回顧過往以持續邁進:
隨著網路攻擊頻率持續不斷攀升,若要阻止攻擊也變得更加困難。每次當發生攻擊時,目標的安全團隊就會很稱職地執行鑑識。安全團隊會快速發現問題所在、攻擊者的入侵管道、哪些系統受到影響,以及哪些數據遭到竊取。因此,關鍵問題在於:若企業在事後能取得必要的資訊來解決問題,為何不能在第一時間就防禦攻擊?
答案就在於數據分析 (Analysis) 與數據推演 (Analytics) 之間的不同。在數據來源各自孤立的情況下,安全企業會有太多的資訊需要管理。數據分析人員會在事後收集這些數據來判斷發生了什麼事。但各自孤立的數據並不利於數據分析,因此無法精準地預測未來並做好準備。這並不是安全作業中心 (SOC) 的錯。大部分的 SOC 都是針對不同的時代所建立。
也不過數年的光景,現今急遽擴張的攻擊範圍已產生了過多的安全數據,且變得更為複雜而孤立。網路、端點、身分和雲端數據仍存留在不同的系統中。端點遙測會鎖定在端點偵測與回應 (EDR) 系統,雲端數據則各自分散在不同的雲端安全工具中,更糟的是,就算只有一個日誌子集也會產生大量傳至 SIEM 的警示。因此,SOC 分析人員必須手動分析數據以分類警示並採取有效的行動。大量的警示會超過分析人員的負荷,因此可能會錯過重要的威脅,威脅的停留時間也變得更長。同時在安全架構師整合最新的單點產品時,安全工程師也難以有效整合新的數據串流及建立新的偵測規則和劇本。因此這些結果都是可預測的:警示麻痺、調查緩慢,攻擊者也可能會隱藏在網路中數月之久。
次世代SIEM 平台透過AI輔助驅動提升現代SOC能力的新典範
Cortex XSIAM 運用機器智慧功能和自動化以大幅提升安全成果並實現 SecOps 模式的轉型。XSIAM 能讓 SOC 完全控制從端點到雲端的企業安全性,同時將數據和安全功能集中管理以克服威脅、加速回應,並且大幅簡化分析人員和 SOC 團隊的活動。
現在混合式企業產生的安全數據是幾年前的許多倍。不過,典型的 SOC 仍然以數據孤島、有限的雲端可視性、過時的 SIEM 技術以及引誘攻擊者入侵的手動人工程序運作。
增加分析師人數無法阻止大勢所趨,而額外的工具只會加劇現在複雜的 SOC 架構及工程維護負擔。現代 SOC 必須轉向智慧機器驅動模型,這個模型可以大規模阻止從端點到雲端的攻擊,而且分析師的參與和 SOC 工程開銷最少。
Cortex XSIAM 的設計可以運用機器情報和自動化的功能大幅改善安全成果並實現手動 SecOps 模式的轉型,能滿足現代 SOC 的需求。此模式可以透過機器分類數據讓 _SOC 能主動採取行動而非被動因應,讓分析人員能專注於不尋常和異常狀況。
XSIAM 已特別設計為 SOC 活動的中心,可將廣泛的功能統整到整體、任務導向的 SecOps 平台來取代 _SIEM 和專業產品。以威脅檢測和回應為核心所量身打造的 XSIAM 可集中、自動化及擴展安全作業以全面保護混合企業的安全。
運作方式:
XSIAM 是專為現代 SOC 所設計的集中作業平台,可以提供 EDR、XDR、SOAR、攻擊範圍管理 (ASM)、 威脅情報管理 (TIM)、UEBA、SIEM 等同級最佳功能。但 XSIAM 並不是一種不同工具的組合。相反地,XSIAM 能將各種功能和情報緊密結合在以任務為導向的使用者體驗和豐富的事件管理流程中,可以大幅減少活動和脈絡切換頻率,以實現快速且準確的攻擊回應能力。
XSIAM 在作業方式上具有革命性意義,其使用智慧型自動化來轉變現在安全產品的分析人員驅動模型。從數據上線到事件管理,XSIAM 可以大幅減輕分析人員和所有 SOC 人員的工作負擔,讓他們能夠專注於系統無法執行的高價值活動上。
雲端混合企業的SOC控制
大部分 SOC 團隊的運作現在都受限於有限且孤立的數據,包括對於流動雲端和面向網際網路資源的可視性非常不足,而這些資源已經涉及超過三分之一的入侵案例。 雖然雲端安全產品提供必要的保護,但其通常只能在 SOC 之外以獨立方式運作。而 SOC 團隊必須能夠集中監控完整的點對點安全性,同時調查許多涉入雲端資產的事件。雲端安全產品等等。該系統會持續從這些來源收集深度遙測警示和事件、自動準備及強化數據,然後以特定方式將其整合到安全情報中,針對特定來源和整個攻擊鏈的行為偵測支援豐富的機器學習分析。
XSIAM 的機器學習可提供
- 行為分析:XSIAM 會使用 AI 和 ML 來分析端點行為,並且偵測可能表示存在某種威脅的異常狀況。
- 威脅情報:該平台會套用機器學習演算法來分析大量威脅情報數據,並識別可能表示出現某種新興威脅的模式和趨勢。
- 自動化回應:XSIAM 會使用 AI 支援的自動化以即時回應威脅,不需要任何人為介入。
- 預測分析:該平台會利用機器學習演算法來分析歷史數據並預測潛在的威脅,協助企業主動防範未來的攻擊。
- 持續學習:XSIAM 的機器學習演算法會持續學習新的數據並調整其模式,隨著時間演進不斷提升平台的準確度和效率。
Cortex XSIAM 獨特優勢
Cortex XSIAM 是一種真實的 SOC 平台,並徹底顛覆傳統、多工具、人力驅動的 SOC 運作模式。企業在大多數情況下都會使用傳統 SOC 模式,也因此在使用既有的安全架構及進行管理時幾乎都發生類似的問題。Cortex XSIAM 是由實際經歷過這些問題的安全從業人員所建立。由於 Palo Alto Networks 客戶會尋找各種方式來解決其安全成果挑戰,因此平台的開發也會受到他們的影響。
