利用 Cortex XSIAM 实现 人工智能驱动的 SOC 转型

SOC转型 人工智能驱动的 利用CortexXSIAM实现 六个案例研究和通往更高效、更安全的运营之旅 SecOps团队如何反击 数据外泄可能在几个小时内发生... 网络攻击发生的速度越来越快—从最初的攻击到数据泄露只需要几个小时—安全运营中心(SOC)正在寻找新的方法来应对威胁。在事故积压不断增加的同时，警报也在不断增加。缺乏可视性以及与自动化平台整合不佳的传统系统阻碍了SecOps团队的发展。 在本报告中，我们指出了当今成功的SOC的共同点，以及它们如何通过技术、增加数据摄取、自动化和新流程来克服类似的挑战。 报告还重点介绍了六家企业如何利用CortexXSIAM®中的AI技术改善其安全态势并改造其SOC。每个案例研究探讨一个不同的行业，包括技术服务、石油天然气和酒店服务等行业的公司。各行各业的情况表明，XSIAM可以满足各种不同的需求，应对各种不同的挑战。对一些企业来说，XSIAM可以立即减少误报数量，提高工作人员的效率。对另一些企业来说，则可以消除大量积压的事故，加强公司的安全态势，让客户腾出时间来开展新的计划。 通过深入了解每个客户的细微差别，并提供来自SOC领导者的真实声音，本报告展示了XSIAM技术带来的成果，包括更高的可视性和效率，以及更快的解决时间。 利用XSIAM实现人工智能驱动的SOC转型2 实 利用XSIAM实现现人人工工智智能能驱驱动动的的SOC转型 3 CortexXSIAM是面向现代SOC的人工智能驱动型安全运营平台，利用人工智能的力量简化安全运营，大规模阻止威胁，并加快事故修复。通过将多种产品集中到专为安全运营而设计的一款高度整合平台中，降低风险和操作复杂性。 XSIAM统一了行业最佳安全运营功能，包括EDR、XDR、SOAR、ASM、UEBA、TIP和SIEM。XSIAM集中所有安全数据，并使用专为安全设计的机器学习数据模型。借助XSIAM，自动化数据集成、分析和响应操作，使分析师能够专注于重要的事故。 更智能的安全解决方案，面向未来 保护企业免受当今威胁行为者的侵害变得越来越复杂。风险遍布整个企业，攻击的执行速度也越来越快。在PaloAltoNetworks，我们看到从最初的入侵到数据外泄，攻击在几个小时内就能完成。监管和监督的加强也增加了应对威胁的紧迫性。例如，在美国，新的监管要求规定各企业必须更快地报告重大安全事故。为了遵守规定，企业需要具备更快检测和响应事故的能力。 首席信息安全官(CISO)需要利用新技术，采用更高效的流程，更快地挫败威胁。简而言之，他们需要一种更好的方法来管理SOC。 在这份特别的报告中，您将直接听到用户介绍CortexXSIAM的功能和优势，以及它如何提高效率和加强安全态势。 利用XSIAM实现人工智能驱动的SOC转型4 利用XSIAM实现人工智能驱动的SOC转型4 利用XSIAM实现人工智能驱动的SOC转型5 攻击速度 几周 几天 几小时 利用XSIAM实现人工智能驱动的SOC转型 5 PaloAltoNetworks事故响应团队Unit42发现，威胁行动者的速度越来越快，效率越来越高，最近观察到的端到端攻击只需数小时就能完成，而以前则需要数天或数周。在Unit42调查的600多起事故中，绝大多数攻击都采用了自动化方式实施攻击。 在SOC内部，团队收到的警报越来越多。解决问题的中位时间以天计算，这导致积压的事故数以千计。各企业都在寻找管理其网络安全运营的更好方法。 在PaloAltoNetworks，我们发现了与成功改进安全计划相关的一些常见指标，例如摄取更多高质量数据、缩短解决时间以及结束事故积压。精明的CISO明白，要实现这些目标，技术的发展必不可少。SecOps需要摒弃人工流程才能改善保护并提高效率。利用CortexXSIAM等产品，采用人工智能驱动的流程和更高的自动化程度，这将有助于企业转变安全运营方式，从而更好地应对现代威胁。 如果您是面临这些挑战的CISO，可以通过XSIAM简化和优化SOC，节省时间，提高可视性并使整个企业更加安全。准备好与XSIAM一起加入这些成功的安全计划了吗？ 利用XSIAM实现人工智能驱动的SOC转型 6 成功的共通点 改造了SOC并改善了网络安全状况的公司都有一些共同点，这也是他们取得成功的原因。 •增加数据摄取：通过整合云、网络和设备的遥测数据，企业可以摄取更多数据，获得更全面的安全运营视图，从而提供更强大的保护。 •自动化：通过自动响应管理低优先级事故的警报，团队可以专注于最紧迫的风险。 •分析：人工智能的深入洞察力可以帮助团队处理来自不同数据源的数百万个事件，从而更快地发现可疑活动。这样有助于根据严重程度确定响应的优先级，更快地解决安全威胁，并采取更积极主动的方法来应对事故。 利用XSIAM实现人工智能驱动的SOC转型6 •融合能力：通过一个仪表板，SOC团队可以从整个企业中获取数据，提高可视性，帮助他们在一个平台上更快地解决事故。 客户向我们寻求解决持续存在的SOC挑战并改进其网络安全计划时，通常会认识到采取上述步骤的必要性，并正在寻找实现这些目标的技术和流程。通过XSIAM，这些公司看到了令人信服的成果。 •缩短了解决问题的中位时间：XSIAM用户可以在几分钟或几小时内解决事故，而不是几天或几周。 •提高事故结案率：本报告中各企业的结案率为100%。 •标记的事故减少：事故数量的减少让SOC团队有更多时间专注于重要的事情，如威胁猎捕和建立弹性安全流程。 •全面保护：XSIAM不是收集不同的保护软件和平台，而是集成并整合了工具来实现更精简、更全面的保护。 利用XSIAM实现人工智能驱动的SOC转型7 利用XSIAM实现人工智能驱动的SOC转型8 业务成果 XSIAM使从来源摄取的数 据增加了10倍。 解决问题的中位时间从三 天缩短至16分钟。 事故结案率从不到20%提 高到99%。 利用XSIAM实现人工智能驱动的SOC转型 8 案例研究#1：专业服务 扩大威胁可视程度，提高事故结案率 一家全球领先的商业服务提供商正在寻找一种解决方案来替代其托管的SIEM。警报量大，缺乏适当的SOC系统和流程，导致平均解决时间中位数长达3天。此外，团队知道自己无法看到所需的一切；现有的SIEM只能覆盖约5%的资产。 这家服务公司决定大力投资XSIAM的人工智能和自动化功能。他们首先建立了几个剧本，然后大幅增加了摄取的数据量，帮助他们分析来自更多来源的更多数据。SOC团队迅速缩短了解决问题的中位时间，并将误报和重复事故的数量降至最低。 “以前的SIEM难以采集数据。这是一种基于代理的安装。XSIAM让数据摄取变得简单，因此我们拥有完全的可视性。XSIAM是我在网络安全领域见过的最好的单一管理平台。” –SOC负责人 利用XSIAM实现人工智能驱动的SOC转型9 案例研究#2：石油和天然气 更少误报，更快事故响应 一家美国石油天然气公司的SOC团队每天要处理1,000多条警报，忙得不可开交，却没有什么成果；他们的传统SIEM的误报率高达90%，几乎无法缓解压力。 部分挑战在于SIEM系统只能接收数量有限的数据源；添加更多数据源的过程既耗时又复杂。由于数据源减少，降低了对潜在安全威胁的可视性。当公司用CortexXSIAM取代SIEM后，它检测到了其他工具无法检测到的事故，公司的SOC也发生了翻天覆地的变化。 业务成果 调查数量减少75%。 每日数据摄取量从800GB和10个数据源增加到1,500GB和20个数据源。 加速事故检测并改善安全态势。 几乎消除了误报和重复。 利用XSIAM实现人工智能驱动的SOC转型10 利用XSIAM实现人工智能驱动的SOC转型10 “我们的一家供应商被入侵了，我们能够在几分钟内检测到，并防止我们的系统受到攻击。