“系统教程”所有分类
系统安装优化教程排行
- 1现在都怎么找种子?有影片番号怎样找bt种子下载
- 2在Windows 10上未检测到Nvidia图形卡[简易解决方案]
- 3win10蓝牙声音断断续续卡顿解决方法
- 4已解决:Windows10中的PFN LIST CORRUPT蓝屏错误
- 5win8.1安装密钥和激活密钥64位专业版激活码大全
- 6win10产品密钥:Win10专业版激活码2019
- 7修复Windows 10下更新KB5006670打印机错误 0x00000709、0x0000011b
- 8已解决:Windows10 20H2版本的功能更新安装失败
- 9Win10哪个版本最流畅!游戏玩家首选win10专业版
- 10最新windows7永久激活码 win7旗舰版密钥 win7通用序列号
最新windows系统下载
Palo Alto Cortex XDR 与 Microsoft XDR
时间:2022-03-24 08:56:03 来源:系统堂 游览量: 次
扩展检测和响应 (XDR) 正在成为统一安全管理的标准,它将来自多个 IT 环境层的数据结合起来,并在一个方便的界面中实现检测、调查和响应。所有主要的安全供应商都宣布了 XDR 产品,但有时可能不清楚每个解决方案提供什么,以及它们是“真正的”XDR 解决方案还是只是现有技术的集成。
Palo Alto 和 Microsoft 无疑是提供强大、技术成熟的 XDR 平台的两家供应商。在本文中,我将简要回顾这些解决方案及其体系结构,以帮助您了解哪个更适合您的组织。
什么是 Palo Alto Cortex XDR?
Palo Alto 的 Cortex XDR 解决方案提供基于云的和本地端点安全功能,包括事件跟踪、记录管理、根本原因分析和恶意软件保护。该平台通过聚合来自各种来源(包括端点、网络和云环境)的数据来提供全面的可见性。
Cortex XDR 分析数据,寻找攻击技术和行为。它可以阻止恶意可执行文件、恶意软件(malware)、勒索软件和漏洞利用。该平台还可以帮助确定威胁的根本原因,以优化分类和事件响应。这种能力使响应者能够实时调整防御。
该平台可以与 SIEM 系统和许多其他安全应用程序集成。它提供了一个管理服务控制台,用于显示安全事件并帮助团队分析相关日志。
Cortex XDR 提供了能够与第三方服务或应用程序集成的 API。配置 API 后,Cortex XDR 可以提取警报并执行警报拼接和调查。它使您可以管理自动化或票务系统中的事件,编辑和查看事件的状态、受让人和各种详细信息。您还可以使用 API 检索端点信息、直接在端点上执行响应以及创建安装包。
Cortex XDR 架构
Cortex XDR 的架构设计有一个位于 Cortex XDR 和数据源(如端点和云)之间的数据层。数据层包括 Cortex Data Lake,这是一种云日志服务,可关联和聚合不同日志传感器的日志,并得出时间线和事件伤亡。Cortex XDR 使用来自该数据湖的数据。
Cortex XDR 部署可能会使用全部或部分传感器。以下是使用全套传感器时包含的所有组件:
• Cortex XDR——该解决方案提供了对驻留在 Cortex 数据湖中的所有数据的可见性。Cortex XDR 包括一个提供各种功能的单一界面,包括警报调查和分类、补救和定义策略。
• Cortex Data Lake——这种基于云的日志服务集中了各种数据源的日志收集和存储。
• 分析引擎——此安全服务使用网络数据自动检测和报告入侵后威胁。该引擎识别网络上的正常行为并将其用作检测异常行为的基准。
• 下一代防火墙——这些本地和虚拟防火墙有助于在不同地点实施网络安全策略,包括校园、云数据中心和分支机构。
• Prisma Access(前身为 GlobalProtect)——该服务有助于将防火墙安全策略扩展到远程网络和移动用户。它可以将流量日志转发到 Cortex Data Lake 以供分析引擎分析,该分析引擎可以针对异常行为推送警报。
• 外部防火墙和警报——此功能使 Cortex XDR 能够从 CheckPoint 等其他供应商的外部防火墙中提取流量日志。摄取数据后,分析引擎可以针对异常行为发出警报。Cortex XDR 还可以从外部来源获取警报,以便为事件添加额外的上下文。
什么是 Microsoft 365 Defender (XDR)
Microsoft 365 后卫是一个提供破坏前和破坏后功能的企业套件。它集中和协调跨多个组件的威胁预防、检测、调查和响应,包括电子邮件、身份、应用程序和各种端点。
安全专家可以使用该套件来关联不同来源的威胁信号,确定威胁的全部影响和范围,并确定进入点和受影响的组件。除了提供这些见解之外,Microsoft 365 Defender 还可以执行自动操作来阻止攻击并自我修复受影响的终结点、用户身份和邮箱。多家供应商提供Microsoft SOC提供基于 Microsoft 365 Defender 的托管安全服务。
以下是 Microsoft 365 Defender 的主要功能:
| 适用于 Office 365 的 Microsoft Defender | 提供威胁预防、检测、调查和搜寻功能,以保护电子邮件帐户等 Office 365 资源。 |
| 用于终结点的 Microsoft Defender | 提供端点保护,包括违规后检测以及自动调查和响应。 |
| Microsoft 365 后卫 | 自动分析各个域的威胁数据,并在单个仪表板视图上显示攻击图片。 |
| 适用于云应用的 Microsoft Defender | 一种跨 SaaS 和 PaaS 解决方案,可为云应用程序提供可见性、数据控制和威胁防护。 |
Microsoft 365 Defender API 可以自动化安全工作流根据高级狩猎表和共享事件。下面是它的工作原理:
• 组合事件队列- 帮助您将事件 API 下的全部攻击范围和受影响的资产组合在一起,以专注于关键信息。
• 跨产品威胁搜寻——让您可以创建自定义查询来分析跨多个安全工具收集的原始数据。您可以使用此功能来利用整个组织的所有知识来寻找妥协的迹象。
• 事件流 API – 使您能够在发生时将实时警报和事件发送到单个数据流中。
Microsoft 365 Defender 体系结构