Figure 1 : SIEM : le SOC doit faire sa révolution

Rien d’étonnant, donc, Ă  ce que ce marchĂ© Ă©volue lentement vu le peu d’empressement des fournisseurs Ă  investir dans une vĂ©ritable transformation de leurs produits et solutions. Il existe plusieurs raisons Ă  cette inertie technologique :

  • Technologies obsolĂštes – La crĂ©ation des solutions SIEM remonte pour beaucoup Ă  une dizaine d’annĂ©es. Nombre d’entre elles s’appuient sur des architectures dĂ©passĂ©es, d’oĂč leur difficultĂ© Ă  s’adapter aux nouveaux dĂ©fis de sĂ©curitĂ©.
  • ComplexitĂ© – Souvent complexes Ă  implĂ©menter et Ă  gĂ©rer, les SIEM exigent en outre une optimisation continue pour rĂ©soudre les problĂšmes de faux positif ou Ă©viter de passer Ă  cĂŽtĂ© d’évĂ©nements critiques de sĂ©curitĂ©. Les fournisseurs hĂ©sitent donc Ă  se lancer dans des refontes majeures susceptibles de perturber les opĂ©rations de leurs clients.
  • Manque d’innovation – Le marchĂ© du SIEM ayant plus ou moins atteint sa maturitĂ©, ses acteurs manquent d’incitations financiĂšres pour investir massivement dans l’innovation.
  • ProblĂšmes d’intĂ©gration – Les solutions SIEM tendent Ă  s’intĂ©grer Ă  d’autres systĂšmes de sĂ©curitĂ© tels que les outils de dĂ©tection et rĂ©ponse sur les terminaux (EDR), de dĂ©tection des intrusions (IDS) et d’analyse du trafic rĂ©seau (NTA). DĂšs lors, modifier la technologie sous-jacente des solutions SIEM risquerait de rompre ces intĂ©grations et de sĂ©rieusement compliquer la gestion des opĂ©rations de sĂ©curitĂ© pour les clients.
  • Personnalisation – Nombre d’organisations ont personnalisĂ© leur solution SIEM en fonction de leurs besoins. Tout changement technologique profond pourrait les obliger Ă  reconfigurer leurs systĂšmes : une mission coĂ»teuse et chronophage.
  • ConformitĂ© rĂ©glementaire – Les solutions SIEM permettent Ă  de nombreuses organisations de respecter leurs obligations rĂ©glementaires. Autant dire que tout changement majeur pourrait remettre leur conformitĂ© en cause.

« Ces plateformes d’analyse de sĂ©curitĂ© ont plus de 10 ans d’expĂ©rience dans l’agrĂ©gation de donnĂ©es. Elles s’appliquent Ă  ces problĂ©matiques, mais n’offrent pas encore de fonctionnalitĂ©s de rĂ©ponse Ă  incident efficaces Ă  grande Ă©chelle, ce qui contraint les entreprises Ă  se tourner vers d’autres solutions. »
– Allie Mellen, Senior Analyst, Forrester

Figure 2 : Des outils cloisonnés ralentissent les investigations et la réponse à incident

Une cybersécurité repensée de fond en comble

La remĂ©diation des menaces pose problĂšme pour les Ă©quipes de cybersĂ©curitĂ©. Car avec la prolifĂ©ration des applications, des workloads, des microservices et des utilisateurs, la surface d’attaque numĂ©rique s’étend Ă  un rythme qu’elles ne peuvent tout simplement par tenir. Autre consĂ©quence de cette nouvelle rĂ©alitĂ©, les outils de dĂ©tection et de prĂ©vention des menaces finissent par ensevelir les Ă©quipes de sĂ©curitĂ© sous une avalanche d’alertes quotidiennes. Et comme ces alertes proviennent de nombreuses sources disparates, il incombe aux analystes de reconstituer eux-mĂȘmes toutes les piĂšces du puzzle.

L’analyse d’une menace potentielle se divise gĂ©nĂ©ralement en de multiples Ă©tapes :

  1. Analyser les journaux disponibles pour reconstituer l’incident prĂ©sumĂ©
  2. Recouper manuellement tous ces Ă©lĂ©ments avec les diffĂ©rentes sources de Cyber Threat Intelligence (CTI) pour identifier d’éventuels indicateurs de compromission connus
  3. Identifier les Ă©lĂ©ments d’informations manquants et rechercher des donnĂ©es symptomatiques d’éventuelles autres Ă©tapes de l’attaque
  4. VĂ©rifier si des membres de l’équipe enquĂȘtant sur d’autres alertes dĂ©tiennent ces informations afin de coordonner les efforts
  5. DĂ©cider de la marche Ă  suivre : escalade, classement sans suite ou rĂ©solution et clĂŽture rapides de l’alerte

Toutes ces Ă©tapes mobilisent Ă©normĂ©ment de temps et d’outils – sachant qu’il ne s’agit lĂ  que de la phase de tri des alertes. C’est pourquoi les analystes ne peuvent traiter que les alertes prioritaires parmi les Ă©normes volumes qu’ils reçoivent chaque jour. En consĂ©quence, un nombre inquiĂ©tant d’alertes jugĂ©es moins prioritaires passe Ă  la trappe. Or, l’historique des investigations d’incidents rĂ©vĂšle qu’une attaque tend Ă  comporter des actions plus anodines qui passent sous le radar des plateformes de dĂ©tection d’ancienne gĂ©nĂ©ration.

En outre, les analystes chargĂ©s du tri ne disposent souvent pas des informations contextuelles nĂ©cessaires pour Ă©valuer le risque rĂ©el de telle ou telle menace pour leur organisation. L’alerte est alors transmise Ă  une Ă©quipe plus expĂ©rimentĂ©e pour validation. En somme, l’entreprise y consacre davantage de temps et mobilise des effectifs et des ressources supplĂ©mentaires, ce qui nuit Ă  l’efficacitĂ© de toute l’organisation. Et c’est justement sur cette temporisation que tablent les acteurs cyber. La plupart des organisations prennent des heures, quand ce n’est pas des jours ou des mois, Ă  identifier les menaces et Ă  y remĂ©dier.

Le fond du problĂšme, c’est notre inaptitude Ă  exploiter des volumes colossaux de donnĂ©es pour renforcer nos dĂ©fenses. Les solutions SIEM sont conçues pour faciliter la gestion des alertes et des journaux. Le hic, c’est qu’elles dĂ©pendent fortement non seulement de l’humain, mais aussi de capacitĂ©s d’analyse et d’automatisation des processus mal intĂ©grĂ©es pour dĂ©tecter et rĂ©pondre aux incidents. Face Ă  des menaces toujours plus sophistiquĂ©es, nous devons repenser de maniĂšre radicale la maniĂšre dont nous protĂ©geons les organisations, notamment grĂące Ă  l’IA.

L’architecture du SOC moderne se doit de rĂ©pondre Ă  l’évolution des besoins des environnements IT d’aujourd’hui. Et cela passe par quatre impĂ©ratifs : flexibilitĂ©, scalabilitĂ©, adaptabilitĂ© et intĂ©grabilitĂ© Ă  un large Ă©ventail de solutions et technologies de sĂ©curitĂ©. En bref, voilĂ  ce que ce nouveau modĂšle devrait offrir :

  • Une intĂ©gration, une analyse et un tri des donnĂ©es Ă©largis et automatisĂ©s
  • Des workflows unifiĂ©s qui amĂ©liorent la productivitĂ© des analystes
  • Une Threat Intelligence intĂ©grĂ©e et une rĂ©ponse automatisĂ©e capables de bloquer les attaques avec un minimum d’intervention humaine

Le SOC moderne applique la data science Ă  d’énormes volumĂ©tries de donnĂ©es, en total contraste avec les SecOps d’ancienne gĂ©nĂ©ration qui reposaient sur l’humain et sur des rĂšgles totalement dĂ©passĂ©es face aux nouvelles menaces.

Les rouages de XSIAM

Palo Alto Networks travaille sans relĂąche pour pallier les faiblesses des solutions de sĂ©curitĂ© actuelles. Son mot d’ordre ? L’innovation continue, condition sine qua non pour garder un temps d’avance sur les attaquants. Et c’est dans cette optique que s’inscrit Cortex XSIAM, vĂ©ritable socle d’une architecture spĂ©cialement pensĂ©e pour l’IA.

En ce sens, cette solution de gestion Ă©tendue de l’automatisation et des informations de sĂ©curitĂ© marque un tournant dans la maniĂšre d’aborder la cybersĂ©curitĂ© : confier Ă  l’IA les domaines oĂč elle surclasse l’humain. L’ambition ici est de crĂ©er la plateforme de sĂ©curitĂ© autonome de demain, garante d’une dĂ©tection et rĂ©ponse en temps quasi rĂ©el et d’une sĂ©curitĂ© considĂ©rablement renforcĂ©e.

