Palo Alto Cortex XDR 与 Microsoft XDR
扩展检测和响应 (XDR) 正在成为统一安全管理的标准,它将来自多个 IT 环境层的数据结合起来,并在一个方便的界面中实现检测、调查和响应。所有主要的安全供应商都宣布了 XDR 产品,但有时可能不清楚每个解决方案提供什么,以及它们是“真正的”XDR 解决方案还是只是现有技术的集成。
Palo Alto 和 Microsoft 无疑是提供强大、技术成熟的 XDR 平台的两家供应商。在本文中,我将简要回顾这些解决方案及其体系结构,以帮助您了解哪个更适合您的组织。
什么是 Palo Alto Cortex XDR?
Palo Alto 的 Cortex XDR 解决方案提供基于云的和本地端点安全功能,包括事件跟踪、记录管理、根本原因分析和恶意软件保护。该平台通过聚合来自各种来源(包括端点、网络和云环境)的数据来提供全面的可见性。
Cortex XDR 分析数据,寻找攻击技术和行为。它可以阻止恶意可执行文件、恶意软件(malware)、勒索软件和漏洞利用。该平台还可以帮助确定威胁的根本原因,以优化分类和事件响应。这种能力使响应者能够实时调整防御。
该平台可以与 SIEM 系统和许多其他安全应用程序集成。它提供了一个管理服务控制台,用于显示安全事件并帮助团队分析相关日志。
Cortex XDR 提供了能够与第三方服务或应用程序集成的 API。配置 API 后,Cortex XDR 可以提取警报并执行警报拼接和调查。它使您可以管理自动化或票务系统中的事件,编辑和查看事件的状态、受让人和各种详细信息。您还可以使用 API 检索端点信息、直接在端点上执行响应以及创建安装包。
Cortex XDR 架构
Cortex XDR 的架构设计有一个位于 Cortex XDR 和数据源(如端点和云)之间的数据层。数据层包括 Cortex Data Lake,这是一种云日志服务,可关联和聚合不同日志传感器的日志,并得出时间线和事件伤亡。Cortex XDR 使用来自该数据湖的数据。
Cortex XDR 部署可能会使用全部或部分传感器。以下是使用全套传感器时包含的所有组件:
• Cortex XDR——该解决方案提供了对驻留在 Cortex 数据湖中的所有数据的可见性。Cortex XDR 包括一个提供各种功能的单一界面,包括警报调查和分类、补救和定义策略。
• Cortex Data Lake——这种基于云的日志服务集中了各种数据源的日志收集和存储。
• 分析引擎——此安全服务使用网络数据自动检测和报告入侵后威胁。该引擎识别网络上的正常行为并将其用作检测异常行为的基准。
• 下一代防火墙——这些本地和虚拟防火墙有助于在不同地点实施网络安全策略,包括校园、云数据中心和分支机构。
• Prisma Access(前身为 GlobalProtect)——该服务有助于将防火墙安全策略扩展到远程网络和移动用户。它可以将流量日志转发到 Cortex Data Lake 以供分析引擎分析,该分析引擎可以针对异常行为推送警报。
• 外部防火墙和警报——此功能使 Cortex XDR 能够从 CheckPoint 等其他供应商的外部防火墙中提取流量日志。摄取数据后,分析引擎可以针对异常行为发出警报。Cortex XDR 还可以从外部来源获取警报,以便为事件添加额外的上下文。
什么是 Microsoft 365 Defender (XDR)
Microsoft 365 后卫是一个提供破坏前和破坏后功能的企业套件。它集中和协调跨多个组件的威胁预防、检测、调查和响应,包括电子邮件、身份、应用程序和各种端点。
安全专家可以使用该套件来关联不同来源的威胁信号,确定威胁的全部影响和范围,并确定进入点和受影响的组件。除了提供这些见解之外,Microsoft 365 Defender 还可以执行自动操作来阻止攻击并自我修复受影响的终结点、用户身份和邮箱。多家供应商提供Microsoft SOC提供基于 Microsoft 365 Defender 的托管安全服务。
以下是 Microsoft 365 Defender 的主要功能:
| 适用于 Office 365 的 Microsoft Defender | 提供威胁预防、检测、调查和搜寻功能,以保护电子邮件帐户等 Office 365 资源。 |
| 用于终结点的 Microsoft Defender | 提供端点保护,包括违规后检测以及自动调查和响应。 |
| Microsoft 365 后卫 | 自动分析各个域的威胁数据,并在单个仪表板视图上显示攻击图片。 |
| 适用于云应用的 Microsoft Defender | 一种跨 SaaS 和 PaaS 解决方案,可为云应用程序提供可见性、数据控制和威胁防护。 |
Microsoft 365 Defender API 可以自动化安全工作流根据高级狩猎表和共享事件。下面是它的工作原理:
• 组合事件队列- 帮助您将事件 API 下的全部攻击范围和受影响的资产组合在一起,以专注于关键信息。
• 跨产品威胁搜寻——让您可以创建自定义查询来分析跨多个安全工具收集的原始数据。您可以使用此功能来利用整个组织的所有知识来寻找妥协的迹象。
• 事件流 API – 使您能够在发生时将实时警报和事件发送到单个数据流中。
Microsoft 365 Defender 体系结构
1/212下一页尾页
- 1 中移物联OneOS内核代码自主率达到100%
- 2 焦点速看:江西省已实现5G网络“乡乡通” 每万人5G基站数达13.5个
- 3 【全球独家】OPPO潘塔纳尔系统首次融合Matter协议,构建更开放生态
- 4 时讯:日本政府加大6G研究支持力度 拨款662亿设立特别基金
- 5 每日时讯!搜索技术最高赛事举办 百度联合北大等高校招揽AI人才
- 6 高舜礼:自是泥菩萨过河,更何谈助力复苏(图)
- 7 IDC报告:百度安全行业领先 每年拦截风险信息超千亿次
- 8 消息!三季度上市景区盈利过半 直播促销成常用招式
- 9 中国乡村振兴职业经理人资质标准正式对外发布
- 10 连续三季度成为奥地利最快5G网络 Drei Austria是如何办到的?