我们比他们更早知道漏洞的存在。之所以能做到这一点，是因为我们将日志源导入了XSIAM，并对警报进行了调整。如果没有XSIAM，我们根本无法做到。” –SOC负责人 利用XSIAM实现人工智能驱动的SOC转型11 案例研究#3：运输 提高效率，减少积压 面对精干的团队，一家北美货运公司希望解决其一直以来积压的6000多条未解决警报。这些积压的原因是其SOC中的多点解决方案。检查多达五个不同的控制台来建立因果关系链需要数小时的手工劳动，这使得团队只能处理一小部分事故。 缺乏自动化也是一个问题；现有工具需要一系列复杂的步骤才能实现工作流程自动化。矛盾的是，建立节省时间所需的自动化系统花费了太多时间。当这家货运公司将其SIEM和SOAR功能都转移到XSIAM后，SOC团队就能在统一的视图中获得所需的信息。人工智能和自动化功能帮助他们分析来自更多来源的数据，并将遥测数据汇集在一起，减少了控制台切换。 有了CortexXSIAM，货运公司精干的安全团队现在能够以更少的专业资源完成更多的工作。他们正在管理负载，关闭所有事故，并将解决问题的中位时间保持在比使用旧工具时低得多的水平。 业务成果 事故结案率从10-20%提高到 100%。 解决问题的中位时间从数天或数周缩短至大约1小时。 在日志收集、自动化、警报和分析等七个关键支柱方面，实现了更高的SOC成熟度级别。 利用XSIAM实现人工智能驱动的SOC转型12 利用XSIAM实现人工智能驱动的SOC转型12 “XSIAM几乎消除了误报。由于我们解决了所有事故，因此安全态势得到了明显改善。” –SOC负责人 利用XSIAM实现人工智能驱动的SOC转型13 案例研究#4：高科技 增强分析功能，提高威胁检测能力 一家领先的半导体和软件设计公司希望改善其安全态势。公司正在采集大量数据，但缺乏分析能力，无法连点成线来识别威胁。他们希望联合端点、网络、云和身份数据来检测高级威胁并简化调查，从而将解决问题的中位时间从数月缩短至数小时。传统的SIEM并不是为检查这种规模或种类的数据而设计的。客户采用CortexXSIAM后，可以从更多来源获取更多数据，利用人工智能对相关警报进行分组，并提高处理事故的效率。 业务成果 事故结案率从不到10%提高到100%。 解决问题的中位时间从几个月缩短到5个小时。 摄取的数据总量增加了六倍，从两个来源增加到18个。 利用XSIAM实现人工智能驱动的SOC转型14 利用XSIAM实现人工智能驱动的SOC转型14 “现在，我们可以实时了解办公室内发生的情况，一次性混合多达15个来源。当不同地区的用户设置代理时，我们会收到相关警报。我们的可视性大大提高，可以主动应对这些警报。” –SOC负责人 利用XSIAM实现人工智能驱动的SOC转型15 案例研究#5：酒店业 降低复杂性，从网络和端点数据中获得更多可行见解 一家度假村遍布北美的酒店管理公司一直在苦苦挣扎，因为传统的SIEM缺乏跨分布式环境的可视性。SOC团队被大量的误报所困扰，而且事实证明，整合数据源是一项既困难又昂贵的任务。虽然他们认识到需要收集来自更多数据点的相关见解，但对成本增加和噪音增多的前景感到担忧。 为了获得对分布式环境的可视性，并实现一流的威胁情报，公司实施了CortexXSIAM和Unit42托管检测与响应(MDR)服务。通过精简警报系统和增加人工智能功能，客户获得了新的控制力和定制水平。开箱即用的关联警报节省了无数的时间，而创建自定义警报的功能则有助于满足企业的独特需求。随着人工智能和自动化能力的大幅提升，公司可以利用网络和终端数据做更多的事情。 业务成果 每天将70倍以上的信息摄取到SIEM。 将20多种工具和仪表板转变为一种解决方案，简化了工具和流程。 现在，在自动化和托管服务 的支持下，拥有全天候24/7/365SOC。 利用XSIAM实现人工智能驱动的SOC转型