Figure 3 : Chez Palo Alto Networks, notre premier client, c’est nous

Cortex XSIAM unifie les fonctions essentielles du SOC (EDR, XDR, SOAR, CDR, ASM, UEBA, TIM et SIEM). FondĂ©e sur un modĂšle data axĂ© sur la sĂ©curitĂ© et sur une Threat Intelligence issue de dizaines de milliers de dĂ©ploiements clients Ă  travers le monde, cette solution fait appel au machine learning pour intĂ©grer des volumes colossaux de donnĂ©es de sĂ©curitĂ©. Elle automatise l’agrĂ©gation, l’analyse et le tri des alertes pour rĂ©pondre systĂ©matiquement Ă  la plupart des incidents, laissant aux analystes le soin de se consacrer Ă  ceux qui nĂ©cessitent une intervention humaine. Cortex XSIAM a dĂ©jĂ  dĂ©montrĂ© son efficacitĂ© dans le SOC interne de Palo Alto Networks, en rĂ©duisant plus d’un milliard d’évĂ©nements par mois en une poignĂ©e d’incidents soumis chaque jour Ă  l’examen d’un analyste.

Une nouvelle donne pour le SOC moderne

Cortex XSIAM exploite toute la puissance du machine learning et de l’automatisation pour renforcer la sĂ©curitĂ© et rĂ©inventer le modĂšle SecOps. Le SOC reprend ainsi totalement la main sur la sĂ©curitĂ© de l’entreprise, des terminaux jusqu’au cloud. XSIAM centralise les donnĂ©es et les fonctions de sĂ©curitĂ© pour garder une longueur d’avance sur les menaces, accĂ©lĂ©rer la rĂ©ponse et simplifier considĂ©rablement les missions des analystes et du SOC.

Figure 4 : Points forts de Cortex XSIAM : une plateforme tout-en-un

Aujourd’hui, les entreprises hybrides produisent beaucoup plus de donnĂ©es de sĂ©curitĂ© qu’il y a quelques annĂ©es. Pourtant, Ă  l’échelle du SOC, les donnĂ©es silotĂ©es, le manque de visibilitĂ© sur le cloud, les technologies vieillissantes et le manque d’automatisation crĂ©ent chaque jour de nouvelles failles dans lesquelles les attaquants n’hĂ©sitent pas Ă  s’engouffrer.

MĂȘme en recrutant de nouveaux analystes, il est impossible d’endiguer la vague. Quant Ă  l’ajout de nouveaux outils de sĂ©curitĂ©, il ne fait qu’accroĂźtre la complexitĂ© de l’architecture du SOC et la charge de travail des Ă©quipes d’ingĂ©nierie. Il est temps pour le SOC d’adopter un modĂšle de Threat Intelligence automatisĂ©, capable de bloquer les attaques des terminaux jusqu’au cloud, Ă  l’échelle de tout l’environnement d’entreprise et avec un minimum d’intervention des analystes et des ingĂ©nieurs du SOC.

Conçu pour le SOC d’aujourd’hui, Cortex XSIAM libĂšre toute la puissance du machine learning et de l’automatisation pour amĂ©liorer la sĂ©curitĂ© tout en rĂ©duisant considĂ©rablement les tĂąches SecOps manuelles. Fort de ce nouveau modĂšle, le SOC dĂ©laisse son approche rĂ©active au profit d’une dĂ©marche rĂ©solument proactive. GrĂące aux donnĂ©es triĂ©es par l’IA, les analystes peuvent se concentrer sur les comportements suspects et les anomalies.

Bref, en unifiant toutes les fonctionnalitĂ©s au sein d’une plateforme holistique orientĂ©e SecOps, Cortex XSIAM est appelĂ© Ă  supplanter les outils SIEM et autres produits spĂ©cialisĂ©s pour devenir le centre nĂ©vralgique des activitĂ©s du SOC. SpĂ©cialement pensĂ© pour la dĂ©tection et la rĂ©ponse aux menaces, Cortex XSIAM centralise, automatise et dĂ©multiplie vos capacitĂ©s SecOps pour protĂ©ger totalement l’entreprise hybride.

L’approche des SecOps axĂ©e sur l’humain s’est depuis longtemps heurtĂ©e Ă  un mur. Le SOC moderne doit donc se transformer en un systĂšme de sĂ©curitĂ© intelligent, pilotĂ© par des machines et dotĂ© d’un pouvoir humain, offrant une protection nettement meilleure Ă  une Ă©chelle et avec une efficacitĂ© sans prĂ©cĂ©dent.

