Bedrohungsanalysen - Threat-Intelligence-Plattform
Palo Alto Networks veröffentlicht Cortex XSOAR TIM 2.0
Effektivität von Bedrohungsanalysen steigern
Palo Alto Networks, das weltweit führende Unternehmen im Bereich Cyber Security, hat die zweite Version seines Moduls Threat Intelligence Management (TIM) veröffentlicht. Es unterstützt Unternehmen dabei, mehr aus der ihnen zur Verfügung stehenden Bedrohungsanalyse herauszuholen.
Die wahre Stärke einer Threat-Intelligence-Plattform liegt darin, zu verstehen, wie sich Informationen verwertbar machen lassen, und dies, bevor es zu spät ist. Dazu gehört das automatische Zuordnen von Bedrohungsinformationen zu Vorfällen im Netzwerk und das schnelle Verstehen der Verbindungen zwischen Bedrohungsakteuren und Angriffstechniken, die in der Umgebung bisher unbekannt waren.
Cortex XSOAR TIM 2.0 erschließt die Leistungsfähigkeit von Threat-Intelligence-Ressourcen. Die Mission-Control-Plattform bietet ein vollständiges Intelligence Lifecycle Management mit unübertroffener Transparenz in der globalen Bedrohungslandschaft. Die Plattform verknüpft Bedrohungsinformationen mit Vorfällen in Echtzeit und automatisiert die Verteilung der Threat Intelligence im großen Maßstab.
Zentrale Threat-Intelligence-Bibliothek für Unternehmen
Palo Alto Networks bündelt die Bedrohungsdaten seines Bedrohungsforschungsteams Unit 42, so dass Kunden zusätzlich zu ihrer eigenen Sammlung aus Open-Source-Bedrohungsdaten-Feeds Zugriff auf ein riesiges Repository mit hochgradig zuverlässigen Bedrohungsdaten von Palo Alto Networks haben.
Native Korrelation zwischen Indikatoren, Vorfällen und Informationen
Unternehmen sehen nicht nur detailliert alle Indikatoren, die mit ihren Vorfällen zusammenhängen, sondern erhalten auch angereicherte strategische Informationen. IT-Teams gewinnen so einen zusätzlichen Einblick in Bedrohungsakteure und Angriffstechniken.
Einfaches Entdecken und Hinzufügen neuer Threat-Intelligence-Quellen über den Marketplace
Seit der Einführung von TIM im letzten Jahr hat Palo Alto Networks 165 bedrohungsspezifische Integrationen ergänzt. Mit einem einzigen Klick können Kunden sofort eine neue Feed-Integration und ein Abonnement hinzufügen.
Unternehmen, die TIM 2.0 einsetzen, erhalten sofortigen Zugriff auf zuverlässige Bedrohungsdaten aus den branchenweit größten Quellen für Netzwerk-, Endpunkt- und Cloud-Informationen. Täglich werden mehrere Millionen Malware-Samples und Firewall-Sitzungen gesammelt und analysiert. Diese Informationen werden durch den Kontext der Bedrohungsforscher von Unit 42 bei Palo Alto Networks angereichert.
Self-Service über den Cortex XSOAR Marketplace
Mit über 650 Content-Paketen im Cortex XSOAR Marketplace können Benutzer die Vorteile von Threat-Intelligence-Feed-Automatisierungspaketen und Tausenden von vorgefertigten Automatisierungsskripten für häufige und einzigartige Anwendungsfälle der Reaktion auf Sicherheitsvorfälle nutzen. Wenn Kunden das Gefühl haben, dass ihre Feeds nicht genug Bedrohungsgebiete abdecken, können sie ganz einfach Bedrohungsdaten-Abonnements direkt vom Marketplace aus einsehen und hinzufügen. Zum Ökosystem aus über 100 Partnern für Bedrohungsdaten und Datenanreicherung gehören die Launch-Partner VirusTotal, Flashpoint und Intel471. Weitere wichtige Partner sind AlienVault, APIvoid, Cisco Umbrella, Cofense, Crowdstrike Falcon, Cybersixgill, DHS, Domaintools, IPInfo, Recorded Future, RiskIQ, SafeBreach, URLScan, FireEye Threat Intelligence und viele mehr.
Zentralisiertes Threat Intelligence Management
Mit Cortex TIM 2.0 verfügen Kunden jetzt über ein zentrales Threat Intelligence Repository zur Speicherung und Verwaltung von taktischen Bedrohungsinformationen (Indikatoren für eine Kompromittierung) und strategischen Informationen über Akteure und Angriffstechniken. Durch die Möglichkeit, diese verschiedenen Informationsquellen von Drittanbietern mit internen Vorfällen zu korrelieren, erschließen sich nun eine Vielzahl von Bedrohungsfällen, die den Sicherheitsteams der Kunden bisher unbekannt waren.
Threat Intel unterstützt jetzt strukturierte Beziehungen, die bessere Warnungen und Kontext für SOC/IR ermöglichen. Analysten sind in der Lage, ihre externe Bedrohungslandschaft zu modellieren. Das Layout von Indikatoren hat Palo Alto Networks neugestaltet. Aktualisierungen beliebter Threat-Intelligence-Integrationen nutzen die erweiterten Daten, die STIX 2-Objekte wie Bedrohungsakteure, Tools, Berichte, Malware, Angriffsmuster, Kampagnen, Handlungsabläufe, Infrastruktur und Intrusion Sets enthalten.
Kombination aus TIP und SOAR
Aktuelle Threat-Intelligence-Plattformen (TIPs) sind zwar in der Lage, Bedrohungsdaten zu aggregieren, zu korrelieren und sogar gemeinsam zu nutzen oder zu verteilen, decken aber einen entscheidenden Teil des Threat-Intelligence-Management-Zyklus nicht ab. Die Verknüpfung von TIP mit SOAR (Security Orchestration, Automation and Response) erweitert die Workflow-Automatisierung und die Case-Management-Funktionen auf den Prozess der Verwaltung von Bedrohungsdaten. Noch wichtiger ist jedoch, dass Kunden nun ein zentrales Repository für ihre Bedrohungsdaten (auch als Indikatoren bekannt) und Vorfälle haben, für die Korrelation zwischen externen Bedrohungen und den Vorgängen in ihrem Netzwerk. Es ist diese Kombination, die es ermöglicht, Vorfälle mit Informationen über Bedrohungsakteure und Angriffskampagnen anzureichern, um ein besseres Verständnis der Auswirkungen zu erlangen. So gelingt eine Feinabstimmung der Verteidigungsmaßnahmen, um die richtige Reaktion zur richtigen Zeit zu liefern.