Ramsdata

logo.png

Cortex XDR vs EDR tradicional – como a abordagem da Palo Alto à deteção de ameaças difere

O mercado de proteção de terminais sofreu uma profunda transformação nos últimos anos. As soluções tradicionais de EDR, focadas apenas em dispositivos endpoint, são cada vez mais insuficientes face a ataques que se movem entre redes, a cloud e os utilizadores. A Palo Alto Networks respondeu a este desafio com a plataforma Cortex XDR, uma solução que vai para além do endpoint e constrói uma imagem consistente das ameaças em todo o ambiente de TI.

Principais conclusões

  • O EDR tradicional apenas monitoriza o endpoint – o Cortex XDR integra dados da rede, da nuvem e das aplicações
  • O Cortex XDR utiliza a aprendizagem automática para correlacionar eventos de diferentes fontes
  • A plataforma reduz o número de alertas, correlacionando-os e dando-lhes prioridade automaticamente
  • As capacidades de resposta incorporadas permitem-te responder a incidentes sem teres de alternar entre ferramentas
  • O Cortex XDR faz parte do ecossistema mais amplo da Palo Alto Networks

Índice

  1. Evolução da PPE via EDR para XDR
  2. Limitações do EDR tradicional em ambientes modernos
  3. Cortex XDR – arquitetura e fontes de dados
  4. Correlação de riscos e redução do ruído de alerta
  5. Capacidades de deteção – o que é que o Cortex XDR detecta?
  6. Resposta – como responder a incidentes da plataforma?
  7. Cortex XDR e o ecossistema da Palo Alto Networks
  8. FAQ
  9. Resumo

Evolução da PPE via EDR para XDR

A história da proteção de terminais é uma história de respostas à crescente sofisticação dos ataques. A EPP (Endpoint Protection Platform) – ou antivírus tradicional – baseava-se em assinaturas e heurística. A EDR (Endpoint Detection and Response) acrescentou monitorização comportamental contínua e capacidades de investigação. A XDR (Extended Detection and Response) vai mais longe, integrando dados de vários níveis do ambiente de TI numa única plataforma de análise.

A diferença não é cosmética – é uma mudança fundamental na abordagem à deteção. O EDR vê apenas o que está a acontecer num dispositivo. O XDR vê todo o contexto: o tráfego de rede gerado por esse dispositivo, registos da firewall, eventos em aplicações na nuvem, dados de identidade. Os ataques que são invisíveis em camadas individuais tornam-se óbvios na correlação.

Limitações do EDR tradicional em ambientes modernos

O EDR tradicional tem três limitações principais no contexto das ameaças modernas. Em primeiro lugar, apenas vê o ponto final – se um atacante se deslocar lateralmente entre dispositivos através de protocolos de rede legítimos, o EDR pode não registar esse facto. Em segundo lugar, gera grandes volumes de alertas sem os correlacionar uns com os outros – o analista SOC tem de combinar manualmente eventos de diferentes dispositivos.

Em terceiro lugar, um EDR tradicional não tem contexto para os eventos – sabe que um processo executou uma operação suspeita, mas não sabe se o mesmo utilizador acabou de iniciar sessão a partir de um local desconhecido e descarregou grandes volumes de dados da nuvem. Esta falta de contexto dá origem a falsos alarmes e à perda de incidentes reais.

Cortex XDR – arquitetura e fontes de dados

O Cortex XDR da Palo Alto Networks recolhe dados de agentes de endpoint, registos de firewalls Palo Alto (NGFWs), dados de rede, registos de aplicações na nuvem e sistemas de identidade. Todos estes dados vão para uma camada analítica central, onde são normalizados num formato comum e analisados por motores de ML.

O agente Cortex XDR no endpoint é leve e combina NGAV (proteção contra malware) com capacidades EDR – monitorizando processos, ficheiros, ligações de rede e eventos do sistema. A chave, no entanto, é a integração com dados fora do endpoint, o que fornece um contexto que não é possível apenas com o agente.

Correlação de riscos e redução do ruído de alerta

Um dos maiores problemas do SOC é a fadiga de alertas – sobrecarregar os analistas com demasiados alertas de baixa qualidade. O Cortex XDR resolve este problema ao correlacionar automaticamente eventos de diferentes fontes num único incidente.

Em vez de dezenas de alertas individuais de diferentes dispositivos e camadas, o analista vê um único incidente com uma linha temporal completa do ataque, uma lista de dispositivos e utilizadores envolvidos e uma classificação de criticidade. O tempo de análise é reduzido drasticamente – de horas para minutos.

Capacidades de deteção – o que é que o Cortex XDR detecta?

A plataforma detecta ameaças a vários níveis: malware (incluindo malware sem ficheiros), exploits e técnicas Living off the Land, movimento lateral na rede, tentativas de aumento de privilégios, exfiltração de dados e ataques de identidade. Todas as detecções são mapeadas para o MITRE ATT&CK para facilitar a compreensão contextual e a definição de prioridades.

A deteção comportamental baseada em perfis de comportamento normal do utilizador e do dispositivo é particularmente valiosa – as anomalias de uma linha de base estabelecida são um sinal para investigação, quer a ameaça seja conhecida ou não.

Resposta – como responder a incidentes da plataforma?

O Cortex XDR oferece capacidades de resposta ricas diretamente a partir da consola – sem a necessidade de aceder remotamente a dispositivos ou de alternar entre ferramentas. O analista pode isolar um dispositivo, parar processos, recolher artefactos forenses, executar scripts de reparação e desfazer alterações feitas pelo malware.

Para cenários recorrentes, é possível definir manuais que respondem automaticamente a determinados tipos de incidentes, reduzindo os tempos de resposta e a dependência da disponibilidade dos analistas.

Cortex XDR e o ecossistema da Palo Alto Networks

O Cortex XDR faz parte da plataforma Cortex, que se integra com outros produtos da Palo Alto Networks – firewalls NGFW, a solução SASE Prisma Access, a plataforma Prisma Cloud e outros. Esta integração permite à empresa construir uma arquitetura de segurança coesa, onde os dados de cada camada melhoram as capacidades de deteção de todo o ecossistema.

FAQ

O Cortex XDR está a substituir o SIEM? O Cortex XDR complementa o SIEM – não o substitui totalmente, mas assume muitas funções analíticas e pode reduzir significativamente o volume de dados que entram no SIEM.

O Cortex XDR funciona sem outros produtos Palo Alto? Sim – funciona de forma autónoma com o seu próprio agente e pode integrar-se com produtos de outros fornecedores através de APIs.

Quanto tempo demora a implementação? A implementação de agentes no endpoint é relativamente rápida. A integração total com outras fontes de dados e a configuração de políticas de deteção é um projeto de várias semanas.

Resumo

O Cortex XDR da Palo Alto Networks representa uma nova geração de proteção para ambientes de TI – uma que compreende o contexto das ameaças e correlaciona eventos de várias camadas numa imagem coerente de um incidente. Em comparação com o EDR tradicional, esta é uma diferença qualitativa que se traduz em tempos de deteção mais rápidos, menos alarmes falsos e uma resposta mais eficaz.

Cortex XDR vs EDR tradicional - como a abordagem da Palo Alto à deteção de ameaças difere

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

error: Content is protected !!