Охота на угрозы и реагирование на источники данных стали немного легче. Приложения и агенты Cortex XDR выходят с удивительным набором новых функций, которые помогут вашей команде безопасности выявлять угрозы в сетевом трафике, организовывать ответные действия в масштабах и уменьшать поверхность атак на конечных точках.
С чего же начать с такого количества новых функций? Давайте рассмотрим это с точки зрения сети.
Расширенная видимость сети
С момента своего создания Cortex XDR мог собирать сетевые данные и применять поведенческую аналитику и ИИ для обнаружения атак. Теперь Cortex XDR расширяет прямой доступ к сетевым данным для охоты за угрозами и настраиваемых правил обнаружения. С Cortex XDR возможно:
- Отслеживать угрозы или провести дальнейшее расследование, изучая журналы сетевого трафика;
- Создать гранулярные настраиваемые правила обнаружения (BIOC) на основе сетевых данных;
- Быстро определить последовательность и масштаб атаки, просматривая данные о сети и конечной точке в новом месте расследования угроз.
Cortex XDR Agent Script Execution и многое другое
Бывают случаи, когда аналитикам может понадобиться выполнить подметательные действия сразу на нескольких конечных точках. Будь то сбор информации о конечных точках, обновление настроек или немедленная остановка быстро распространяющихся атак, удаленное выполнение скриптов предоставляет вашей команде мощный инструмент для управления конечными точками.
С помощью Cortex XDR агента 7.1 для Windows, MacOS и Linux вы можете запустить скрипты Python 3.7 из консоли управления Cortex XDR и мгновенно увидеть результаты. Новый API позволяет выполнять скрипты Python из инструментов управления и оркестровки, таких как Cortex XSOAR. Нестандартные скрипты позволяют вашей команде с легкостью воспользоваться этой мощной новой функцией.
Cortex XDR агент 7.1 также представляет важные новые функции, которые обеспечивают безопасность конечных точек, отвечают требованиям к соответствию и облегчают замену устаревшего антивируса расширенным обнаружением и реагированием. Новые функции безопасности конечных точек включают в себя:
- Брандмауэр для конечных точек Windows;
- Шифрование дисков для конечных точек Windows;
- Сканирование файлов на конечных устройствах MacOS;
- Отчет по MAC-адресам;
- Полный обзор рабочего состояния агентов.
Метка MITRE ATT&CK для предупреждений и правил BIOC
Чтобы помочь вашим аналитикам понять методы и цели злоумышленников на каждом этапе атаки, Cortex XDR теперь отображает связанную с ними технику и тактику MITRE ATT&CK для каждого предупреждения, относящегося к фреймворку MITRE ATT&CK.
Гранулированный ролевой контроль доступа (RBAC)
Для тонкого контроля индивидуальных разрешений, назначенных пользователям и ролям, Cortex XDR теперь разделяет, какие типы представлений и действий разрешены для каждой роли. Роли определяются в концентраторе и позволяют пользователям создавать и сохранять новые роли, основываясь на широком наборе прав, редактировать права на роли и многое другое.
Сигнал тревоги и переадресация журнала из Cortex XDR
Вы можете настроить политики переадресации для предупреждений, логов управленческого аудита, логов агентского аудита и отчетов приборной панели из приложения Cortex XDR. Вы также можете пересылать предупреждения на каналы Slack и серверы Syslog в дополнение к учетным записям электронной почты и пересылать журналы аудита на серверы Syslog.
Брокер улучшения VM
Для облегчения развертывания ВМ Broker VM, вы можете загрузить образы ВМ Broker непосредственно с консоли управления Cortex XDR. Регистрация и настройка управляются через следующие веб-консоли:
- Веб-консоль Брокера: Вы можете настроить и зарегистрировать Broker VM на Cortex XDR с веб-консоли без необходимости прямого доступа к Broker VM;
- Консоль управления Cortex XDR: Вы можете управлять настройками Брокер ВМ через консоль управления Cortex XDR, включая отслеживание подключения, редактирование конфигураций и включение мониторинга в режиме реального времени.
Улучшенная управляемость для MSSP
Cortex XDR теперь позволяет управляемым поставщикам услуг безопасности (Managed Security Services Providers, MSSP) легко управлять безопасностью от имени своих клиентов. MSSP теперь могут:
- Настраивать профили, правила оповещения о поведении (BIOC);
- Просматривать дополнительную информацию об алертах и инцидентах.
Вышеуказанные функции доступны с Cortex XDR агент версии 7.1 и выше и с Cortex XDR версии 2.2 и выше.
В дополнение к перечисленным выше функциям, Cortex XDR включает в себя обновления, которые улучшают удобство использования, упрощают настройку и развертывание, улучшают API и ускоряют выполнение задач аналитиков. Полный список новых функций, представленных в марте и апреле, смотрите в примечаниях к выпуску Cortex XDR и примечаниях к выпуску Cortex XDR агента.
При возникновении вопросов по решениям Palo Alto Networks, пожалуйста, обращайтесь к нам на почту [email protected].
