Indice dei contenuti

Che cos'è Cortex XSIAM?

Indice dei contenuti
Rivoluzionare il suo SOC: Studio di caso sulla sicurezza informatica | Cortex XSIAM

Rivoluzionare il suo SOC: Studio di caso sulla sicurezza informatica | Cortex XSIAM

La gestione estesa dell'intelligence e dell'automazione della sicurezza, o XSIAM, è un nuovo approccio alle operazioni di sicurezza che consente di ottenere risultati nettamente migliori grazie alla stretta integrazione e all'automazione delle capacità e dei processi di un moderno centro operativo di sicurezza (SOC).

 

Cortex XSIAM: Piattaforma di sicurezza guidata dall'AI

XSIAM è progettato per essere il centro dell'attività del SOC, sostituendo i prodotti SIEM e quelli speciali, unificando ampie funzionalità in una soluzione olistica. Le funzionalità di XSIAM includono la centralizzazione dei dati, lo stitching intelligente, il rilevamento basato sull'analisi, la gestione degli incidenti, l'intelligence sulle minacce, l'automazione, la gestione della superficie di attacco e molto altro ancora, il tutto offerto all'interno di un'esperienza utente intuitiva e orientata alle attività.

XSIAM mantiene la sua posizione di sicurezza, basandosi sulle comprovate capacità di rilevamento minacce e di risposta di XDR. Con un archivio dati centralizzato e funzioni SOC unificate, XSIAM offre un chiaro percorso di migrazione dalle soluzioni tradizionali di gestione degli eventi di sicurezza (SIEM).

Approfondisca il tema della gestione delle informazioni e degli eventi di sicurezza leggendo il nostro articolo "Che cos'è il SIEM?”.

Introdotto per la prima volta da Palo Alto Networks nel 2022, XSIAM è una nuova categoria progettata per offrire la piattaforma di sicurezza autonoma del futuro.

 

Perché ho bisogno di XSIAM Security?

Le esigenze attuali dei Centri Operativi di Sicurezza (SOC) sono cambiate, ma la struttura del Security Information and Event Management (SIEM) e dei SOC è rimasta stagnante.

Mentre altri componenti vitali dei sistemi di sicurezza hanno subito una modernizzazione - come gli endpoint che passano dall'antivirus all'endpoint detection and response (EDR) e all'extended detection and response (XDR); le reti che passano dai tradizionali perimetri "hard shell" allo Zero Trust e al secure access service edge (SASE); e il runtime che si trasferisce dai data center al cloud - i SOC continuano ad operare su un modello SIEM concepito due decenni fa.

XSIAM-Sicurezza

Poiché gli avversari automatizzano gli attacchi contro le infrastrutture difese da prodotti di sicurezza scarsamente integrati, i team operativi di sicurezza devono rispondere più rapidamente che mai. Nel frattempo, la natura effimera dei carichi di lavoro dei container e degli ambienti di integrazione continua/distribuzione continua (CI/CD) ha sfidato i team addetti alla sicurezza a mantenere la loro postura di sicurezza di momento in momento.

Un sottoprodotto di ciò è la crescita delle offerte di servizi gestiti per fornire in modo scalabile risorse aggiuntive a difesa dell'organizzazione, ma anche con questa spesa aggiuntiva, molte organizzazioni si sentono sopraffatte.

Un cambiamento importante per i difensori rispetto a queste sfide nell'ultimo decennio è stata l'evoluzione delle soluzioni di rilevamento e risposta degli endpoint (EDR) e di rilevamento e risposta estesi (XDR), per fornire capacità di rilevamento e risposta delle minacce migliorate attraverso analisi di sicurezza e visibilità degli ambienti.

Sebbene molte organizzazioni stiano beneficiando di queste funzionalità oggi, molte altre utilizzano ancora un SIEM per centralizzare i dati di log e aggregare i log aggiuntivi che sono frequentemente utilizzati per casi d'uso di sicurezza e conformità. Sfortunatamente, i SIEM dipendono spesso dalla configurazione manuale delle regole di ingestione e rilevamento dei log, nonché dal triage e dalla correzione degli avvisi.

