XSOAR, một nền tảng ANTT của Palo Alto Networks, là nền tảng Security Orchestration, Automation, and Response (SOAR) – Điều phối, tự động hoá và phản ứng về ANTT – duy nhất có thể kết hợp điều phối ANTT, quản lý sự cố và điều tra tương tác để hỗ trợ đội ngũ ANTT xuyên suốt chu kỳ quản lý sự cố. Với XSOAR, các nhóm bảo mật có thể chuẩn hóa các quy trình, tự động hóa các tác vụ lặp lại và quản lý các sự cố trên danh mục sản phẩm bảo mật của họ để cải thiện thời gian phản hồi và năng suất của nhà phân tích. Điều này cho phép phản hồi sự cố nhanh hơn và có giao thức phản hồi chung trên nhiều bên liên quan trong quản lý sự cố.
Dưới đây là tổng quan ngắn gọn về các thành phần tạo nên nền tảng XSOAR:
Playbook thân thiện với khả năng tự động hóa của XSOAR giúp các đội SOC loại bỏ công việc đòi hỏi nhiều lao động, tập trung vào các mối đe dọa phức tạp hơn và giảm số lượng cảnh báo. Những playbook này giúp đơn giản hóa việc thiết lập các trường hợp sử dụng phức tạp thông qua thư viện bộ lọc và chuyển hoá mở rộng, hơn 45 mẫu có sẵn và bố cục kéo và thả đồ họa trực quan.
Công cụ điều phối XSOAR tận dụng hàng trăm tích hợp trên các danh mục sản phẩm như SIEM, EDR, phân tích phần mềm độc hại, thông tin thông minh về mối đe dọa, v.v. Playbook phối hợp giữa các nhiệm vụ, sản phẩm và các bên liên quan để đạt được sự tương tác lý tưởng giữa con người, quy trình và công nghệ.
Bộ quản lý trường hợp đầy đủ tính năng của XSOAR, giúp nhóm SOC nhập thông báo từ nhiều nguồn, chạy tìm kiếm và truy vấn tùy chỉnh, theo dõi SLA chi tiết và số liệu, và hiển thị dữ liệu quan trọng theo cách phù hợp. Mỗi sự cố có 5 chỉ số riêng biệt và tập trung cùng nhau bao quát toàn bộ vòng đời.
Mỗi khía cạnh của bộ công cụ quản lý sự cố của XSOAR có thể được tùy chỉnh, bao gồm các loại sự cố và nhãn, loại chỉ báo và nhãn, bố cục tóm tắt và quy trình công việc phản hồi. Tất cả dữ liệu được thu thập sau đó có thể được cắt, xếp chồng và hiển thị từ đầu thông qua bảng điều khiển và báo cáo có thể định cấu hình đầy đủ. XSOAR cũng cung cấp các tính năng để cập nhật hệ thống quản lý vé (ticketing system) bên ngoài khi quá trình điều tra đã hoàn tất.
Để bổ sung cho các playbook được tiêu chuẩn hóa và tự động, XSOAR cũng tạo điều kiện cho phản ứng nhanh, thời gian thực thông qua Phòng Chiến tranh (War Room) ảo cho mỗi sự cố. Phòng Chiến tranh được cung cấp bởi ChatOps và giúp các nhà phân tích trò chuyện với nhau để điều tra chung, chạy các hành động bảo mật thời gian thực thông qua CLI và tự động ghi lại tất cả các lệnh, ghi chú và bằng chứng trên một bảng điều khiển.
XSOAR có Nền tảng hoạt động bảo mật đầu tiên của ngành, học hỏi từ các hành động của nhà phân tích và dữ liệu sự cố để điều khiển các quy trình phản hồi nhẹ nhàng hơn và phản ứng sự cố được tối ưu hóa hơn. Học máy giúp các nhà phân tích trong quá trình điều tra bằng cách đề xuất các phương pháp tốt nhất để giải quyết sự cố, các nhà phân tích tốt nhất để quản lý các sự cố và các sự cố tương tự như trong tay. Đây là ví dụ đầu tiên trong ngành bảo mật nơi giải pháp bắt đầu học hỏi từ các chuyên gia cũng như lịch sử của các dữ liệu bảo mật.
Các tính năng học máy cũng bao gồm lừa đảo, phân loại email spam, cung cấp phản hồi lừa đảo nhanh hơn.
Cortex XSOAR cung cấp một cách tiếp cận mới để quản lý thông tin thông minh về các mối đe dọa một cách thống nhất, giúp tổng hợp các mối đe dọa, điểm số và chia sẻ với tự động hóa dựa trên playbook đã được chứng minh.
Quản lý thông tin thông minh về các mối đe dọa cho phép hợp nhất nhiều nguồn thông tin về các mối đe dọa như Autofocus và nhiều nguồn cấp dữ liệu của bên thứ 3 khác, với các tính năng để tùy chỉnh từng điểm số về các mối đe dọa và xuất chúng sang các giải pháp bảo vệ như Tường lửa, v.v.
Gartner đã theo dõi sự phát triển của SOAR (Điều phối, tự động hóa và phản hồi về ANTT) và định nghĩa giải pháp SOAR lý tưởng là sự hội tụ của ba thị trường công nghệ khác biệt trước đây: điều phối và và tự động hóa ANTT, nền tảng ứng phó sự cố an ninh và nền tảng quản lý thông tin thông minh về các mối đe doạ.
CortexTM XSOAR là giải pháp hoạt động bảo mật duy nhất với năng lực hợp tác và quản lý sự cố được tích hợp sẵn, điều phối và tự động hóa ANTT, và trí thông minh đe dọa được dệt thành một nền tảng đơn nhất.
XSOAR là nền tảng Điều phối, Tự động hóa và Phản hồi ANTT (SOAR) duy nhất để thống nhất quản lý sự cố, điều phối an ninh và tự động hóa, và điều tra tương tác trên một bảng điều khiển duy nhất. Điều này đảm bảo rằng người dùng có thể tận dụng các khả năng của XSOAR trong suốt vòng đời sự cố, từ nhập liệu đến phân giải.
Khả năng học máy của XSOAR giúp trang bị cho nhóm nghiên cứu bảo mật năng lực cải thiện với từng sự cố. Bằng cách phân tích sự cố, các chỉ báo và dữ liệu phân tích, XSOAR cung cấp thông tin chuyên sâu để đơn giản hóa việc tạo quy trình công việc, tăng năng suất phân tích và nâng cao hiệu quả trong hoạt động bảo mật.
XSOAR coi tự động hóa là một công cụ nâng cao con người chứ không phải thay thế con người. Cuối cùng, các tính năng tự động hóa và điều phối của XSOAR vẫn tập trung vào các nhà phân tích, cho phép họ giữ quyền kiểm soát bất cứ khi nào họ muốn và cung cấp cho họ các công cụ và trực quan để đưa ra suy luận. Các nhà phân tích có thể tùy chỉnh playbook, bố trí sự cố, nhãn, bảng điều khiển, báo cáo, v.v. XSOAR giúp thích ứng với nhu cầu của người dùng thay vì phải dùng các cách khác.
Năng lực điều tra tương tác cốt lõi của XSOAR là một tính năng thay đổi cuộc chơi trong thị trường bảo mật và thị trường ứng phó sự cố. Một War Room ảo trong XSOAR cho phép các nhà phân tích tiến hành điều tra chung, chạy các lệnh trên các sản phẩm trong thời gian thực và ghi lại tất cả các kết quả trên một bảng điều khiển, giảm thiểu đáng kể sự dư thừa và công việc thủ công tẻ nhạt.
XSOAR có thể được triển khai cả trên môi trường nội bộ (on-premise) và trên môi trường điện toán đám mây, thích ứng với các yêu cầu của khách hàng khi có nhu cầu. Nền tảng này cũng được thiết kế để hỗ trợ năng lực multi-tenancy (cho nhiều đối tượng sử dụng cùng 1 lúc) để giúp tăng năng lực dễ dàng, cung cấp ba lớp cách ly và duy trì tính toàn vẹn dữ liệu trong khi đơn giản hóa giao tiếp giữa các bên thuê. Việc triển khai lấy khách hàng làm trung tâm này đảm bảo ít hoặc không có quán tính về mặt bổ sung thêm và vận hành của người dùng.
Kể từ khi xuất hiện, XSOAR đã chứng kiến sự tăng trưởng mạnh mẽ trong việc được đón nhận sử dụng bởi các tổ chức và tiếp tục tăng trưởng, đỉnh điểm là việc mua lại bởi Palo Alto Networks vào tháng 4 năm 2019. XSOAR được Gartner đánh giá là “Nhà cung cấp tuyệt vời” trong hoạt động bảo mật và quản lý lỗ hổng trong năm 2018.
Bộ phishing playbook của XSOAR thu thập cảnh báo từ các hộp thư của email và phối hợp hành động trên các công cụ thông tin thông minh về các mối đe dọa, sandboxes, giải pháp EDR và nhiều hơn nữa để phản hồi chính xác và lặp lại.
Bộ playbook về săn tìm các mối đe dọa của XSOAR có thể được lên lịch để chạy theo các khoảng thời gian xác định trước, quét nhanh các mối đe dọa trong môi trường của tổ chức sau khi thu thập các nguồn cấp dữ liệu về thông tin thông minh về các mối đe dọa bên ngoài hoặc theo dõi các sự cố hiện có.
Các playbook của XSOAR có thể tự động hóa việc làm phong phú các chỉ số bằng cách truy vấn các công cụ thông tin thông minh về các mối đe dọa khác nhau cho bối cảnh và trình bày kết quả cho các nhà phân tích, do đó loại bỏ thời gian bị mất mà có thể được sử dụng để điều tra chủ động.
Các playbook của XSOAR có thể tự động gán mức độ nghiêm trọng cho các sự cố bằng cách kiểm tra các thông số có liên quan đến quý tổ chức. Bằng cách điều hòa điểm số mối đe dọa từ các sản phẩm khác, kiểm tra điểm số chỉ số và xác minh mức độ nghiêm trọng của các điểm cuối và người dùng bị ảnh hưởng, các playbook này đảm bảo rằng các nhà phân tích nhìn thấy được các sự cố cần phải nhìn thấy.
Trong trường hợp mạng nhiều phân khúc và triển khai theo mô hình lưu trữ (hosted deployment), máy chủ XSOAR có thể không nằm trên cùng một mạng với các sản phẩm của đối tác. Công cụ động cơ của XSOAR được thiết kế dưới dạng proxy kết nối (bên ngoài) với máy chủ chính XSOAR và ngăn không cần phải mở các cổng tường lửa cho công cụ động cơ.
XSOAR được viết bằng ngôn ngữ Golang bằng cơ sở dữ liệu BoltDB nhúng và tìm kiếm Bleve. Các thành phần này được đóng gói trong một trình cài đặt duy nhất, cho phép khả năng mở rộng cao và hỗ trợ mô hình nhiều bên sử dụng.
Phần backend của XSOAR giao tiếp với ứng dụng web bằng API REST. Do đó, bất kỳ hành động nào được thực hiện từ UI cũng có thể được thực thi thông qua Rest API. Giao diện người dùng của XSOAR được triển khai bằng ReactJS, làm cho nó vận hành cực kỳ nhanh và dạng module hoá để mang lại trải nghiệm người dùng liền mạch.
Tất cả dữ liệu tự động của playbook, thông tin thẩm tra số do người dùng tạo và thông tin cộng tác được lập chỉ mục trong thời gian thực. Công cụ lập chỉ mục mạnh mẽ cho phép truy vấn theo thời gian thực về thông tin tương quan.
Các chỉ số như địa chỉ IP, mã hash của tập tin, URL và các thành phần khác được tương quan lẫn nhau xuyên suốt giữa các sự cố. Những tương quan này có thể được tìm kiếm và sử dụng để điều tra sâu hơn.
Công cụ học tập DBot áp dụng các thuật toán để tạo ra “XSOAR Insights”. Những nội dung chuyên sâu này bao gồm phân công phân tích cho các sự cố, các lệnh bảo mật hiệu quả nhất và các chuyên gia có liên quan để mời điều tra sự cố.
XSOAR tích hợp với hàng trăm sản phẩm trên các lĩnh vực bảo mật. Cập nhật nội dung sản phẩm hai tháng một lần bao gồm các tích hợp mới được đẩy lên cho các triển khai XSOAR hiện có.
XSOAR được trang bị bộ SDK mạnh mẽ cho phép tạo ra các tích hợp mới nhanh chóng và dễ dàng. Tích hợp có thể được xây dựng bằng Python hoặc JavaScript mà không cần các công cụ hoặc môi trường bên ngoài. Người dùng cũng có thể tận dụng một tiện ích bổ sung PyCharm để xây dựng tích hợp tùy chỉnh.
XSOAR có thể tích hợp với các sản phẩm đối tác bằng bất kỳ giao thức và giao diện tiêu chuẩn nào bao gồm API REST, giao diện SOAP, SSH / CLI và API tùy chỉnh, với các ví dụ minh họa được cung cấp để dễ dàng thiết lập.
Tích hợp có thể được chia sẻ trong và trên các môi trường. Hầu hết các tích hợp của chúng tôi là nguồn mở. Chúng tôi khuyến khích khách hàng và đối tác tận dụng kho lưu trữ của chúng tôi và xây dựng các tích hợp mới.
XSOAR sử dụng Docker để đảm bảo cách ly hoàn toàn trong khi thực hiện, ngăn chặn mọi hành động vô ý hoặc độc hại gây hại cho toàn bộ hệ thống.
XSOAR cung cấp một cửa hàng thông tin xác thực cho mật khẩu tích hợp để các nhóm bảo mật không cần phải liên tục truy cập vào thông tin đăng nhập.
Tất cả giao tiếp với các sản phẩm đối tác và các thành phần phụ trong XSOAR đều được mã hóa.
XSOAR hỗ trợ xác thực SAML 2.0 và LDAP để đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể truy cập máy chủ XSOAR.