Cortex XSIAM이란 무엇인가요? AI 기반 플랫폼

확장 보안 인텔리전스 및 자동화 관리(XSIAM)는 최신 보안 운영 센터(SOC)의 기능과 프로세스를 긴밀하게 통합하고 자동화하여 보안 성과를 획기적으로 개선하는 보안 운영에 대한 새로운 접근 방식입니다.

Cortex XSIAM: AI 기반 보안 플랫폼

XSIAM은 광범위한 기능을 종합적인 솔루션으로 통합하여 SIEM 및 전문 제품을 대체하는 SOC 활동의 중심이 되도록 설계되었습니다. XSIAM 기능에는 데이터 중앙 집중화, 지능형 스티칭, 분석 기반 탐지, 사고 관리, 위협 인텔리전스, 자동화, 공격 표면 관리 등이 있으며, 이 모든 것이 직관적인 작업 중심 사용자 경험 내에서 제공됩니다.

XSIAM은 XDR의 입증된 위협 탐지 및 대응 기능을 기반으로 보안 태세를 유지합니다. 중앙 집중식 데이터 저장소와 통합 SOC 기능을 갖춘 XSIAM은 기존 보안 정보 및 이벤트 관리(SIEM) 솔루션에서 벗어나 명확한 마이그레이션 경로를 제공합니다.

"보안 정보 및 이벤트 관리란무엇인가요?" 문서를 읽고 보안 정보 및 이벤트 관리에 대해 자세히 알아보세요.

팔로알토 네트웍스가 2022년에 처음 선보인 XSIAM은 미래의 자율 보안 플랫폼을 제공하기 위해 고안된 새로운 카테고리입니다.

XSIAM 보안이 필요한 이유는 무엇인가요?

현재 보안관제센터(SOC)에 대한 요구는 변화하고 있지만 보안 정보 및 이벤트 관리(SIEM)와 SOC의 구조는 정체된 상태입니다.

엔드포인트가 안티바이러스에서 엔드포인트 탐지 및 대응(EDR) 및 확장 탐지 및 대응(XDR)으로 전환되고, 네트워크가 기존의 '하드 셸' 경계에서 제로 트러스트 및 보안 액세스 서비스 에지(SASE)로 이동하고, 런타임이 데이터 센터에서 클라우드로 이전하는 등 보안 시스템의 다른 중요한 구성 요소가 현대화되었지만 SOC는 20년 전에 구상된 SIEM 모델에 따라 지속적으로 운영되고 있습니다.

공격자들이 제대로 통합되지 않은 보안 제품으로 방어되는 인프라에 대한 공격을 자동화함에 따라 보안 운영팀은그 어느 때보다 빠르게 대응해야 합니다. 한편 컨테이너 워크로드와 지속적인 통합/지속적 구축(CI/CD) 환경의 일시적인 특성으로 인해 보안 팀은 시시각각 보안 태세를 유지해야 하는 과제를 안고 있습니다.

이로 인해 조직을 방어하기 위해 추가 리소스를 확장 가능하게 제공하기 위한 관리형 서비스 제품이 성장하고 있지만, 이러한 추가 비용에도 불구하고 많은 조직이 부담을 느끼고 있습니다.

지난 10년간 이러한 과제와 관련하여 방어자들에게 중요한 변화는 향상된 보안 분석과 환경에 대한 가시성을 통해 향상된 위협 탐지 및 대응 기능을 제공하는 엔드포인트 탐지 및 대응(EDR) 및 확장 탐지 및 대응(XDR) 솔루션의 진화였습니다.

오늘날 많은 조직이 이러한 기능의 이점을 누리고 있지만, 다른 많은 조직은 여전히 로그 데이터를 중앙 집중화하고 보안 및 규정 준수 사용 사례에 자주 사용되는 추가 로그를 집계하는 데 SIEM을 사용하고 있습니다. 안타깝게도 SIEM은 로그 수집 및 탐지 규칙의 수동 구성과 경보의 분류 및 수정에 의존하는 경우가 많습니다.

XSIAM은 이러한 프로세스를 제품화하고 통합하여 실시간에 가까운 보안 운영 결과를 제공함으로써 수동 프로세스에 대한 의존도를 낮추고자 합니다.

XSIAM은 어떻게 작동하나요?

XSIAM은 오늘날 보안 제품의 분석가 중심 모델에서 벗어나 지능형 자동화를 사용하여 운영 방식이 독특합니다. 이 시스템은 모든 소스에서 심층적인 원격 측정, 알림 및 이벤트를 지속적으로 수집합니다. 그런 다음 데이터를 자동으로 준비 및 보강하여 보안 인텔리전스에 고유하게 연결하고 머신 러닝 탐지 분석을 즉시 적용합니다.

