Palo Alto Networks 和 Elastic
采集关键数据,实现企业范围内的分析。
解决方案概览
Palo Alto Networks 和 Elastic 提供的集成解决方案,可实现近乎实时的威胁检测、交互式分类和事件调查以及自动响应。总之,该解决方案可帮助组织防范可能导致数据泄露和其他丢失或损坏的攻击。
Elastic SIEM 依托 Elasticsearch 的速度、规模和相关性,提供与 Palo Alto Networks 日志的精选数据集成,可支持跨数据源搜索、分析和关联。Elastic SIEM 为分析人员提供了一个交互式工作区,以便快速识别可疑活动、在所有数据源之间切换以及收集与事件相关的证据。
Cortex XSOAR 和 Elasticsearch 之间的双向集成有助于安全运维团队通过预定义的 Playbook 自动执行和编排响应操作,从而简化和标准化事件响应和解决以及事件生命周期管理。
主要功能
Palo Alto Networks 和 Elastic 提供的集成解决方案已在全球大规模安全分析装置中得到验证,可帮助安全团队更轻松地驾驭当今复杂的威胁形势。通过将两者结合使用,您可以:
- 使用预构建的 Filebeat Palo Alto Networks 模块将 Palo Alto Networks PAN-OS 防火墙日志(通过 Elastic Common Schema 格式进行标准化)采集到 Elastic SIEM
- 使用 Elastic SIEM、仪表板、热图、地理图和信息图这些显示方式,在 Kibana 中可视化、搜索 Palo Alto Networks 日志并将其与其他安全相关信息相关联,从而实现实时威胁猎捕和自动检测
- 应用 Elastic 告警和 Machine Learning 功能,跨多个数据源自动执行威胁检测,以减少误报,帮助分析人员和运维人员确定优先级,并减轻告警疲劳
- Elastic SIEM 检测告警可以触发 Cortex XSOAR Playbook,在单个工作流中编排整个产品堆栈的响应操作
用例
Elastic 和 Palo Alto Networks 携手,共同实现重要用例。
内部威胁和零信任:零信任模型应该是开展业务的基础。但是,由于每个网络都不同,因此准确了解应在何处部署这些零信任控制非常重要。Elastic 可以收集日志和网络流、创建基线,并帮助确定实施零信任策略最有效的位置。Elastic Machine Learning 功能可识别异常并触发告警,随后管理员便可利用这些信息在 Demisto 中自动执行操作(例如防火墙策略)。
威胁情报:Palo Alto Networks 可提供高级威胁情报工具,帮助识别网络威胁,而 Elastic 可轻松集成这些工具,方便您在实时环境中加以使用。例如,通过 Minemeld 采集的各种源可以将 AutoFocus 标签纳入其中,这些标签会持续采集到 Elastic SIEM 中,使其可用于分析工具中近乎实时的查找、分类和归因。
物联网和 SCADA:您可以将来自各种设备的传感器源采集到 Elastic 中,以进行分析并生成报告。Machine Learning 一旦识别到异常情况,就会向 Demisto 发出告警,Demisto 会立即采取措施对有问题的设备予以隔离或控制。从业人员可以将 Zingbox 物联网安全服务分析与来自其他企业数据源的指标关联起来,以进一步验证评估结果,甚至自动执行分割或隔离等应对措施。
NetOps 和 SIEM:网络数据是网络安全团队用来监测和识别威胁行为的主要情报来源之一;若与其他指标结合使用,它的威力会更加强大。来自 Palo Alto Networks NGFW 的精细网络源可以通过 Elastic Common Schema 自动实现标准化,并能够以近乎实时的速度完成采集。一旦编入索引,系统就可以将它们与其他数据源相关联,然后使用无监督式的 Machine Learning 等工具进行自动分析,以提供见解并帮助确定响应的优先级。
自动响应和编排:Cortex XSOAR 集 300 多个(这一数字还在继续增长)集成式供应商 Playbook 于一身,是一个功能强大的平台,适用于在多供应商环境中实现自动化操作。Elastic 中生成的数据分析和见解可以通过推送到 Cortex XSOAR 用来支持自动操作,而 Cortex XSOAR 可以利用 Elastic 进行实时数据访问和聚合。
了解详情
技术提供商 Elastic 和 Palo Alto Networks 强强联手,必将实现优势叠加,产生倍增效应。如需了解详细信息,请查看以下技术资源或与您当地的 Elastic 现场团队联系。
- 有关将 PAN 数据采集到 Elasticsearch 中的 Filebeat 模块的文档
- 关于将数据迁移到 Elastic Common Schema (ECS) 的网络研讨会
- 联系 Elastic 以深入了解这项集成