Cisco XDR -integratie met derde partij partner op Black Hat

Het dashboard van het XDR-controlecentrum toonde de status van de toevoegingen gedurende de week.

Hieronder ziet u de integraties die actief zijn in XDR.

Samenwerking met Palo Alto Networks

Black Hat NOC is een echt uniek netwerk waarin de concurrentie uit het raam wordt gegooid en de samenwerking naar de voorgrond wordt gebracht. Black Hat-leiders evalueren meerdere tools op de markt om het netwerk op te bouwen en te beheren (of hun eigen te bouwen). De belangrijkste onderscheidende factor is dat deze tools worden gekozen met een onbeperkt budget, omdat leveranciers gratis licenties voor hun tools bieden voor Black Hat, samen met personeel om te beheren/te beheren/integreren in de beveiligingsstapel. Met de kostenfactor verwijderd, geeft de beslissing eenvoudigweg aan welke tool aan hun unieke behoeften voldoet. Het resultaat is een uiterst gediversifieerde set tools en leveranciers die operationeel en geïntegreerd moeten worden gemaakt in het korte configuratieversie.

Dit jaar besloot ik om de doelen van Palo Alto Xsiam dieper te bekijken. Palo Alto Networks is de officiële firewall en de XDR/Siem/Soar-leverancier voor de NOC Black Hat. Hoewel ik enige ervaring heb met Cortex Panw, was het interessant om te leren welke extra functies zijn opgenomen in XSIAM, naast het begrijpen van het zoemende woord van de volgende generatie SIEM. XSIAM is een platform van de volgende generatie all-in-one veiligheidsactiviteiten, die XDR, Siem, Soar, Ueba en Ueba en bedreigingen integreert in een enkel systeem onder leiding van de AI voor grootschalige SECOPS. XSIAM is een eerste AI-platform met LLM-samenvattingen voor elk incident en geïntegreerde Microsoft Copilot. Copilot kan worden gebruikt voor een aantal use cases, waaronder algemeen onderzoek of hulp om een bepaalde XQL-query te maken.

Laten we eens kijken naar een PANW XSIAM-ongeluk en dan zien we hoe dezelfde gegevens in Cisco XDR kunnen zijn ontstaan.

Evolutie-integratie met Palo Alto Networks

Cisco XDR is ontworpen als een agnostisch hulpmiddel van de leverancier met als doel te werken met de bestaande infrastructuur van de klant. Dit betekent dat Cisco XDR in staat moet zijn om te integreren met tools van derde partijen, inclusief technologieën die kunnen worden beschouwd als concurrentie op de markt. In de Black Hat NOC werken we samen met de concurrentie omdat de echte vijand geen andere leverancier is, maar eerder de tegenstander. Cisco XDR heeft een integratieformulier dat moet worden geïntegreerd met cortex XDR die verrijkingcapaciteit biedt voor zowel EDR-detecties als firewall-enquêtes. Deze verrijking is echter een vraag op aanvraag, tip-in tijd, die de relevante gegevens rapporteert voor wat er in Cisco XDR wordt bestudeerd. Deze integratie produceert geen XDR-ongevallen van PANW.

Om deze integratie te verbeteren, werd een gepersonaliseerde automatiseringsworkflow gemaakt om de Pan-OS API rechtstreeks te ondervragen voor de registers van de bedreigingen en daarom te publiceren als ongelukken in Cisco XDR. Vervolgens profiteerde de volgende fase van de integratie van Splunk door de registers van de Splunk PANW-bedreigingen te verzenden en vervolgens de XDR-automatisering te gebruiken voor Splunk Query voor de PANW-bedreigingenregisters. De automatiseringsworkflows vragen meer sets van gegevens in Splunk en maakt gebruik van een variabele van de globale tabel om de ongevallen op te nemen en bij te werken of nieuwe ongevallen te maken. Deze logica kan complex zijn en dwaalt de correlatie van Cisco XDR af.

De volgende fase van de PANW-integratie is momenteel in aanbouw door ons technische team en het Black Hat-netwerk is het perfecte innovatiegebied om gegevens te verkrijgen over de echte wereld waarmee integratie kan worden opgebouwd. Ons engineeringteam werkt aan het nemen van de PANW NGFW-registers van de Strata-opnameservice, verander ze in OCSF (Open Cybersecurity Framework Scheme) en ze in te nemen in ons data-analyseplatform. Dit betekent dat de firewall-registers worden genormaliseerd en kunnen worden gerelateerd aan andere gegevenssets om XDR-ongevallen te produceren.

Conclusie

De Black Hat NOC biedt een zeldzame omgeving waarin interoperabiliteit, innovatie en samenwerking gedijen, ongeacht de grenzen van de leverancier. De verkenning van Palo Alto Networks XSIAM in deze ruimte onthulde het ware potentieel van de nieuwe generatie SECOPS-platforms, van de automatische verrijking van ongevallen tot integratie zonder continuïteit met ondersteuningstools zoals Corelight en Slack. Tegelijkertijd demonstreert het ontwerp van de leverancier-agnostiek van Cisco XDR en de evolutie van integratie met de PAN-gegevens via API, Splunk en OCSF de kracht van de aanpasbare en multi-platform samenwerking. Terwijl beide platforms blijven evolueren, blijft de NOC een testterrein om de grenzen te verleggen van wat mogelijk is in moderne veiligheidsactiviteiten.

Op Black Hat

Black Hat is de meest geconsolideerde en in-diepte beveiligingsreeks van beveiligingsevenementen in de computerindustrie. Opgericht in 1997, bieden deze meerdaagse jaarlijkse evenementen deelnemers de nieuwste onderzoek, ontwikkeling en trends op het gebied van computerbeveiliging. Gedreven door de behoeften van de gemeenschap, tonen Black Hat-evenementen de inhoud rechtstreeks van de gemeenschap door briefingpresentaties, trainingscursussen, tops en meer. Aangezien de reeks evenementen waarin alle carrièreliveaus en academische disciplines samenkomen om samen te werken, te netwerken en onderwerpen van computerbeveiliging te bespreken die meer voor hen tellen, kunnen deelnemers Black Hat-evenementen vinden in de Verenigde Staten, Canada, Europa, het Midden-Oosten en Azië. Voor meer informatie, bezoek de website van Black Hat.

We willen graag horen wat je denkt! Stel een vraag en blijf in contact met Cisco Security op sociale media.

Cisco Security Social Media

LinkedIn
Facebook
Instagram
X

Deel: