原文翻譯至 撰文者Tim Junio
第三代XDR平台Cortex XDR 3.0發表問世,可供資安團隊對單一控制台內所有的端點、網路、雲端與身分來源,識別出資安攻擊並深入調查。
當Cortex XDR於2019年推出時,即成為業界首見的XDR產品。我們立意於提供一個奠基於現代化雲端技術的平台,充分運用走在科技最前端的機器學習、分析與自動化,對抗日常營運遭遇的許多網路攻擊。此平台依據的原理是唯有將安全性資料來源以正確的組合方式加以整合,並做即時分析,才能夠辨識出並阻擋下經過精密設計的網路攻擊。自從創立Cortex XDR以來,此發展方針已反覆通過驗證可對像是SolarStorm以及MITRE ATT&CK評估所模擬出的精密網路攻擊,作為最有效的防堵與偵測工具。
我們現今推出的Cortex XDR 3.0,就掌握並杜絕所有網路攻擊的使命而言有重大躍進。XDR 3.0將XDR平台的要旨擴展至雲端環境,確保SOC團隊可對其雲端資產執行防範、偵測與回應等資安工作。新推出的平台也整合納入豐富的身分資料來源與內建分析工具,可因應多種不同與身分認證有關的威脅。
更重要的是,第三代XDR賦予資安團隊絕佳彈性,可從任何第三方來源擷取數據,並與其他原生數據來源建立關聯,達成幅員更遼闊且更深入的資安調查。
不僅只是這樣!令人振奮的消息是資安團隊的XDR 3.0可附加一組強化鑑識調查能力的模組。以往在Palo Alto Network Unit 42 安全性諮詢小組內所用的先進工具已可提供通用服務。
繼續閱讀了解更多!
XDR 3.0新功能
Cortex XDR從原生分析工具擴展至雲端數據,可供SOC團隊防範、偵測與應變來自混合式與多重雲端環境的資安威脅
SOC威脅監測團隊有賴可偵測威脅並做出應變的平台,以獲取整體視野並進行資安調查,但往往對雲端安全性一知半解。Cortex XDR 3.0將雲端遙測(包括主機數據、流量紀錄、稽核紀錄與來自Palo Alto Networks Prisma Cloud解決方案的數據)與非雲端端點、網路和身分數據相互整合,提供全組織適用的威脅偵測與應變。我們新增了數十個雲端特有的偵測規則,鎖定共通之雲端威脅媒介,例如雲端脫逸與雲端劫持。
Cortex XDR 3.0讓您有信心雲端的資產可獲得周全保護,當偵測到威脅出現,可對攻擊所涉範圍擁有更多的脈絡資訊,確保做出更完整的應變。
XDR 3.0也為包括Windows與Linux虛擬機和Kubernetes容器在內的雲端資產,提供端點偵測與回應(EDR)的防護層級。
Cortex XDR 3.0新推出的雲端功能,補強了我們領先業界的Prisma Cloud解決方案。兩相結合之下,不論是訴求DevOps敏捷度的雲端資安團隊,抑或對整體企業有綜觀需要的SOC分析師,都可滿足兩者獨有之需求。
Cortex XDR擴充UEBA功能加入更深層的身分分析,對抗來自惡意使用者的活動
身分變造幾乎是所有網路攻擊的共通點,正因如此,分析使用者身分驗證與存取對於在攻擊歷程的早期加以阻斷至關重要。Cortex XDR 3.0充分運用建基於機器學習的威脅偵測器,偵測範圍涵蓋廣泛的身分數據來源,包括Active Directory、身分與存取管理產品(包含Okta、Ping與Azure AD)、人力資源 (HR) 平台(例如Workday)與SASE閘道。HR與Workday的整合尤其重要;XDR 3.0為身分相關調查新增了具有價值的脈絡,包括使用者部門、經理、聯絡電話、聘僱日期與其他資訊,這些數據可從多個來源彙集而成,且提供解讀事件因果關係的廣泛視角。
分析師可由360度使用者視角和歷來風險分數,將高風險使用者列為優先調查對象,並監測長期以來的使用者行為趨勢。
Cortex XDR的第三方數據引擎,現可遠距擷取任何來源的數據,將其標準化後建立關聯、進行查詢與展開分析
資安調查如能取得愈多脈絡,成效愈佳。許多客戶在數據紀錄上面臨可擴充性和效率的問題,SOC分析師的調查經常要跨越多個控制台,才能橋接多種不同的安全性數據。XDR 3.0新功能可供使用者:
• 擷取任何數據來源並將其標準化,包括資料庫、檔案、FTP、CSV、系統記錄檔、Windows事件收集(WEC)等。
• 任何數據都可與威脅活動建立關聯,並加上MITRE ATT&CK TTP標記,輔助提供更仔細的對抗式移動輪廓。
• 利用專為調查及獵捕威脅所設計並優化的XDR原生查詢語言(XQL),促成涵蓋所有第三方數據來源的即席搜尋。
內建鑑識模組將Palo Alto Networks Unit 42事件應變菁英團隊所用原生鑑識功能提供予客戶及合作夥伴
內部執行鑑識分析的能力,對於徹底掌握資安攻擊並加速漏洞修補而言至關重要。XDR鑑識模組讓您不再需要部署、管理與整合另一個從端點收集及分析操作跡證的鑑識工具組。XDR 3.0集結程式執行、檔案存取、瀏覽活動、事件紀錄、網路作業階段與其他鑑識操作跡證,將其整合至XDR使用者介面。此鑑識模組也可收集離線端點的數據,由於網路隔離經常是面臨攻擊時首要的應變措施,所以這些數據非常重要。
新式事件管理介面涵蓋完整的輪廓,透過一鍵式互動使用者介面呈現出所有相關的操作跡證、主機和使用者。速覽視窗顯示出相互關聯的警報,在其與MITRE ATT&CK架構的對應下,可快速界定事件範圍。
致力於打造更安全穩固的未來
XDR持續投入創新,重新界定資安營運團隊如何應對複雜的現代化威脅,以及達成更高效率。藉由處理數據收集、整合與分析的系統整合問題(再加上有能力啟動已高度優化及自動化的工作流程),XDR有助於採一體化架構解決大規模出現的偵測、調查與應變挑戰。
欲知詳情,請註冊登記我們九月的「開啟新扉頁」上市活動,取得意義重大的本次發表資訊:
• 資安攻擊者角度的爐邊對談 — 過去曾擊潰線上黑市「絲路」(Silk Road) 的前美國聯邦調查局探員Chris Tarbell,以及曾領導駭客集團「匿名者」(Anonymous) / LulzSec的前「黑帽駭客」Hector Monsegur,分享來自對立面的觀點。
• 業界專家小組討論資安守衛者的觀點 — 聆聽守衛者優先採用哪些工具、程序與策略。
• Cortex XDR 3.0的概覽與演示 — 觀看新功能的第一手消息,發掘此第三代XDR創新功能如何強化守衛者配備以提升公平競爭環境。