Cortex XDR – это быстрый способ обнаружения, расследования и реагирования на угрозы. Объединяя аналитику с сетевых устройств, хостов и из облаков, решение позволяет вовремя распознавать и блокировать скрытые и сложные атаки
Современным службам безопасности зачастую не хватает понимания происходящего и инструментов автоматизации для успешного предотвращения атак. Точечные продукты, например, системы детектирования и реагирования на хостах (EDR) и анализа сетевого трафика (NTА) агрегируют большие объемы информации. Они вынуждают аналитика использовать множество консолей для обнаружения угроз, что повышает сложность работы и замедляет расследования. Сталкиваясь с отсутствием специалистов по кибербезопасности, специалисты ИБ вынуждены упрощать процессы или затрачивать огромные усилия для проведения расследования и сдерживания атак.
Что такое Cortex XDR
Cortex XDR – это первое в мире решение для предотвращения сложных атак, в которое изначально интегрированы данные о сети, конечных устройствах и облаках. Эффективно используя поведенческую аналитику, Cortex XDR определяет неизвестные и трудно выявляемые атаки. Машинное обучение и модели искусственного интеллекта определяют угрозы, исходящие из любых источников, включая управляемые и неуправляемые устройства.
Cortex XDR упрощает расстановку приоритетов угрозам и повышает скорость реагирования на инциденты, предоставляя полную картину по каждой угрозе и автоматически определяя исходную причину (root cause) такой угрозы. Объединяя различные типы данных и упрощая анализ, Cortex XDR снижает время реагирования на инциденты, а также требования к знаниям и опыту, необходимому для осуществления операций по анализу и хантингу угроз. Тесная интеграция с сервисом защиты конечных точек позволяет быстро реагировать на угрозы, а также применять знания, полученные в результате расследования, для обнаружения схожих атак в будущем.
Защита от известных и неизвестных угроз с помощью Тrарs
Безопасность начинается с надежного предотвращения угроз. Сервис Traps для защиты конечных устройств, встроенный в решение Cortex XDR, использует комплексные методы предотвращения атак для защиты конечных точек от вредоносного ПО и эксплойтов. Traps и Cortex XDR позволяют последовательно предотвращать, обнаруживать и реагировать на угрозы, которым могут подвергаться цифровые активы. Встроенная интеграция с облачным сервисом анализа угроз WildFire позволяет скоординировано предотвращать угрозы на сети, конечных устройствах и в облаках.
Ключевые преимущества Cortex XDR
- Автоматическое обнаружение скрытых атак: постоянное обнаружение угроз с помощью искусственного интеллекта, поведенческого анализа и настраиваемых пользователем правил и политик детекта
- Снижение нагрузки на персонал: мгновенное отсеивание ложных срабатываний, повышение производительности аналитиков
- Сокращение среднего времени обнаружения угрозы (MTTI): сочетание точного детектирования атак с быстрой приоритизация инцидентов существенно сокращает временные затраты
- Сокращение среднего времени на сдерживание угроз (MTTC): быстрое обнаружение и безошибочная реакция на внешние атаки и внутренние угрозы доступно даже младшим аналитикам
- Быстрый возврат инвестиций: дополнительные возможности на основе экосистемы приложений и использования существующей инфраструктуры (NGFW, хосты) в качестве точек выявления угроз и применения политик ИБ
Основные возможности Cortex XDR
- Наглядность. Решение соотносит данные с сети, конечных устройств и облаков, упрощая обнаружение и реагирование на угрозы. Cortex XDR позволяет экономить время, затрачиваемое на анализ данных вручную, путем автоматического объединения и сопоставления данных, собранных из указанных источников. Система объединяет разрозненные типы данных с помощью озера данных безопасности Cortex Data Lake, которое представляет собой масштабируемое и эффективное облачное хранилище данных, используемое в целях точного определения атак и упрощения расследования инцидентов ИБ.
- Автоматическое обнаружение атак с помощью искусственного интеллекта. Обнаружение скрытых угроз с помощью поведенческой аналитики. Cortex XDR автоматически определяет активные атаки, позволяя службе безопасности правильно расставлять приоритеты и отражать угрозы, прежде чем будет нанесен ущерб. Используя машинное обучение, Cortex XDR постоянно анализирует профили пользователей и поведение устройств для выявления аномальной активности, свидетельствующей об атаках. Анализируя большой массив данных, Cortex XDR может определять такие атаки, как кража учетных данных, DNS-туннелирование, которые практически невозможно определить при стандартным анализе логов или с помощью анализа сетевого трафика уровня приложений. Автоматизированное обнаружение угроз работает бесперебойно и без участия людей.
- Хантинг угроз с помощью мощных поисковых инструментов. Обнаружение скрытого вредоносного ПО, целенаправленных атак, внутренних атак. Служба безопасности может осуществлять хантинг или поиск, планирование и сохранение запросов для определения трудно обнаружимых угроз. Гибкие возможности поиска позволяют аналитикам отслеживать угрозы и осуществлять поиск индикаторов компрометации (IOC), не прибегая к изучению нового языка запросов. Используя встроенный анализ угроз в рамках сети, конечных устройств и облачных данных, службы безопасности смогут обнаруживать вредоносное программное обеспечение, внешние угрозы и внутренние атаки, которые осуществляются в текущий момент времени или были активны ранее.