Le principe

Plateforme SecOps centralisĂ©e, Cortex XSIAM offre les fonctionnalitĂ©s indispensables au SOC moderne : EDR, XDR, SOAR, gestion de la surface d’attaque (ASM), gestion de la Threat Intelligence (TIM), analyse du comportement des utilisateurs et des entitĂ©s (UEBA), SIEM, et bien d’autres encore. Bien loin des patchworks d’outils disparates, cette plateforme fusionne la Threat Intelligence et les fonctions de sĂ©curitĂ© pour offrir une expĂ©rience centrĂ©e sur les missions du SecOps. Son flux dĂ©taillĂ© de gestion des incidents minimise les tĂąches Ă  accomplir et les changements de contexte incessants, pour une rĂ©ponse rapide et prĂ©cise en cas d’attaque.

Si le modĂšle opĂ©rationnel de Cortex XSIAM reprĂ©sente un tel changement de paradigme, c’est parce qu’il utilise l’automatisation pour se dĂ©partir des processus manuels qu’imposent les produits de sĂ©curitĂ© actuels. De l’intĂ©gration des donnĂ©es jusqu’à la gestion des incidents, cette solution dĂ©leste les analystes et l’équipe SOC des tĂąches fastidieuses afin qu’ils se concentrent sur les missions critiques qu’eux seuls peuvent effectuer.

SOC : des contrĂŽles adaptĂ©s au cloud et Ă  l’entreprise hybride

Aujourd’hui, la plupart des Ă©quipes SOC doivent composer avec des donnĂ©es limitĂ©es et silotĂ©es, ainsi qu’avec une visibilitĂ© totalement inadaptĂ©e au caractĂšre dynamique des ressources cloud et Internet. Or ces derniĂšres sont impliquĂ©es dans plus d’un tiers des cas de compromission. Le problĂšme, c’est que les produits de sĂ©curitĂ© cloud, bien qu’efficaces, tendent Ă  opĂ©rer indĂ©pendamment et en dehors du SOC. Les Ă©quipes SOC sont alors incapables d’assurer un suivi centralisĂ© de la sĂ©curitĂ© de bout en bout et d’investiguer les multiples incidents concernant des assets cloud.

Pour pallier ces lacunes, Cortex XSIAM crĂ©e un socle data intelligent englobant toutes les sources de donnĂ©es de sĂ©curitĂ© de l’entreprise : des terminaux jusqu’aux flux cloud provenant des CSP, en passant par les workloads dynamiques et les solutions de sĂ©curitĂ© cloud. Ainsi, ce systĂšme collecte des donnĂ©es tĂ©lĂ©mĂ©triques, alertes et Ă©vĂ©nements en continu depuis toutes ces sources. Puis il les prĂ©pare et les enrichit automatiquement pour corrĂ©ler ces diffĂ©rents Ă©vĂ©nements en donnĂ©es CTI analysables par machine learning. Ces analyses avancĂ©es sont conçues Ă  la fois pour les sources spĂ©cifiques et pour une dĂ©tection comportementale sur l’ensemble de la kill chain.

RĂ©inventer l’architecture du SOC

Architecture de base de donnĂ©es vieillissante, gestion complexe, Ă©volutivitĂ© limitĂ©e
 les faiblesses intrinsĂšques des solutions SIEM ont contraint d’innover sur des outils connexes pour pallier ces lacunes. RĂ©sultat : l’architecture du SOC s’apparente Ă  un vĂ©ritable dĂ©dale de pipelines de donnĂ©es et d’intĂ©grations produits particuliĂšrement difficiles Ă  gĂ©rer.

En rĂ©ponse, Cortex XSIAM consolide les diffĂ©rents outils, puis scalabilise, centralise et automatise la collecte de donnĂ©es, avec Ă  la clĂ© une simplification de l’infrastructure du SOC et une nette rĂ©duction des coĂ»ts opĂ©rationnels et d’ingĂ©nierie.