알림은 인시던트에 그룹화되어 관련 컨텍스트가 완전히 보강된 상태로 제공됩니다. 일상적인 인시던트는 인식, 처리 및 종결됩니다. 대시보드는 영향을 받는 사용자, 자산 및 인프라의 모든 관련 측면을 한데 모아 보여줍니다. 내장된 자동화 및 인라인 플레이북은 작업 속도를 높이고 시간이 지남에 따라 스스로 학습합니다. XSIAM은 모든 측면에서 분석가의 작업을 최소화하여 시스템이 자체적으로 수행할 수 없는 활동에만 집중할 수 있도록 지원합니다.

Cortex XSIAM의 주요 통합 기능

이러한 주요 SOC 제품 기능을 하나의 통합된 플랫폼으로 결합한 것이 바로 Cortex XSIAM입니다:

• 보안 정보 및 이벤트 관리(SIEM) 로그 관리, 상호연관성 및 알림, 보고, 장기 데이터 보존 등 모든 일반적인 SIEM 기능을 제공합니다.
• TIP(위협 인텔리전스 플랫폼) 업계 최고의 Unit42^® 위협 피드를 비롯한 위협 인텔리전스 데이터를 집계, 점수화하여 타사 도구에 배포하고 컨텍스트 및 어트리뷰션에 대한 알림을 강화합니다.
• 확장 탐지 및 대응(XDR)은 모든 소스에서 원격 분석을 수집하여 독보적인 탐지 범위와 정확도를 제공하며, 2022년 MITRE ATT&CK 평가에서 가장 많은 기술 수준 탐지 횟수를 기록했습니다.
• EPP(엔드포인트 보호 플랫폼) 익스플로잇, 멀웨어, 파일리스 공격을 차단하고 탐지 및 대응을 위한 전체 원격 분석을 수집하는 검증된 엔드포인트 에이전트로 엔드포인트 공격을 방지합니다.
• 공격 표면 관리(ASM) 자산 검색, 취약성 평가, 위험 관리를 통해 공격자가 조직을 볼 수 있도록 임베디드 공격 표면 관리(ASM) 기능을 제공합니다.
• ITDR(신원 위협 탐지 및 대응) 머신 러닝과 행동 분석을 사용하여 사용자 및 단체를 프로파일링하고 손상된 계정이나 악의적인 내부자를 나타낼 수 있는 행동에 대해 경고합니다.
• SOAR(보안 오케스트레이션, 자동화 및 대응)은 수백 개의 기본 제공 플레이북으로 거의 모든 사용 사례를 자동화하고 시각적 드래그 앤 드롭 플레이북 편집기로 사용자 지정할 수 있습니다.
• CDR(클라우드 탐지 및 대응)은 클라우드 감사, 흐름, 컨테이너 호스트 로그를 다른 소스의 데이터와 함께 분석하여 하이브리드 엔터프라이즈 전체에서 전체적인 탐지 및 대응을 수행합니다.
• 관리, 보고 및 규정 준수 엔드포인트 정책 관리, 오케스트레이션 및 대응을 포함한 모든 구성, 모니터링 및 보고 기능을 중앙 집중화하여 운영을 간소화합니다.

Cortex XSIAM | 최신 SOC를 위한 플랫폼

Cortex XSIAM은 끊임없이 증가하는 위협을 따라잡을 수 없을 정도로 대규모로 확장할 수 없는 사후 대응적이고 인간 우선적인 접근 방식에서 AI 기반의 자율적인 SOC라는 비전으로 현대 SOC가 진화할 수 있도록 지원합니다. XSIAM은 가능한 모든 곳에 자동화 및 분석 기능을 내장하여 SOC 비용을 절감하고 SecOps 프로세스를 자체적으로 지속 가능하게 만듭니다.

Cortex^® XSIAM^™은 조직이 다음과 같은 방식으로 이점을 누릴 수 있도록 지원하여 SecOps를 혁신합니다:

• 통합 플랫폼으로 보안 운영 간소화 - 모든 데이터와 SOC 기능을 하나의 플랫폼으로 통합하세요. XDR, SOAR, ASM 및 SIEM과 같은 SOC 기능을 단일 플랫폼으로 통합하면 콘솔 전환이 필요 없고 보안 운영을 간소화할 수 있습니다.

• AI 기반 결과로 대규모 위협 차단 - 즉시 사용 가능한 AI 모델은 기존의 탐지 방법을 뛰어넘어 다양한 데이터 소스에서 이벤트를 연결하여 대규모로 위협을 정확하게 탐지하고 차단합니다.

• 자동화 우선 접근 방식으로 인시던트 해결 가속화 - 분석가가 인시던트를 보기도 전에 자동으로 조치를 취합니다. 보안 작업을 자동화하여 수작업을 줄이고 사고 대응 및 해결을 가속화하세요.

AI 기반이라는 말은 실시간으로 작동한다는 의미입니다.

Cortex XSIAM FAQ