XSIAM cerca di alleviare la dipendenza dai processi manuali, producendo questi processi e integrandoli per fornire risultati di operazioni di sicurezza quasi in tempo reale.

 

Come funziona XSIAM?

XSIAM è unico nel suo modo di operare, utilizzando l'automazione intelligente per uscire dal modello analitico dei prodotti di sicurezza odierni. Il sistema raccoglie continuamente telemetria profonda, avvisi ed eventi da qualsiasi fonte. Quindi prepara e arricchisce automaticamente i dati, li ricuce in modo univoco nell'intelligence di sicurezza e applica immediatamente le analisi di rilevamento dell'apprendimento automatico.

Gli avvisi sono raggruppati in base agli incidenti, completamente arricchiti con il contesto pertinente. Gli incidenti di routine vengono riconosciuti, gestiti e chiusi. I cruscotti riuniscono tutti gli aspetti rilevanti degli utenti, degli asset e delle infrastrutture interessate. L'automazione incorporata e i playbook in linea velocizzano le azioni, autoapprendendo nel tempo. Sotto ogni aspetto, XSIAM aiuta a ridurre al minimo i compiti degli analisti, che possono così concentrarsi solo sulle attività che il sistema non può svolgere da solo.

 

Funzionalità integrate chiave di Cortex XSIAM

Cortex XSIAM combina queste capacità chiave dei prodotti SOC in un'unica piattaforma unificata:

  • Security Information and Event Management (SIEM) Offre tutte le funzioni SIEM comuni, tra cui la gestione dei registri, la correlazione e gli avvisi, il reporting e la conservazione dei dati a lungo termine.
  • Threat Intelligence Platform (TIP) aggrega, assegna punteggi e distribuisce dati di intelligence sulle minacce, compreso il feed delle minacce Unit 42® , leader del settore, a strumenti di terze parti e arricchisce gli avvisi per il contesto e l'attribuzione.
  • Extended Detection and Response (XDR) Raccoglie la telemetria da qualsiasi fonte per una copertura e un'accuratezza di rilevamento senza pari, con il maggior numero di rilevamenti a livello di tecnica nelle valutazioni MITRE ATT&CK del 2022.
  • Endpoint Protection Platform (EPP) Previene gli attacchi agli endpoint con un agente endpoint collaudato che blocca exploit, malware e attacchi fileless e raccoglie una telemetria completa per il rilevamento e la risposta.
  • Gestione della superficie di attacco (ASM) Fornisce funzionalità integrate di gestione della superficie di attacco (ASM) per una visione dell'organizzazione da parte di un aggressore, con individuazione delle risorse, valutazione delle vulnerabilità e gestione del rischio.
  • Identity Threat Detection and Response (ITDR) Utilizza l'apprendimento automatico e l'analisi comportamentale per profilare utenti ed entità e avvisare sui comportamenti che possono indicare un account compromesso o un insider malintenzionato.
  • Security Orchestration, Automation, and Response (SOAR) Automatizza quasi tutti i casi d'uso con centinaia di playbook integrati e offre la personalizzazione con un editor di playbook visuale drag-and-drop.
  • Rilevamento e risposta nel cloud (CDR) Analizza i log di audit, flusso e host del container del cloud insieme ai dati provenienti da altre fonti per un rilevamento e una risposta olistici in tutta la sua azienda ibrida.
  • Gestione, reporting e conformità Semplifica le operazioni, centralizzando tutte le funzioni di configurazione, monitoraggio e reporting, compresa la gestione dei criteri endpoint, l'orchestrazione e la risposta.