SynthĂšse : renforcez l’efficacitĂ© de vos analystes Ă  l’aide d’une CTI pilotĂ©e par ML

Pour transformer le SOC, les Ă©quipes de sĂ©curitĂ© doivent exploiter tout le potentiel du machine learning en appui et en renfort de leurs moyens humains. L’IA et les outils d’analyse avancĂ©e peuvent considĂ©rablement accĂ©lĂ©rer le traitement d’énormes volumes de donnĂ©es dans l’entreprise, avec Ă  la clĂ© des Ă©clairages inestimables sur les Ă©vĂ©nements de sĂ©curitĂ©. Sous-discipline de l’IA, le machine learning exploite les donnĂ©es d’entraĂźnement d’un environnement client pour permettre aux ordinateurs d’apprendre et d’affiner leurs connaissances sur l’environnement en question, et ainsi amĂ©liorer les tĂąches rĂ©alisĂ©es.

En automatisant la dĂ©tection d’anomalies Ă  travers de multiples sources de donnĂ©es et en ajoutant systĂ©matiquement du contexte aux alertes, le machine learning tient aujourd’hui ses promesses d’accĂ©lĂ©ration des investigations et d’élimination des angles morts dans l’entreprise.

À condition cependant d’utiliser des donnĂ©es de sĂ©curitĂ© fiables pour entraĂźner les modĂšles ML Ă  dĂ©tecter des patterns spĂ©cifiques dans les schĂ©mas de donnĂ©es, puis tester et optimiser les processus. Les techniques ML permettent de collecter, d’intĂ©grer, d’analyser et d’interroger les donnĂ©es, rĂ©duisant considĂ©rablement le temps et les connaissances nĂ©cessaires Ă  l’humain pour exĂ©cuter ces tĂąches. Le ML facilite Ă©galement la vie des Ă©quipes SOC en les libĂ©rant de la recherche de preuves et d’informations contextuelles dans les donnĂ©es gĂ©nĂ©rĂ©es par de multiples couches de sĂ©curitĂ©.

Les techniques de ML supervisĂ© peuvent servir Ă  identifier diffĂ©rents types d’équipements grĂące Ă  leurs marqueurs numĂ©riques (ordinateurs fixes, serveurs de messagerie, serveurs de fichiers, etc.), puis Ă  profiler leurs comportements spĂ©cifiques et Ă  dĂ©tecter les Ă©ventuelles anomalies. La promesse du machine learning rĂ©side dans sa capacitĂ© Ă  Ă©tablir des liens de causalitĂ© sur ce qui se passe dans un environnement et Ă  permettre au logiciel de dĂ©terminer les prochaines Ă©tapes, sans dĂ©pendre de l’intervention humaine. Par exemple, il est possible de signaler des activitĂ©s comme « malveillantes » sur la base de comportements et d’interactions au sein d’ensembles de donnĂ©es joints, puis de diffuser une dĂ©cision au reste du rĂ©seau avec des instructions explicites (mise en quarantaine, blocage des communications, etc.).

Les apports du ML dans XSIAM :

  • Analyse comportementale – À l’aide d’algorithmes IA et ML, XSIAM passe au crible les comportements des terminaux et repĂšre les signes symptomatiques de la prĂ©sence d’une menace.
  • Threat Intelligence – La plateforme s’appuie sur des algorithmes ML pour analyser d’importants volumes de donnĂ©es CTI et y dĂ©tecter des patterns et tendances rĂ©vĂ©lateurs de menaces Ă©mergentes.
  • RĂ©ponse automatisĂ©e – L’automatisation pilotĂ©e par IA permet Ă  Cortex XSIAM de rĂ©pondre aux menaces en temps rĂ©el, sans aucune intervention humaine.
  • Analyses prĂ©dictives – À la lumiĂšre des donnĂ©es historiques examinĂ©es grĂące aux algorithmes ML, la plateforme peut prĂ©dire les menaces et ainsi aider les organisations Ă  parer aux futures attaques.
  • L’apprentissage continu – Les algorithmes ML de Cortex XSIAM se nourrissent de nouvelles donnĂ©es pour apprendre et ajuster leurs modĂšles en continu. En consĂ©quence, la plateforme gagne en prĂ©cision et en efficacitĂ© au fil du temps.

Une solution pensée pour la détection et réponse à incident

Cortex XSIAM propose une automatisation inĂ©dite du flux de gestion des incidents, vĂ©ritable atout dans sa mission premiĂšre de dĂ©tection et de rĂ©ponse aux menaces. Ses analyses produisent des donnĂ©es CTI basĂ©es sur les techniques des attaquants, regroupant ainsi diffĂ©rentes alertes au sein d’un mĂȘme incident, en contexte et avec des donnĂ©es enrichies. L’automatisation intĂ©grĂ©e et les playbooks inline prennent ensuite le relais pour agir sur la base des rĂ©sultats d’analyse, avec pour objectif de traiter intĂ©gralement et de clore un maximum d’alertes et d’incidents sans intervention humaine.