- Мгновенное расследование событий. Автоматическое определение первопричины каждого алерта. С помощью Cortex XDR аналитики могут в один клик анализировать инциденты безопасности из любого источника. Cortex XDR автоматически обнаруживает первопричину проблемы, выявляет историю и последовательность событий, связанных с каждым алертом, что снижает требования к опыту аналитика, необходимому для точного подтверждения инцидента. При расследовании граф атаки предоставляет детальную информацию для изучения инцидента, позволяя аналитикам мгновенно определять объем и масштаб ущерба, а также последующие действия.
- Скоординированный ответ на атаку с использованием точек применения политик ИБ. Быстрое и надежное отражение угроз. Cortex XDR позволяет службе безопасности оперативно отражать угрозы сети, конечных точек и облачных ресурсов из единой консоли. Аналитик может быстро остановить распространение вредоносного ПО, ограничить доступ к сети определенным устройствам, обновить список источников угроз, например, список неблагонадежных доменов посредством тесной интеграции с точками применения политик ИБ, таких как межсетевые экраны и хостовая защита. С помощью Cortex XDR можно оперативно останавливать сложные атаки, что позволяет быстро вернуть инвестиции, вложенные в ИБ.
- Адаптивная защита для остановки потенциальных атак. Определение тактик, методов, процедур и правил поведения атакующих. С Cortex XDR служба безопасности сможет получать новые знания из каждого расследования и применять их для сокращения масштабов поражения и ускорения последующего расследования, меняя свою стратегию защиты с реактивной на проактивную. Аналитики могут создавать детализированные поведенческие правила (BIOC), которые позволят определять вредоносную активность, свойственную конкретной сети. Информативные оповещения позволят ускорить анализ, быстро идентифицируя подозрительное поведение, а также упрощают понимание сложных событий.
- Защита конечных точек с помощью лидирующего решения. Используйте единый хостовой агент для предотвращения атак, расследования и реагирования на угрозы. В подписку Cortex XDR включены агенты Traps, которые обеспечивают лучшую на сегодняшний день защиту конечных устройств. Traps позволяет останавливать известные и неизвестные вредоносные программы, эксплоиты, программы-вымогатели путем блокирования случаев подозрительного поведения и компрометации. Встроенная облачная система анализа вредоносного ПО Palo Alto Networks WildFire улучшает точность обнаружения и зону покрытия. Агент Traps записывает всю активность конечного устройства и пересылает данные в Cortex Data Lake для последующего анализа и позволяет выбирать правильную реакцию на события.
- Простота внедрения и облачная архитектура. Развертывание системы за считанные секунды. Облачный сервис Cortex XDR позволяет быстро и без затрат организовать развертывание системы защиты, устраняя потребность в установке новых локальных ресурсов. В качестве средств контроля и применения политик ИБ система использует существующие продукты Palo Alto Networks, тем самым, сокращая число продуктов, которыми вам нужно управлять. Новым клиентам достаточно развернуть одно средство контроля, например, межсетевой экран нового поколения или агент Traps, для обнаружения и предотвращения угроз с помощью Cortex XDR. Сервис Cortex XDR создан на уникальной SОC-платформе Cortex на базе искусственного интеллекта. Сервис существенно упрощает защиту систем и позволяет добиваться лучших результатов с помощью автоматизации процессов.
Технические преимущества
- Мониторинг сети, конечных точек и облаков: Сбор и корреляция большого объема данных сети, конечных устройств и облачных данных для обнаружения, расстановки приоритетов, реагирования и предотвращения угроз.
- Автоматическое обнаружение сложных и скрытых атак в режиме 24/7: Постоянное использование функций машинного обучения и индивидуальных правил для обнаружения целевых кибератак и прочих действий злоумышленников.
- Обработка алертов без задержек: Упрощение расследований, в том числе автоматическое выявление источника атаки и создание хронологии событий, что снижает требования к навыкам аналитика, необходимые для оценки и анализа алертов.
- Значительное сокращение количества ложных срабатываний: Применение знаний, полученных в ходе расследований, для постоянного обновления правил детектирования поведенческих особенностей и уменьшение времени, затрачиваемого на проведение анализа в будущем, что снижает уровень риска.
- Повышение производительности SOC: Объединение процессов в единую консоль, в том числе функций приоритизации инцидентов, проведения расследований, реагирования на угрозы на сети, конечных устройствах и в облаках.
- Восстановление систем без последствий для бизнеса: Предотвращение атак с высокой точностью, не допуская перебоев в работе систем и пользователей.
- Блокирование сложных атак: Защита сети от внутренних злоумышленников, внешних угроз, бесфайловых атак, атак в оперативной памяти, 0-day.
- Разгрузка аналитиков ИБ: Автоматическое предотвращение атак, обнаружение нарушений нормального функционирования систем, аномального поведения и вредоносной активности.
Что входит в состав Cortex XDR
- Сервис Cortex XDR – аналитика
- Сервис Cortex XDR – расследования и реагирование на угрозы
- Агенты Traps для защиты конечных точек
- Сервис Cortex XDR – Pathfinder для анализа в конечных точках (безагентская альтернатива Traps)