Cortex XDR Forensics

优势 如果能更快地对事件做出响应，就能更快地将业务恢复到正轨。Cortex XDR®Forensics可以收集所有您需要的证物，并在直观的取证控制台上显示这些证物，从而简化分类和取证分析工作。由事件响应者为事件响应者贴心设计，简化了调查方式，因此，您可以跟踪攻击者的每个动作，一站式快速实现威胁控制，无需在多个安全工具之间来回切换。 •在事件发生后深度挖掘证据。•在基于云的数据湖中将数据存储最多一年。•分析离线和隔离端点的踪迹。•使用一个代理实现端点安全和取证，减少对端点的影响。•无需进行复杂的查询，直接访问所有关键踪迹即可加速响应。 简化的数据收集和分析 Cortex XDR Forensics是一款强大的分类和调查解决方案，可以让事件响应人员在一个控制台中审核证据、追踪威胁并执行危害评估。作为行业首款扩展检测和响应平台Cortex XDR的附加组件，Cortex XDR Forensics可以帮助您实时访问大量证物，同时持续监控端点的恶意活动。凭借其深度的数据收集，Cortex XDR Forensics可以帮助您的团队确定攻击的来源和范围，以及哪些数据（如果有）受到了访问。作为一款端到端解决方案，它可以在事件响应的各个步骤中给予您帮助：数据收集、分析、威胁搜寻和补救。 只需指尖轻轻一触，所有数据尽在掌握 CortexXDRForensics可助您查看事件日志、注册表键、浏览器历史记录等关键工件，以便快速确定攻击者的活动。您可以查看主机时间线，并通过选择时间线中的任意行来查看每个条目的完整调查详细信息。即使文件已移除，您也可以通过查看程序执行痕迹来识别恶意软件残余。Cortex XDR Forensics可收集详细的系统信息，包括所有已连接驱动器的完整文件列表（甚至是已删除的条目），以便全面了解您的端点。 您的分析师可以深入研究单个端点，或通过Forensics工作台在所有端点中搜索踪迹。对于高级检测工作，您可以使用XQL搜索功能在所有数据中进行查询，包括端点、网络、云和身份数据。 经过验证的检测和响应以及NGAV Cortex XDR Forensics与Cortex XDR全面集成，简化了部署和管理。现有的Cortex XDR客户只需激活许可证即可使用行业最先进的取证解决方案。Cortex XDR代理不仅可以收集丰富的取证数据，还可持续记录事件以进行检测和响应，使用新一代防病毒(NGAV)软件拦截端点攻击，并通过主机防火墙、设备控制和磁盘加密减少端点攻击面。 Cortex XDR在MITRE ATT&CK第4轮评估中荣获最高综合保护和检测评分，并在AV-Comparatives端点防护和响应测试中取得最高安全分数，因此，请放心，您将获得Cortex XDR提供的最佳端点安全服务。 通过云交付实现快速部署 通过云原生Cortex XDR解决方案，您可以在数分钟内快速上手，无需部署本地日志收集器。您可以在所有主流操作系统上安装Cortex XDR代理，无需重启端点，并且可以轻松在可扩展的基于云的数据湖中存储取证数据。 通过单一平台即可实现分析和响应 Cortex XDR Forensics将检测、响应和取证统一到单一平台，让您告别“转椅综合征”。您可以在Cortex XDR中查看取证证据、端点事件、从防火墙收集的网络数据、身份验证事件等内容。与孤立的取证工具不同，您的分析师可以从一个位置监控活动和验证威胁，甚至包括未托管的端点和物联网设备。 当您的团队确认威胁后，就可以通过协同响应来快速控制威胁。您的分析师可以通过Cortex XDR阻止恶意软件的传播、限制进出设备的网络活动，或者使用搜索和销毁功能实时扫描所有端点。强大的实时终端功能让分析师可以通过直接访问端点并运行Python、PowerShell、系统命令和脚本以及管理端点文件和进程来拦截攻击，而不会干扰最终用户。 事件发生后的数据收集 没有端点代理？没问题。就像犯罪现场勘察时用粉末显现法提取指纹一样，Cortex XDR Forensics可以帮助您在事件发生后从端点收集全面的数据。作为取证调查的一部分，只需安装Cortex XDR代理，该代理即可从端点收集丰富的详细信息，包括追溯到事件发生前数周或数月的信息。 离线或隔离端点分析 当您怀疑端点遭到入侵时，第一步是将端点与网络隔离开来。但是，您仍然需要验证可疑活动，检查哪些文件受到访问，以及完全消除所有威胁痕迹。通过Cortex XDR Forensics，您可以下载完整的端点取证快照，然后将其上传至Cortex XDR进行分析。然后，您可以在Cortex XDR控制台检查此数据和来自其他端点的数据。 内存收集 内存分析可以提供基于磁盘的取证无法提供的洞察数据。想要分析内存中的恶意软件模块或通过正在运行的控制台提取命令记录吗？通过受影响的主机收集内存可以让您深入了解攻击者的活动，让调查人员能够访问可能永远不会写入磁盘的易变工件。 Cortex XDR Forensics支持通过Windows系统收集内存映像，既可以通过操作中心从在线主机中收集，也可以通过离线分类收集工具从离线主机中收集。内存映像以与所有主要内存分析工具兼容的原始格式捕获。 标签 在进行调查时，您需要一种方法来记录发现并与其他调查者交流。借助Cortex XDR Forensics中的所有证据表，您可以使用三个预定义的标签（恶意、可疑或合法）来标记特定行，并定义您自己的标签来描述事件重要性。行支持一个或多个标签，可选的MITREATT&CK战术和技术名称以及注释字段，用于与其他调查人员就您的发现展开沟通交流。 在调查过程中，无需手动将各个时间戳或文件路径复制到电子表格中。标记完与调查相关的所有数据后，您就可以使用标记的项目表将结果导出到单个报告中。只关注恶意软件或被访问的文件？导出功能为过滤器感知，这允许您导出选择的任意标签子集。 深受Unit 42事件响应的信赖 PaloAltoNetworksUnit42是一个全球公认的威胁情报和安全咨询机构，可以帮助您快速响应并彻底遏制威胁，让您能够快速恢复正常经营。Unit42咨询顾问依靠CortexXDR为调查、法庭案件和监管报告收集数字证据。您可以使用Unit 42专家使用的取证工具。 除了取证模块收集的数据之外，Cortex XDR还会收集其他详细信息，用于检测和响应。凭借其从任何来源提取数据的能力，Cortex XDR可以让您全面了解取证分析。 了解更多 您想看看Cortex XDR Forensics的实际运用吗？您可以立即安排演示或报名实践研讨会。