIEM。XSIAM 建立在一個安全性特定的數據模型之上,並透過從 Palo Alto Networks 全球數以萬計的客戶所收集的威脅情報持續進行更新,同時使用機器學習主導的設計以整合大量的安全數據。它會將警示匯集至事件中進行自動分析和分類,並自動回應大部分事件,讓分析人員能夠著重於少數需要人為介入的威脅上。XSIAM 已經由生產能力證實,能夠大幅提升 Palo Alto Networks SOC 的效能,可將超過 1 兆個每月事件轉換成分析人員每天所處理的少數幾個事件。
Cortex XSIAM 運用機器智慧功能和自動化以大幅提升安全成果並實現 SecOps 模式的轉型。XSIAM 能讓 SOC 完全控制從端點到雲端的企業安全性,同時將資料和安全性功能集中管理以克服威脅、加速回應,並且大幅簡化分析人員和 SOC 團隊的活動。
圖 4:Cortex XSIAM 重點:全功能的單一平台
現今混合式企業產生的安全性資料是幾年前的許多倍。不過,典型的 SOC 仍然以數據孤島、有限的雲端可視性、過時的 SIEM 技術以及引誘攻擊者入侵的手動人工程序運作。
增加分析師人數無法阻止大勢所趨,而額外的工具只會加劇現在複雜的 SOC 架構及工程維護負擔。現代 SOC 必須轉向智慧機器驅動模型,這個模型可以大規模阻止從端點到雲端的攻擊,而且分析師的參與和 SOC 工程開銷最少。
Cortex XSIAM 的設計可以運用機器情報和自動化的功能大幅改善安全成果並實現手動 SecOps 模式的轉型,能滿足現代 SOC 的需求。此模式可以透過機器分類數據讓 SOC 能主動採取行動而非被動因應,讓分析人員能專注於不尋常和異常狀況。
XSIAM 獨特的設計可成為 SOC 活動的中心,透過將廣泛的功能統一為整體、以任務為導向的 SecOps 平台,取代 SIEM 和專業產品。以威脅檢測和回應為核心所量身打造的 XSIAM 可集中、自動化及擴展安全作業以全面保護混合企業的安全。
人力為主的 SecOps 方法已遭遇到瓶頸。現代 SOC 必須轉換成智慧型、機器主導、人力協作的安全性系統,以透過前所未有的規模和效率大幅提升防護力。
XSIAM 是專為現代 SOC 所設計的集中作業平台,可以提供 EDR、XDR、SOAR、攻擊範圍管理 (ASM)、威脅情報管理 (TIM)、UEBA、SIEM 等同級最佳功能。但 XSIAM 並不是一種不同工具的組合。相反地,XSIAM 能將各種功能和情報緊密結合在以任務為導向的使用者體驗和豐富的事件管理流程中,可以大幅減少活動和脈絡切換頻率,以實現快速且準確的攻擊回應能力。
XSIAM 的操作方式具有革命性意義,它使用智慧型自動化,打破現今安全性產品以分析師為導向的模型。從數據上線到事件管理,XSIAM 可以大幅減輕分析人員和所有 SOC 人員的工作負擔,讓他們能夠專注於系統無法執行的高價值活動上。
大部分 SOC 團隊的運作現在都受限於有限且孤立的資料,包括對於流動雲端和面向網際網路資源的可視性非常不足,而這些資源已經涉及超過三分之一的入侵案例。雖然雲端安全性產品提供必要的保護,但其通常只能在 SOC 之外以獨立方式操作。而 SOC 團隊必須能夠集中監控完整的點對點安全性,同時調查許多涉入雲端資產的事件。
XSIAM 會在所有企業安全來源中建立智慧數據基礎,包括從端點到供應商的特殊雲端摘要、動態工作負載和雲端安全產品等等。該系統會持續從這些來源收集深度遙測警示和事件、自動準備及強化數據,然後以特定方式將其整合到安全情報中,針對特定來源和整個攻擊鏈的行為偵測支援豐富的機器學習分析。
SIEM 持續老化的數據庫架構、複雜的管理程序以及有限的演進,迫使其必須透過周遭的專業化工具進行創新。結果讓 SOC 架構變成一個複雜而脆弱的架構,對於數據管道、產品整合和持續管理方面都形成障礙。
XSIAM 可以整合多個工具並擴充、集中化及自動化資料收集,以簡化 SOC 基礎結構,並且大幅降低工程和作業成本。
現代 SOC 轉型的關鍵元件是確保安全團隊充分運用機器學習,在安全性方面增強和補足人員的能力。進階分析和 AI 可大幅減少團隊在企業中處理大量數據所需的時間,以發展出關鍵性的安全見解。作為一種 AI 的子集,機器學習會使用用戶端環境的訓練資料,讓機器能不斷學習及改善與環境和工作效能有關的知識。
透過自動偵測跨多個數據來源的異常模式並自動提供呈現脈絡的警示,現在的機器學習可以履行加速調查和消除企業盲點的承諾。
這透過訓練機器學習模型與品質安全相關數據來達成,使用這些模型偵測數據之間和跨越數據的模式,然後測試和改進流程。ML 技術可以收集、整合和分析資料,並查詢資料,以減少人類執行這些任務所需的時間和知識。這也會儘可能減少 SOC 團隊在數據中嵌入的多個安全層尋找威脅脈絡和證據的挑戰。
受監管的機器學習技術可用於讀取桌上型電腦、郵件伺服器或檔案伺服器等裝置的數位標記,然後學習多種裝置的行為並偵測異常行為。機器學習的承諾是能夠判斷環境中所發生事情的因果推論,並讓軟體指示後續步驟,而不是依賴人類互動。舉例來說,可以單純按照聯合數據集中的行為和互動來標記惡意動作,然後便可透過明確的指令將決策散播到網路的其餘部分 (例如,指示代理程式對其進行控制或指示防火牆不要與其進行通訊)。
XSIAM 中的機器學習可提供:
XSIAM 的核心為威脅偵測與回應,而 XSIAM 在事件管理流程的自動化方面是獨一無二的。XSIAM 分析會提供基於技術的情報,因此警示可依照事件進行分組,並透過相關脈絡充分強化其內容。嵌入的自動化和內嵌劇本可套用分析結果,以更具智慧的方式執行,儘可能地充分處理及關閉警示或事件。
圖 5:分析師事件管理檢視
分析人員事件管理檢視可提供完整的摘要,其中包括已自動執行的動作、結果和建議採取的動作。當需要執行進一步調查和回應動作時,分析人員可以使用下拉式事件時間表,並透過所有的分析和功能獲得廣泛的 XSIAM 情報。補救和回應動作可利用內嵌劇本,而針對受管理的端點,XSIAM 可提供一鍵補救動作選項與強大的 Live Terminal 存取和鑑識工具。
圖 6:透過 MITRE ATT&CK 對應、相關警示、劇本狀態、警示來源和構件,取得與事件有關的深入脈絡
Cortex XSIAM 是一種真實的 SOC 平台,並徹底顛覆傳統、多工具、人力驅動的 SOC 運作模式。企業在大多數情況下都會使用傳統 SOC 模式,也因此在使用既有的安全架構及進行管理時幾乎都發生類似的問題。Cortex XSIAM 是由實際經歷過這些問題的安全從業人員所建立。由於 Palo Alto Networks 客戶會尋找各種方式來解決其安全成果挑戰,因此平台的開發也會受到他們的影響。
圖 7:集中化、自動化並擴充作業以保護您的組織
| 主要功能摘要 | |
|---|---|
|
資料上線 透過數百個預先建立的資料套件、標準連接器類型以及簡易的自動化設定步驟,此雲端架構可讓上線、監控和報告程序變得更為簡單。 |
威脅情報管理 管理 Palo Alto Networks 和第三方威脅情報摘要,並自動將其對應至各種警示和事件。 |
|
智慧資料基礎 持續從任何來源收集深度遙測、警示和事件,自動進行強化,並將其對應至統一資料模式,然後將事件整合至情報中以進行機器學習分析。 |
端點防護和情報 透過完整端點代理程式和雲端分析後端,將 SIEM 和 EPP/EDR 投資合併為統一及整合的解決方案,藉此提供端點威脅防禦、自動回應以及深度遙測以進行任何威脅調查。 |
|
威脅偵測分析 透過技術式分析,將專業化分析和行為式偵測套用至所有收集的資料。 |
攻擊面可視性和動作 在您的資產目錄中進行全面檢視,包括透過內嵌 ASM 功能,針對發現的面向網際網路資產進行內部端點和弱點警示。 |
|
自動化調查與回應 自動執行許多任務,並且提供分析人員必要的情報和指引,透過自動化功能和情報內嵌劇本協助他們完成任何需要人為介入的動作。 |
使用者與實體行為分析 使用機器學習和行為分析以針對使用者、電腦和實體進行剖析,對於顯露出帳戶入侵或惡意內部人員的行為進行識別並發出警示。 |
|
劇本與協調 建立及協調劇本,與強大的 SOAR(安全性協調、自動化和回應)模組和市集搭配使用。 |
網路與雲端分析 針對網路和雲端資料的異常狀況進行偵測並發出警示,例如防火牆事件、雲端服務供應商日誌和雲端安全產品警示與專業分析。 |
|
Cortex 暴露管理 利用跨企業和雲端的 AI 驅動優先排序和自動補救,將弱點雜訊減少高達 99%。 |
Cortex 電子郵件安全性 擴展業界領先的 AI 驅動偵測與回應,以阻止最先進的電子郵件型威脅。 |
|
管理、報告與合規性 集中管理功能可簡化作業。強大的圖形報告功能支援合規性、數據取得、事件趨勢、SOC 效能指標等等的報告。 |
|
Cortex XSIAM 的最新演進邁出了革命性的一步,方法是統一被動事件回應與主動安全性態勢管理。XSIAM 3.0 擴展了其功能,以處理現今影響企業的兩個最重要的風險領域:
利用跨企業和雲端的 AI 驅動優先排序和自動補救功能,可將弱點雜訊減少高達 99%。這種弱點管理的顛覆性方法專注於那些存在武器化入侵且缺乏補償性控制措施的弱點,讓您能優先處理這 0.01% 最為關鍵的風險。
透過 Cortex 暴露管理,您可以:
在結合 LLM 驅動分析與業界領先的偵測與回應能力後,可有效阻止進階網路釣魚攻擊以及電子郵件型威脅。由於電子郵件仍是主要的通訊工具(預計到 2030 年將達到 50 億個使用者),且佔所有安全性事件的四分之一,因此這項功能提供:
XSIAM 3.0 已成功保護全球數百個最嚴苛的 SOC 環境,透過將這些功能整合至相同的統一資料、AI 和自動化平台,其可將安全性作業從被動事件回應轉變為主動網路防禦,能夠處理任何目前和未來的威脅向量。
我們業界領先的網路安全性專家將會應用技術專業知識、專業服務和營運程序來最大化您的安全性投資,進而協助您最佳化您的部署。
圖 8:全球客戶服務針對 XSIAM 提供數個支援和服務選項
XSIAM 部署服務可讓您更大規模地採用 Cortex XSIAM 功能並加快實現價值。
關鍵優勢:
SOC 轉型服務可以提供組織適合的架構來建置及加強安全性作業中心,以快速且有效率地回應安全性事件並輕鬆地自動化程序。
關鍵優勢:
頂級版客戶成功計劃可提供持續指引、無縫式一致性和頂級技術支援。
關鍵優勢:
如需有關這些服務的詳細資訊,請聯絡我們的服務銷售團隊。
存取最新的 XSIAM 資源:
造訪 造訪 XSIAM 產品頁面
什麼是 XSIAM?
要求 XSIAM 的個人示範
觀看 15 分鐘影片了解 XSIAM 的實際應用
來自真實 Cortex XSIAM 客戶的實際結果