 

Cortex XSIAM | La piattaforma per il SOC moderno

Cortex XSIAM aiuta il SOC moderno ad evolvere da un approccio reattivo e human-first - che non è in grado di scalare per stare al passo con le minacce in continuo aumento - verso la visione di un SOC autonomo e guidato dall'AI. XSIAM incorpora l'automazione e l'analitica ovunque sia possibile, per ridurre i costi del SOC e rendere i processi SecOps auto-sostenibili.

Cortex® XSIAM trasformerà la SecOps, consentendo alle organizzazioni di trarre vantaggio nei seguenti modi:

  • Semplificare le operazioni di sicurezza con una piattaforma convergente - Riunire tutti i dati e le funzionalità SOC in un'unica piattaforma. La convergenza delle funzionalità SOC, come XDR, SOAR, ASM e SIEM, in un'unica piattaforma elimina il cambio di console e snellisce le operazioni di sicurezza.

  • Arrestare le minacce in scala con risultati basati sull'AI - I modelli di AI out-of-the-box vanno oltre i metodi di rilevamento tradizionali, collegando gli eventi attraverso varie fonti di dati per rilevare con precisione e arrestare le minacce in scala.

  • Accelerare la bonifica degli incidenti con un approccio basato sull'automazione - Intraprendere azioni automatiche prima ancora che il suo analista debba esaminare l'incidente. Automatizzare le attività di sicurezza per ridurre il lavoro manuale e accelerare la risposta agli incidenti e la bonifica.

Quando parliamo di AI-driven, intendiamo dire che funziona e basta, e lo fa in tempo reale.

 

Domande frequenti su Cortex XSIAM

Blocca le violazioni con una sicurezza nettamente migliore:

  • Costruisce una Fondazione Dati Intelligente. Cortex XSIAM le permette di trasformare la telemetria diffusa in una base di dati intelligenti pronta ad alimentare l'analisi avanzata, consentendole di utilizzare i dati alla metà del costo delle soluzioni tradizionali.
  • Accelera la risposta. Cortex XSIAM sfrutta la base di dati per rilevare nuove tattiche avversarie con l'autoapprendimento dell'intelligenza artificiale fornita dal cloud e automatizza in modo nativo le fasi chiave delle indagini sugli incidenti.
  • Supera le minacce. Cortex XSIAM scopre continuamente le vulnerabilità attraverso la gestione nativa della superficie di attacco e l'intelligence integrata sulle minacce.
Il SIEM di Palo Alto Networks si concentra sulla correlazione dei log e sul rilevamento basato su regole, mentre XDR sfrutta l'analisi avanzata, l'apprendimento automatico e l'analisi comportamentale per un rilevamento minacce più proattivo e adattivo. Se ha bisogno di funzionalità avanzate di rilevamento minacce e di azioni di risposta automatizzate, XDR potrebbe essere più adatto.
Impostando il broker, stabilisce una connessione sicura in cui può instradare i suoi endpoint e raccogliere e inoltrare log e file per l'analisi. Il Broker può essere sfruttato per eseguire diversi servizi separatamente sulla macchina virtuale, utilizzando la stessa autenticazione di Palo Alto Networks.
Contenuti correlati
Copilota Cortex
Scopra Cortex Copilot, il suo assistente avanzato per le operazioni di sicurezza, per risolvere più rapidamente gli incidenti e rimanere al passo con le minacce emergenti.
Informazioni sul prodotto Cortex XSIAM
Riduce il tempo mediano di risoluzione, migliora l'efficienza del SOC e aumenta il tasso di chiusura degli incidenti.
Cortex reimmagina la SecOps.
Protegga la sua organizzazione con una comprovata sicurezza endpoint, rilevamento, risposta, automazione e gestione della superficie di attacco.
Comunicato stampa XSIAM
La nuova piattaforma guidata dall'AI porta i tempi di risposta alle minacce da giorni a minuti e fornisce un'alternativa moderna al SIEM.
Indietro Che cos'è l'automazione della sicurezza?

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce