Cortex XSIAM - a plataforma de SOC autónoma de próxima geração

No cenário que temos hoje em dia, as equipas de SecOps têm muitas informações para gerir, sendo que estas estão demasiado dispersas, em silos, exigindo muitas ações manuais e reativos reativas após um determinado incidente, levando a tempos de investigação mais longos, incidentes perdidos e, por fim, tempos de deteção e resposta mais longos. Em paralelo, a diversidade de produtos com os quais as equipas de SecOps têm de lidar, tornam difíceis os processos de integração. O resultado é a saturação dos analistas e investigações mais lentas. Em resumo, as necessidades dos SOC mudaram, mas o design do SIEM e do SOC não.

Uma plataforma de segurança autónoma

Através do Cortex XSIAM, a Palo Alto Networks procura elevar o papel dos analistas de segurança das organizações, respondendo a ameaças num curto espaço de tempo e simplificando os dados de uma forma que os tradicionais SIEM não conseguem.

Com a utilização de técnicas de Machine Learning e Automação nas diversas atividades que envolvem não só a análise de dados mas também de tarefas repetitivas, é possível melhorar a produtividade dos analistas, o que significa que têm mais tempo para se focar nas necessidades mais críticas para as operações de segurança.

Com o Cortex XSIAM é possível unir automaticamente dados de endpoint, rede, cloud e identidade para detetar ameaças avançadas com precisão e simplificar as investigações com uma imagem completa de cada ataque, enriquecida com ações recomendadas e necessárias para uma resposta extremamente rápida.

O Cortex XSIAM também melhora drasticamente a facilidade das operações na configuração de novas fontes de dados com apenas alguns cliques, incluindo a recolha de dados, análise, playbooks, correlações e dashboards, entre outros. Todos os mecanismos de deteção do XSIAM funcionam automaticamente com qualquer novo dado que seja integrado.

Porquê Cortex XSIAM

O Cortex XSIAM tem três princípios no seu design:

• Intelligent Data & Analytics – a base para análises de segurança baseadas em machine learning requer grandes quantidades de dados úteis e não só de apenas logs e alertas. O XSIAM cria uma imagem completa ao extrair dados de endpoints, rede, cloud e sistemas de identidade, normalizando e unindo tudo, para que os modelos de Machine Learning possam processá-los com uma compreensão de como tudo se interliga;
• Automation first – os SIEM tradicionais foram construídos em torno do analista humano. Os analistas do SOC examinavam centenas de alertas por dia, faziam a triagem manualmente, recolhiam dados contextuais e gastavam a maior parte do tempo com falsos positivos e esforços manuais. O XSIAM muda o modelo para uma mentalidade que prioriza a automação, aproveita as máquinas onde estas se destacam e libertam os analistas para trabalharem em incidentes urgentes e de alto impacto, enquanto a plataforma subjacente faz o piloto automático do SOC;
• Segurança proativa - o XSIAM foi criado para libertar a capacidade do SOC para que as ações passem a ser pró-ativas e sejam padronizadas. Além da automação, o XSIAM incorpora inteligência para perceber ameaças e recursos para gerir a superfície de ataque, de forma a permitir que os analistas de segurança pensem e atuem de forma mais proativa.

A plataforma de segurança do futuro

Por design, o Cortex XSIAM opera em operações de segurança corporativa e cloud, fornecendo uma verdadeira gestão end to end das ameaças, independentemente da sua origem. As organizações com implementações de SIEM tradicionais podem fazer a transição perfeita para o XSIAM como a plataforma SOC autónoma de próxima geração.

É muito claro que o SIEM tradicional não é a ferramenta certa para reduzir o tempo entre a deteção de um ciber incidente e parar o ataque. Para além disso, acrescentar mais ferramentas de automação à volta do SIEM não resolve o problema de encontrar e parar incidentes em tempo real.

Conteúdo co-produzido pela MediaNext e pela Palo Alto Networks