隆重推出 Cortex Copilot

使用Cortex Copilot（终极安全运营助手）更智能地确保安全 安全运营（SecOps）团队的任务是保护不断变化的数字环境。威胁环境的动态性加上有限的资源，给始终需要领先攻击者一步的安全运营团队带来了许多挑战。这些挑战包括调查时间长、新技术的学习曲线陡峭以及猎杀威胁所需的高级技能。 SecOps团队面临的挑战 调查耗时过长 调查和全面应对事件所需的时间在很大程度上取决于安全分析师的技能水平。即使事件详细信息可以在一个地方获得，分析人员仍然需要确定要调查哪些事件，解释所提供的信息，然后确定适当的响应行动。这可能会让人不知所措，尤其是对于新分析师来说，而且会大大延长全面了解事件细节和影响所需的时间。即使是经验丰富的分析师，传统的调查技术也要求他们从许多地方收集细节并进行人工分析。 陡峭的学习曲线 功能齐全的安全产品往往会给安全团队带来陡峭的学习曲线，尤其是当新的分析师加入时。这可能会阻碍产品的有效实施和使用，延迟充分发挥高级安全功能的能力。这也会影响入职流程，延缓调查时间，并最终影响组织的整体安全态势。 威胁猎捕需要高超技能 有效猎取威胁所需的熟练程度高得不成比例，这限制了只有最熟练、最有经验的分析师才能进行主动威胁检测。威胁猎取通常需要深入了解威胁行为者的TTP，并依赖于分析师制作自定义查询、执行取证分析和充分了解其安全工具功能的能力。这就提高了安全分析人员的技术门槛，最终阻碍了企业在环境中的高级威胁演变成更严重的问题之前主动识别它们的能力。 隆重推出Cortex XSIAM 在SecOps中，分析人员需要利用一切可以利用的优势，保持领先攻击者一步。Cortex®Copilot是一款先进的SecOps助手，可帮助安全分析师完成日常工作的每一步。无论是新用户还是高级用户，Cortex Copilot都能为分析人员提供背景信息和逐步指导，帮助他们更快地行动，更快地解决事件，并领先于新出现的威胁。 Cortex Copilot可直接在Cortex平台上使用，它使用自然语言和用户友好界面来简化和加快分析人员收集信息和采取安全行动的过程。该解决方案由Cortex平台的高级安全功能和Palo Alto NetworksPrecision AI™技术提供支持，后者应用机器学习技术帮助分析师以机器速度进行安全操作。通过自然语言交互，分析人员无需点击单独的列表，也无需在仪表盘之间切换，只需在需要时提供所需的信息。从理解产品文档等普通活动到威胁响应或狩猎等高级任务，Cortex Copilot可帮助分析人员更快地学习，更快地行动。 优势显而易见 加快调查速度 分析人员可以从平台的任何位置快速访问Cortex Copilot，查看新事件，调查受影响的系统和用户，并识别入侵迹象，而无需在不同视图之间进行导航。它通过威胁情报自动丰富事件细节，并建议采取隔离系统或销毁恶意文件等应对措施，从而缩短平均解决时间（MTTR）。 作为调查的一部分，分析人员可能希望查看系统上运行的所有进程。一般来说，这需要他们通过终端连接到系统，运行几个命令，或设计一个特定的查询来收集这些详细信息。但Cortex Copilot却能轻松做到这一点。只需点击一下，Cortex Copilot就会自动创建查询，并返回主机上运行进程的结果。 优化分析师工作流程 Cortex Copilot通过提供上下文信息和操作，优化分析师对平台功能的使用，从而提高分析师的工作效率。分析人员无需翻阅支持文档，即可从帮助中心快速获取汇总信息，从而压缩了学习曲线，使新分析人员能够专注于复杂的调查，将时间明智地用在需要人工干预的威胁上。 在这个例子中，分析师在查看因果关系链时遇到了"CGO"一词，但对其并不熟悉。分析员问Cortex Copilot这个词是什么意思。如果分析员想了解更多信息，Cortex Copilot会从Cortex帮助中心提供解释和其他参考资料。 威胁猎杀民主化 Cortex Copilot简化了跨数据源的搜索，并根据搜索结果指导分析人员采取狩猎行动，从而使不同技能水平的分析人员都能进行全面的威胁检测。它将分析师的输入整合到产品操作中，允许执行各种操作，如执行查询（例如，查找在主机上执行的唯一哈希值）、检查因果关系链、查看包含威胁情报的资产提取指标，以及改进安全保护，从而使分析师能够发现高级威胁并提高安全效率。 作为威胁猎取过程的一部分，威胁猎取者可能希望查看是否有多个用户试图登录同一台机器。Cortex Copilot会建议使用XQL查询来提供这些信息。要查看结果，威胁猎手可以直接在Cortex Copilot中运行此查询。 调查、回应和导航 副驾驶提示示例 Cortex Copilot是一款以SecOps活动为中心构建和培训的网络安全工具，它将信息和行动分为"调查"、"响应"和"导航"三个类别。这有助于指导分析人员完成有效安全操作的各个阶段，加快调查和响应速度。Cortex Copilot可自动检测输入元素，并针对每项输入提供符合上下文的结果。Cortex Copilot会不断学习，每提供一个回复都会征求反馈意见，并根据收到的反馈意见改进结果。此外，它还推荐了可定制的操作手册，旨在帮助分析师迅速、准确地调查和修复安全事件，最终降低总体MTTR。 调查 •显示多个用户无法从同一台机器登录。•显示每台主机运行的唯一进程。•显示特定哈希值触发的所有警报。 响应 •添加为IoC。•扫描恶意软件•隔离端点。 响应用例的过程 导航 以下是使用Cortex Copilot可以做的一些事情（见表1）。 •如何摄取AWS CloudTrail日志？•端点>主机防火墙。•资产>云库存。•网络配置>内部IP地址范围。 摘要 Cortex Copilot基于世界上最大的网络安全数据集之一，专为安全运营活动而设计，其独特的定位可引导分析师完成有效安全运营的各个阶段，从而更快地解决事件。Cortex Copilot可从海量数据中获取洞察力，并将信息整理为可操作的类别，不仅能提高安全效率，还能使威胁捕猎过程民主化。随着网络威胁的不断演变，拥有像Cortex Copilot这样的工具可以让一切变得不同。这不仅是为了跟上时代，更是为了保持领先。选择Cortex Copilot，改变您的组织处理网络安全的方式。 以更聪明的方式而非更困难的方式确保安全。 3000 Tannery WaySanta Clara, CA 95054总机：+1.408.753.4000销售部门：+1.866.320.4788支持部门：+1.866.898.9087www.paloaltonetworks.com