XSIAM 买家指南: 如何面向 AI 时代改造 SOC

AI时代改造SOC X如S何IA面M向买家指南： PaloAltoNetworks|XSIAM买家指南|如何面向AI时代改造SOC 目录 弥合差距：现代SOC的主动预防3 安全运营转型6为自己的企业评估XSIAM9让安全运营永不过时12 改善关键的SOC指标14 XSIAM是适合您的解决方案吗？16 2 3 PaloAltoNetworks|XSIAM买家指南：如何面向AI时代改造SOC 弥现代合S差OC距的：主动预防 PaloAltoNetworks|弥合差距：现代SOC的主动预防 网络安全形势正在迅速演变，给企业带来了前所未有的挑战。当今的威胁行为者更加诡计多端，使用先进的技术绕过传统的安全措施。作为一名安全专业人士，您可能正在亲身经历安全运营中心(SOC)的需求发生了怎样翻天覆地的变化。在当今这个时代，数据泄露可能只需要几个小时，监管要求也越来越严格，原有的检测和应对威胁的方法已经不够用了。 每当发生入侵时，安全团队在事后都可能会拼凑出事情发生的经过—系统是如何被攻破的、涉及哪些系统以及哪些数据被外泄。这就引出了一个问题： 多重勒索战术继续抬头 近年来，勒索软件攻击的格局发生了显著变化，多重勒索战术日益盛行。根据 42®勒索软件和敲诈报告： 勒索软件案件中的数据盗窃： 2023年 Unit 如果掌握了信息，可以了解入侵发生后的事故，那为什么不能在事故发生前就预防或阻止呢？事后分析与主动预防之间的差距正是现代SOC不断向前发展的核心需求。 传统的安全信息和事件管理(SIEM)解决方案曾经是许多安全运营的基石，但现在却难以跟上时代的步伐。您可能会发现，自己正在艰难应对复杂的配置、耗时的集成、检测工程方面的巨额投资以及难以承受的警报量。 2022年末： 约占70%的案件 2021年中： 仅占约40%的案件 75%增长 在18个月的时间里，勒索软件攻击期间发生的数据失窃事件增加了75%。 4 PaloAltoNetworks|弥合差距：现代SOC的主动预防 这些挑战会让团队感到力不从心，也会让企业变得脆弱不堪。许多安全工具各自为政，导致工作流程效率低下，增加了分析人员的认知负担，还有可能忽视关键的威胁。而且，工具之间缺乏集成会妨碍实时的威胁检测，延误事故响应，使企业面临风险。 多重勒索战术继续抬头（续） 利用骚扰作为敲诈战术： 此外，主要依赖静态关联规则和广泛的检测工程，再加上庞大的数据量，很难识别整个环境中安全事件之间的有意义关系，从而导致威胁防御不充分。 这通常会导致警报显示为互不关联的数据点，使得SOC团队不得不进行手动关联，导致高误报率。这种脱节的流程会妨碍安全基础设施的效果，凸显出对更先进、适应性更强的威胁检测方法的需求。 2021年中： 出现在不到1%的案件中 2022年末： 出现在约20%的勒索软件案件中 1,900% 增长 同期，勒索软件团伙对骚扰战术的使用增加了1900%。 这些统计数据凸显了勒索软件战略的重大转变，威胁行为者越来越多地利用多个施压点来敲诈受害者。数据窃取和骚扰战术都在急剧增加，凸显了企业面临的勒索软件威胁的复杂性和严重性正在不断演变。 受害者支付赎金才能重新获得访问权限 黑客威胁公布窃取的数据 DDosS攻击导致公共网站瘫痪 联系客户、业务合作伙伴和媒体 加密数据窃取DDoS骚扰 5 6 PaloAltoNetworks|XSIAM买家指南：如何面向AI时代改造SOC 安全运营转型 PaloAltoNetworks|简化安全运营 CortexXSIAM®提供了一种变革性的方法来应对这些挑战。通过将SIEM、EDR、XDR、SOAR、ASM、UEBA、ITDR、CDR和TIP等关键的安全功能整合到一个单一、统一的前端和后端，XSIAM实现了流线化的安全运营。 这种整合使您不再需要在多个工具之间切换，从而降低了复杂性，提高了团队的工作效率。您可以通过一个专为满足现代SOC需求而设计的统一平台来管理整体安全运营，不必在各种控制台之间穿梭，也不必为集成问题而苦恼。 通可过视性XS并IA加M快，调我查们速可度以。提无高缝变了数游据戏摄规入则和。自动化设置改 -MikeDembek BoyneResorts网络架构师 图1：XSIAM指挥中心 CortexXSIAM将数据、AI助力的防御和自动化集中在一个平台上，从而颠覆了安全运营。这是XSIAM指挥中心展示的一系列数据源，包括端点和网络、身份、云、应用程序遥测等等，同时提供了对数据摄取的健康状况和总量的洞察。 7 PaloAltoNetworks|简化安全运营 XSIAM流线化的工作流程和自动化功能从根本上改变了您处理安全事故的方式。平台实现了数据整合、分析和分流的自动化，大大减少了分析人员的手动工作量。这种自动化可以让团队专注于重要的事情：解决需要人类专业技能的高优先级事故。XSIAM开箱即用的AI模型超越了传统方法，可以连接各种数据源中的事件，在单一位置提供事故和风险的全面概览。 通过利用警报分组和AI驱动的事故评分，XSIAM可以无缝连接低置信度的事件，将其转化为高置信度的事故。这种优先级划分基于整体风险，使安全团队能够高效集中精力。平台可以确保持续收集、拼接和规范化原始数据，而不局限于警报。这使SOC团队拥有卓越而简化的调查能力，使其能够更快、更有效地识别和补救威胁。 有了XSIAM，您会发现分析人员的体验和工作效率都有了显著提高。平台的AI驱动方法有助于排除干扰，减少警报疲劳，使团队能够专注于关键的威胁。这种转变意味着分析师将更少的时间用于例行警报分流，而将更多的时间用于发展技能、进行深入调查和主动猎取威胁。 此外，XSIAM自动化驱动的方法加快了事故补救的速度。凭借Cortex®Marketplace中几百种经过测试的内容包，您可以优化整体安全计划中涉及的各种流程和互动过程。通过将以前的手动任务自动化，嵌入式自动化可节省应对事故或管理风险（如攻击面暴露）所需的时间和精力。 您可以根据具体需求灵活添加、定制或修改自动化功能。 平台还具备了自动触发的警报特定剧本，确保及时执行安全任务并解决风险—甚至是在分析师介入之前。 有台了的XSIAM，您会发现分析人员的体验和工作效率都有了显著提高。平 关键的A威I驱胁动。方法有助于排除干扰，减少警报疲劳，使团队能够专注于 8 9 PaloAltoNetworks|XSIAM买家指南：如何面向AI时代改造SOC XSIAM 为自己的企业评估 PaloAltoNetworks|为自己的企业评估XSIAM 在为企业考虑XSIAM时，必须评估几个关键因素。首先，评估安全工具的现状及其复杂性。如果您正在为工具泛滥和工作流程脱节而苦恼，那么XSIAM的整合方法正好可以带来显著的好处。考虑一下团队在不同工具之间切换和手动关联信息上浪费了多少时间。XSIAM的统一平台可以显著减少这种开销，提高团队效率。 考虑企业处理的数据总量和数据种类。XSIAM擅长处理和分析大量多样化的数据，因此特别适合环境复杂、拥有丰富数据的企业。 如果您正在面对内部数据与云数据混合的局面，苦于无法全面了解安全态势，那么XSIAM从各种来源摄取和分析数据的能力可能会改变游戏规则。 如果企业在云环境或混合环境中运营，XSIAM的云原生架构以及跨内部部署和云资产的全面可视性可以显著增强您的安全运营。许多企业都发现，自己的传统安全工具难以在云环境中提供充足的可视性和保护。XSIAM旨在将SOC扩展到云，确保整个基础设施的统一可视性和安全运营。 合规要求是另一个关键因素。XSIAM强大的报告功能和全面的数据分析可以帮助您更有效地满足各种监管标准。考虑一下团队目前在合规报告上花费了多少时间，以及XSIAM如何精简这个流程。 检Co测rte、x调XS查IA和M响颠应覆工了作我流们程的开安启全了运自营动方化式和，编这排是我们以前的SIEM无法做到的。