Figure 5 : Console de gestion des incidents, cÎté analystes

La console de gestion des incidents fournit aux analystes un rĂ©sumĂ© complet des actions exĂ©cutĂ©es automatiquement, des rĂ©sultats obtenus et des suggestions sur les mesures Ă  prendre. Lorsque des investigations plus poussĂ©es ou des actions complĂ©mentaires s’imposent, les analystes disposent alors d’une chronologie dĂ©taillĂ©e de l’incident et d’un vaste pool de donnĂ©es CTI provenant des diffĂ©rentes analyses et fonctionnalitĂ©s de XSIAM. Ils peuvent s’appuyer sur des playbooks inline pour les actions de remĂ©diation et de rĂ©ponse. Sur les terminaux managĂ©s, Cortex XSIAM offre des options de rĂ©ponses en un clic, ainsi qu’un accĂšs Ă  Live Terminal et Ă  des outils d’analyse forensique.

Figure 6 : Contextualisation approfondie des incidents (alignement sur le framework MITRE ATT&CK, alertes associées, statut des playbooks, sources des alertes et artefacts)

Avantages uniques de Cortex XSIAM

En offrant une plateforme SOC complĂšte, Cortex XSIAM rebat les cartes de l’ancien modĂšle opĂ©rationnel SOC fondĂ© sur l’intervention humaine et une multitude d’outils. La majoritĂ© des organisations recourant Ă  ce modĂšle datĂ© se heurtent toutes aux mĂȘmes difficultĂ©s de gestion de leur sĂ©curitĂ©. CrĂ©Ă© par des professionnels de sĂ©curitĂ© qui ont eux-mĂȘmes Ă©tĂ© confrontĂ©s Ă  ce casse-tĂȘte, Cortex XSIAM s’est Ă©galement inspirĂ© des problĂ©matiques de sĂ©curitĂ© des clients de Palo Alto Networks.

Figure 7 : Centralisez, automatisez et scalabilisez vos SecOps pour protéger votre organisation

Principales fonctionnalités
Intégration des données
IntĂ©gration, suivi, reporting
 l’architecture cloud simplifie tout le processus. Ses atouts : des centaines de packs de donnĂ©es prĂ©intĂ©grĂ©s, des connecteurs standard et une configuration facile et automatisĂ©e. 		Gestion des renseignements sur les menaces
GĂ©rez les flux CTI provenant de tiers et de Palo Alto Networks pour ensuite les mapper automatiquement aux alertes et aux incidents.
Base de données intelligente
Collectez des donnĂ©es tĂ©lĂ©mĂ©triques, alertes et Ă©vĂ©nements en continu depuis n’importe quelle source ; enrichissez-les automatiquement et structurez-les selon un modĂšle de donnĂ©es unifiĂ© ; et consolidez ces diffĂ©rents Ă©vĂ©nements en donnĂ©es CTI analysables par machine learning. 		Protection et Threat Intelligence sur les terminaux
Consolidez vos investissements SIEM et EPP/EDR au sein d’une solution unique et intĂ©grĂ©e, dotĂ©e d’un back-end d’analyse cloud et des donnĂ©es des agents sur les terminaux. Ses missions : prĂ©vention des menaces sur les terminaux, rĂ©ponse automatique, et analyse tĂ©lĂ©mĂ©trique approfondie pour tout type d’investigation.
Analyse de détection des menaces
Appliquez des mĂ©thodes d’analyse des techniques d’attaque et des modĂšles de dĂ©tection basĂ©e sur les comportements pour l’ensemble des donnĂ©es collectĂ©es. 		VisibilitĂ© et gestion de la surface d’attaque
Visualisez l’inventaire de vos assets dans sa globalitĂ©, y compris les terminaux internes ; recevez des alertes sur les vulnĂ©rabilitĂ©s des ressources connectĂ©es Ă  Internet et prenez les mesures nĂ©cessaires grĂące Ă  des fonctionnalitĂ©s ASM intĂ©grĂ©es.
RĂ©ponse et investigation automatiques
Exécutez automatiquement de nombreuses tùches. Pour les actions exigeant une intervention humaine, dotez vos analystes des données CTI et des conseils nécessaires pour les mener à bien grùce à des fonctions automatisées et des playbooks inline intelligents. 		Analyse du comportement des utilisateurs et des entités
Utilisez le machine learning et l’analyse comportementale pour profiler les utilisateurs et entitĂ©s, puis dĂ©tecter les comportements symptomatiques d’une compromission de compte ou d’activitĂ©s malveillantes en interne.
Playbooks et orchestration
CrĂ©ez et orchestrez vos playbooks Ă  l’aide d’un solide module d’orchestration, d’automatisation et de rĂ©ponse aux incidents de sĂ©curitĂ© (SOAR) et d’une 		Analyse du rĂ©seau et du cloud
À l’aide d’analyses spĂ©cialisĂ©es, passez au crible vos donnĂ©es rĂ©seau et cloud (Ă©vĂ©nements de pare-feu, journaux et alertes des CSP, etc.) pour y dĂ©tecter d’éventuelles anomalies et dĂ©clencher l’alerte.
Cortex Exposure Management
RĂ©duisez jusqu’à 99 % le bruit liĂ© aux vulnĂ©rabilitĂ©s grĂące Ă  une priorisation pilotĂ©e par IA et une remĂ©diation automatisĂ©e. GĂ©rez l’environnement cloud et d’entreprise simultanĂ©ment avec Cortex Exposure Management. 		Cortex Email Security
Étendez les capacitĂ©s de dĂ©tection et de rĂ©ponse pilotĂ©es par IA les plus performantes du secteur pour stopper les menaces par e-mail les plus sophistiquĂ©es.
Gestion, rapports et conformité
Les fonctions de gestion centralisĂ©es contribuent Ă  simplifier les opĂ©rations. Les puissantes fonctions graphiques facilitent le reporting sur tous les fronts : conformitĂ©, ingestion de donnĂ©es, tendances en matiĂšre d’incidents, mĂ©triques de performance du SOC, etc.

XSIAM 3.0 : un pont entre la sécurité proactive et la sécurité réactive

La derniĂšre Ă©volution de Cortex XSIAM franchit une Ă©tape rĂ©volutionnaire en unifiant la rĂ©ponse rĂ©active aux incidents et la gestion proactive de la posture de sĂ©curitĂ©. XSIAM 3.0 Ă©tend ses capacitĂ©s pour rĂ©pondre Ă  deux des domaines de risque les plus critiques auxquels les entreprises sont confrontĂ©es aujourd’hui :

Cortex Exposure Management

RĂ©duisez jusqu’à 99 % le bruit liĂ© aux vulnĂ©rabilitĂ©s grĂące Ă  une priorisation pilotĂ©e par IA et une remĂ©diation automatisĂ©e. GĂ©rez l’environnement cloud et d’entreprise simultanĂ©ment. Cette approche rĂ©volutionnaire de la gestion des vulnĂ©rabilitĂ©s se concentre sur les vulnĂ©rabilitĂ©s sujettes Ă  des exploits actifs pour lesquels aucun contrĂŽle compensatoire n’existe, ce qui vous permet de prioriser les 0,01 % de menaces les plus critiques.

Avec Cortex Exposure Management, vous pouvez :

  • RĂ©duire de 99 % le bruit liĂ© aux vulnĂ©rabilitĂ©s dans l’entreprise et le cloud en priorisant celles qui comportent des exploits armĂ©s et ne disposent d’aucune mesure compensatoire
  • AccĂ©lĂ©rer la remĂ©diation avec une automatisation de pointe grĂące Ă  des rĂ©sumĂ©s en langage clair gĂ©nĂ©rĂ©s par l’IA et Ă  l’automatisation native des playbooks
  • Boucler la boucle pour prĂ©venir de futures attaques en crĂ©ant sans effort des protections contre les risques critiques, directement au sein des plateformes de sĂ©curitĂ© de pointe de Palo Alto Networks

Cortex Email Security

Neutralisez les menaces par e-mail et autres tentatives d’hameçonnage avancĂ© grĂące Ă  la fusion d’analyses pilotĂ©es par LLM et de fonctionnalitĂ©s de dĂ©tection et de rĂ©ponse leaders sur le marchĂ©. Alors que l’e-mail demeure l’outil de communication principal – avec un nombre d’utilisateurs prĂ©vu Ă  5 milliards d’ici 2030 – et reprĂ©sente un quart de tous les incidents de sĂ©curitĂ©, cette fonctionnalitĂ© offre :

  • DĂ©tection des comportements d’attaquants liĂ©s Ă  l’identitĂ© et protection avancĂ©e contre l’hameçonnage grĂące Ă  des analyses basĂ©es sur des modĂšles de langage (LLM) qui apprennent en continu des menaces Ă©mergentes
  • Suppression automatique des e-mails malveillants, dĂ©sactivation des comptes compromis et isolement des terminaux affectĂ©s en temps rĂ©el
  • CorrĂ©lation des donnĂ©es issues des e-mails, des identitĂ©s, des terminaux et du cloud pour une visibilitĂ© inĂ©galĂ©e sur l’ensemble de la chaĂźne d’attaque, permettant une rĂ©ponse aux incidents plus efficace

En rĂ©unissant ces nouvelles capacitĂ©s dans une plateforme unique alliant donnĂ©es, IA et automatisation, dĂ©jĂ  adoptĂ©e par les SOC les plus exigeants Ă  travers le monde, XSIAM 3.0 transforme les opĂ©rations de sĂ©curitĂ©, passant d’une rĂ©ponse rĂ©active aux incidents Ă  une cyberdĂ©fense proactive, capable de faire face Ă  toutes les menaces actuelles et futures.

Des services XSIAM à vos cÎtés

Libérez tout le potentiel de XSIAM avec Global Customer Services

Expertise technique, services professionnels, processus opĂ©rationnels
 nos experts en cybersĂ©curitĂ© vous accompagnent dans l’optimisation de vos dĂ©ploiements pour maximiser le retour sur vos investissements en sĂ©curitĂ©.

Figure 8 : Global Customer Services propose tout un Ă©ventail de services pour XSIAM

Les services de dĂ©ploiement XSIAM favorisent l’adoption des fonctionnalitĂ©s de la solution et accĂ©lĂšrent sa rentabilisation.

Principaux avantages :

  • Protection accĂ©lĂ©rĂ©e contre les menaces sophistiquĂ©es sur l’ensemble des points de contrĂŽle ; optimisation des politiques de sĂ©curitĂ© des terminaux ; crĂ©ation de corrĂ©lations ; bonnes pratiques SecOps, mĂ©thodologie de gestion des incidents ; et crĂ©ation de playbooks
  • RĂ©duction des risques de dĂ©ploiement grĂące aux bonnes pratiques et aux conseils de nos experts
  • Transfert de connaissances pour maintenir l’efficacitĂ© des opĂ©rations, de l’administration et de la gestion de Cortex XSIAM post-dĂ©ploiement
  • Plus de rapiditĂ©, plus de performances, plus de sĂ©curitĂ©

Les services de transformation du SOC offrent aux organisations un framework pour créer et améliorer leur SOC, avec à la clé une réponse à incident rapide et efficace, et des processus automatisés en toute simplicité.

Principaux avantages :

  • Élaboration d’une stratĂ©gie pour opĂ©rationnaliser les plateformes Cortex dans votre environnement
  • Mise en place de processus et procĂ©dures modulaires pour augmenter les possibilitĂ©s d’automatisation
  • Illustration des rĂ©sultats SecOps obtenus Ă  l’aide de mĂ©triques solides et de modĂšles de reporting
  • Accompagnement des analystes pour une utilisation efficace de la solution
  • CrĂ©ation de fonctionnalitĂ©s SOC avancĂ©es en matiĂšre de threat hunting et CTI grĂące Ă  la plateforme Cortex

Le service Premium Customer Success vous offre un accompagnement en continu, un alignement opérationnel transparent et un support technique Premium.

Principaux avantages :

  • AccĂšs Ă  nos experts Customer Success et Ă  leurs conseils stratĂ©giques tout au long du cycle de vie de votre investissement Cortex XSIAM
  • Élaboration d’une stratĂ©gie personnalisĂ©e, garante d’un retour sur investissement (ROI) optimal
  • Assistance technique 24 h/7 j pour rĂ©pondre Ă  toutes vos questions et vos difficultĂ©s
  • Support digital et ressources disponibles H24

Pour plus d’informations sur ces services, contactez l’équipe commerciale de Palo Alto Networks Professional Services.

ComplĂ©ments d’information sur XSIAM :
Consultez la page produit XSIAM
Qu’est-ce que XSIAM ?
Demandez une démo personnalisée de XSIAM
Visionnez notre vidéo XSIAM en action (15 minutes)
Les vrais résultats de vrais clients Cortex XSIAM

Recevez toutes les derniÚres infos, invitations à des évÚnements et alertes de sécurité