Cortex XDR стал умнее благодаря улучшенной аналитике и расширенному мониторингу

Сделайте расследование инцидентов эффективнее благодаря их аналитической оценке, улучшенной визуализации результатов поиска и поддержке беспрецедентного разнообразия источников данных.

Palo Alto Networks анонсировал релиз платформы Cortex XDR 2.7 и агента Cortex XDR Agent 7.3 — эти два релиза содержат большой набор давно ожидаемых функций. Новые возможности ускоряют расследование инцидентов и совершенствуют защитные средства агента Cortex XDR для конечных точек. Благодаря новым возможностям можно не только блокировать быстроразвивающиеся атаки на конечные точки и сокращать среднее время реагирования на инциденты (MTTR) — в интеграции с Cortex XSOAR эти возможности предоставляют интегрированную платформу, которая отвечает всем потребностям команды SecOps.

Скоринг инцидентов позволяет сосредоточиться на действительно важном

Сегодня службы ИБ сталкиваются с нескончаемым потоком алертов — в среднем 11 000 уведомлений в неделю. Инновационная функция управления инцидентами (Incident Management), представленная Palo Alto Networks в 2019 году, снижает нагрузку на персонал, группируя по инцидентам взаимосвязанные алерты из разнообразных источников данных. Это на 98% сокращает количество отдельных событий, а значит, больше нет необходимости их просматривать по отдельности.

В Cortex XDR 2.7 благодаря новому функционалу скоринга управление инцидентами выведено на новый уровень. Данная функция пользуется большим спросом у клиентов — она позволяет ранжировать и приоритизировать инциденты с высоким уровнем риска, чтобы можно было сразу сосредоточиться на наиболее критичных угрозах. Вы можете создавать правила для оценки инцидентов на основе более десятка параметров уведомлений, включая имя пользователя или хоста, которое содержится в уведомлении. Вы можете загрузить список активов с высоким приоритетом, чтобы упростить настройку правил. Оценка инцидентов позволяет быстро сфокусироваться на тех из них, которые связаны, например, с критичными серверами, а также приоритизировать атаки, нацеленные на руководство высшего звена.

Оценка инцидентов помогает выявить угрозы с высоким уровнем риска.

Гибкие инсайты радикально повышают эффективность расследований

Сбор правильных данных — это первый шаг эффективного обнаружения угроз и реагирования на них. Однако слишком часто аналитики SOC тонут в «озерах» данных, которые сами же создали. Для расследования инцидентов аналитикам необходимо быстро находить ответы на свои вопросы и мгновенно распутывать цепь событий благодаря просмотру удобных диаграмм, а не прокручиванию бесконечных таблиц. Чтобы сократить время реагирования на инциденты, нужны более качественные поисковые инсайты и более гибкие возможности для поисковых запросов.

С Cortex XDR 2.7 поиск исключительных возможностей поиска завершен. Для лучшей визуализации результатов поиска Cortex XDR автоматически генерирует гистограммы для каждого поля данных в запросе. Новые возможности поиска позволяют анализировать больше типов данных, а улучшения языка запросов, например, опция поиска без учета регистра, позволяют легко выявлять угрозы. Теперь результаты поиска можно отобразить с помощью широкого набора диаграмм и вариантов визуализации, в который входят:

  • круговые диаграммы;
  • диаграммы с областями;
  • пузырьковые диаграммы;
  • точечные диаграммы;
  • кольцевые диаграммы;
  • суммарный показатель одного значения и таблицы в трех форматах: стандартном текстовом, JSON и древовидном.

Новая библиотека виджетов позволяет сохранять персонализированные диаграммы и использовать их в дашбордах, отчетах и при отображении результатов поиска. Библиотека виджетов — это одно место, в котором находятся все настраиваемые диаграммы и графики.

Пузырьковые диаграммы позволяют быстро оценивать результаты поиска, отображая сразу три среза данных.
Настраиваемые круговые диаграммы помогают аналитикам быстро выявлять самые частые результаты поиска, что облегчает расследование инцидентов.
Гистограммы показывают структуру результатов поиска по полям данных в поисковом запросе.

Больше источников данных — улучшенный мониторинг и устранение слепых зон

Два года назад компания Palo Alto Networks запустила первую в отрасли платформу расширенного обнаружения и реагирования на атаки (XDR), позволив организациям отслеживать и устранять угрозы по разрозненным источникам данных. Компания продолжает развивать этот потенциал, добавив в Cortex XDR 2.7 новые источники данных и форматы журналов, что повышает качество мониторинга. Это позволяет аналитикам ИБ защищать невероятное количество активов и блокировать еще больше угроз, чем когда-либо.

Cortex XDR теперь поддерживает новые форматы журналов, включая LEEF и Elastic Filebeat, а также может обрабатывать дополнительные виды файлов журналов: AWS® CloudTrail, Amazon CloudWatch, Google Kubernetes® Engine и PingFederate®.

Улучшения агента Cortex XDR

Агент Cortex XDR версии 7.3 обеспечивает полную защиту от современных атак на конечные точки. В новой версии были сбалансированы функциональные возможности для различных операционных систем и добавлены новые средства защиты, которые позволяют блокировать запуск уязвимых драйверов и предотвращать атаки, исходящие от вредоносных удаленных хостов. Ключевые улучшения:

  • Расширенные функции реагирования на инциденты для конечных точек на macOS®, включая поиск и уничтожение вредоносных файлов (Search and Destroy) и изоляцию устройства от сети. Эти функции позволяют мгновенно остановить распространение вредоносных программ и оперативно купировать угрозы.
  • Обновления соседних агентов для macOS и Linux позволяют уменьшить использование Интернет-трафика благодаря получению обновлений от соседних конечных точек. Такое распространение контента по модели «peer-to-peer» уже применяется для конечных точек на Windows.
  • Функция контроля съемных устройств для виртуальных рабочих столов (VDI) позволяет детально контролировать USB-доступ к клиентам удаленного рабочего стола, предотвращать потерю данных и блокировать угрозы, исходящие от нелегитимных USB-устройств.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/