XSIAM为我们的 与传统的SIEM和其他安全平台相比，XSIAM通过其AI驱动的方法提高了威胁检测能力。由于整合了工具并提高了效率，您可能会看到运营复杂性有所降低，而且有可能显著节约成本。在评估投资回报率时，不仅要考虑直接成本，还要考虑到分析人员腾出时间和改进安全态势带来的价值。试想一下，有了XSIAM的自动分流和响应功能，团队能够以多快的速度检测和应对威胁。 大的改进。 -PrasannaSiriwardena LOLCHoldingsPLC首席信息官 —这对LOLC的生产力和安全态势来说是一个巨 10 PaloAltoNetworks|为自己的企业评估XSIAM 节省时间：传统与 相比于仅凭SIEM解决方案，看看XSIAM带来的改进： SIEMXSIAM SIEMXSIAM 威持续胁创检建测新开的发警报以适应不断变化的威胁环境。 警基于报历调史整保真度的持续改进警报的流程。 系日志统解维析护、服务器补丁等。 分创建析考虑复杂统计和机器学习的高级警报。 SIEM 节省时间的结果： 4.5FTE 120 小时/周 20 小时/周 80 小时/周 8 小时/周 15 小时/周 15 小时/周 [功能漏洞] 需要附加组件包并构建您自己的机器学习模型。规范化十分艰难。 减少总体工作量 节省小时周 100 100/ 将大部分威胁检测开发外包给 XSIAM研究团队。 72 节省小时周 72/ 将端点警报调整外包给XSIAM 研究团队。 无更改 XSIAM [新功能] XSIAM通过统计和机器学习实现自动基准和异常警报。 图2：XSIAM相比于传统SIEM节省的时间 在采用XSIAM之前，一定要评估企业是否为AI驱动的安全运营做好了准备。考虑一下团队当前的技能和流程，为转变安全运营方式做好准备。 虽然XSIAM可以大大改善安全运营，但可能需要对团队的工作方式进行一些调整。在采用AI驱动的新平台时，考虑一下培训和变更管理方面的问题。 11 12 PaloAltoNetworks|XSIAM买家指南：如何面向AI时代改造SOC 让安全运营永不过时 PaloAltoNetworks|让安全运营永不过时 XSIAM在零信任、SASE和SSE等不断发展的安全范式中发挥着至关重要的作用。其全面的可视性和高级分析功能与这些现代安全方法相得益彰，让安全运营面向未来，永不过时。在企业向零信任架构迈进的过程中，XSIAM能够深入洞察用户和实体的行为，帮助实施和维护稳健的零信任模型。 随着企业的发展和威胁的演变，XSIAM的可扩展性确保其能够应对不断增加的数据量并适应新型威胁。平台的AI模型和检测器不断更新，为您提供最新的威胁情报和检测能力，无需团队进行手动更新。这意味着您始终可以防范最新的威胁，无需不断手动调整和更新自己的安全工具。 XSIAM可以从分析师的手动操作中学习，为未来的自动化提供建议，从而增强自动解决事故的能力，随着时间的推移提高效率和准确性，使您和企业的安全态势每天都在改善。 XSIAM由PaloAltoNetworksPrecisionAI™提供支持，利用成熟的安全专用ML数据模型，自动规范和拼接各种来源的海量数据，从而检测安全威胁。这些模型基于从数以万计的环境中学习到的行为而建立，有助于区分异常行为和真正的恶意行为。这大大降低了误报率，提高了检测和预防能力，在攻击演变成安全事故之前就会将其阻止。 此外，XSIAM的自带ML(BYOML)功能允许将自己的机器学习工具集成到平台中。这样，您就可以凭借ML的强大力量，使用XSIAM中的集中化和规范化数据来捕猎威胁，从而进一步提高检测和应对复杂威胁的能力。 通过采用XSIAM，您不仅能解决当前的安全挑战，还能使企业满足未来的网络安全需求。面对不断演变的威胁形势，这种高瞻远瞩的方法可以让您对自己保护企业的能力充满信心。随着新型威胁的涌现，企业的IT基础设施需要不断成熟才能