Cortex XDR Palo Alto

tecnozero / Palo Alto Networks / Cortex XDR

¿Qué es Cortex Palo Alto?

Cortex XDR de Palo Alto Networks es una plataforma integral de seguridad en la nube que ofrece una amplia gama de soluciones de seguridad para proteger las redes empresariales contra una variedad de amenazas informáticas.

La plataforma Cortex utiliza inteligencia artificial y aprendizaje automático para proporcionar una protección avanzada y automatizada contra amenazas en tiempo real. Incluye una variedad de productos, como:

• Cortex XDR: que permite una detección y respuesta de amenazas extendida a través de múltiples capas de la infraestructura de IT
• Cortex Data Lake: recopila y analiza los datos de seguridad de toda la empresa.
• Cortex Analytics: utiliza el aprendizaje automático para identificar y prevenir amenazas.

Cortex XDR es una plataforma de seguridad de última generación.
Utiliza tecnología avanzada para proteger la infraestructura empresarial contra las amenazas en constante evolución.

Con Cortex Paloalto, las organizaciones pueden tener la tranquilidad de saber que su red está protegida.

Rompe los silos de seguridad para las tareas de detección y respuesta.

En las empresas, los equipos de seguridad tienen que tratar con una cantidad siempre creciente de nuevas amenazas, que puede resultar abrumadora. Desde los ataques de ransomware, el espionaje industrial, ataques sin archivo y brechas que producen la fuga de datos de las redes de las compañías.

Sin embargo, para muchos profesionales de la seguridad este no es el verdadero problema. Aparte de lidiar con innumnerables amenazas existentes y otras nuevas que se suman cada día, deben hacer frente a una cantidad de información ingestionable.

Gran parte del tiempo se malgasta en localizar lo que realmente está sucediendo en los sistemas y que es importante y se pierde por el «ruido informativo». Las alertas que están afectando a la seguridad de los sistemas se tapan por cientos de alertas informativas poco importantes.

Así pues, podemos definir dos de los grandes retos actuales en materia de ciberseguridad para los profesionales de la materia:

• La gran cantidad de información que generan las distintas soluciones de seguridad.
• Lo complejo que puede resultar llevar a cabo un análisis de los datos para determinar que es lo que sucede en la red o como se produjo un ataque.

Incluso los Centros de Operaciones de Seguridad (SOC por sus siglas en inglés) se encuentran con dificultades para gestionar la información de forma eficiente y analizarla para detectar amenazas.

El malware, al igual que los ataques dirigidos e internos, no hacen más que aumentar. Una herramienta como Cortex XDR puede ser su arma secreta para eliminar las amenazas y simplificar las operaciones.

El exceso de información de las herramientas de seguridad.

Los ciberdelincuentes pueden lanzar ataques de forma continuada hasta que alguno tenga éxito. Esto, provoca que las herramientas de monitorización y análisis, generen constantemente eventos de seguridad.

Además, para reducir las posibilidades de intrusión, se suelen implementar varias capas de seguridad. Sin embargo, estas herramientas generan una cantidad aun mayor de alertas.

Se estima que se producen un promedio de 11.000 alertas semanales en una empresa.

Seguir este tipo de incidencias por parte del personal técnico de la empresa se vuelve realmente complicado. Implica dedicar un tiempo diario a su análisis e investigación. Y es precisamente el tiempo uno de los recursos más escasos en los Departamentos de IT. El número de tareas a desempeñar suele crecer exponencialmente.

Además, los incidentes de seguridad provocan situaciones críticas que deben atenderse con total prioridad. Esto provoca que los datos de nuevos incidentes, aun cuando se reciben, ni siquiera llegan a investigarse.

Los responsables de seguridad se encuentran sobrepasados por la gran cantidad de alertas incompletas e imprecisas.
El 53 % de los equipos de seguridad ni siquiera logran revisar la mitad de las alertas que reciben.

Esta situación expone la seguridad de la empresa y se incrementa la posibilidad de sufrir un ataque que acabe en una brecha de datos.

Mucha información y además dispersa.

Las empresas toman cada vez más conciencia de la importancia de proteger sus datos. Los ataques a los distintos sistemas se incrementan constantemente y usando técnicas cada vez más sofisticadas. Es por eso que las compañías de todos los tamaños, implementan soluciones de seguridad para proteger sus entornos.

Existen infinidad de herramientas de seguridad independientes que proporcionan información:

• Sobre los endpoint (EDR).
• Detección y respuesta en la red (NDR)
• Análisis de comportamiento de usuarios (UBU).

Sin embargo, estas utilidades brindan únicamente información parcial de la seguridad de la empresa. Generan alertas e información dentro de su ámbito de actuación. Los datos además, deben ser interpretados por personal técnico altamente cualificado y con gran experiencia.

Con frecuencia, las herramientas muestran incompatibilidades o directamente solapan parte de sus funciones. Se produce un exceso de información no relacionada entre sí. También, hay que tener en cuenta que afecta al rendimiento de los sistemas de la empresa. En muchas ocasiones, cuentan con herramientas independientes que realizan parte de las funciones que desempeñan otras utilidades.

Es probable que las organizaciones que no implementen sistemas de detección y respuesta pasen por alto las amenazas más sigilosas. Por ejemplo, el malware evasivo, el personal interno malintencionado o los ataques dirigidos.

Los ataques avanzados no suelen utilizar los indicadores de riesgo (IOC) tradicionales, como las firmas de ataque o los dominios maliciosos. La única forma de detectar estas amenazas es examinar la actividad y no solo las alertas, con el paso del tiempo. Además, es necesario consultar, simultáneamente, distintas fuentes de datos. Usando el análisis y el aprendizaje automático y una correcta correlación de la información.

Los atacantes logran permanecer más tiempo.

Detectar los ataques a la empresa tan solo representa el 50% del trabajo

Los analistas tienen que investigar las alertas y valorar el quién, qué, cuándo, por qué y cómo, para decidir qué medidas tomar.

Por desgracia, muchas de las herramientas de seguridad actuales solo muestran alertas de alto nivel. Además, proporcionan escasa información sobre los usuarios, endpoints, redes, aplicaciones e inteligencia sobre amenazas. Estas alertas no suelen proporcionar toda la información contextual necesaria para las tareas de investigación y respuesta. Se trata de datos aislados, que difíclmente logran ponerse en contexto y dar una imagen de la situación global de la seguridad en la empresa.

En consecuencia, los analistas tienen que pasar de una consola a otra para reunir a mano los datos y tener una visión global clara de un ataque.

Por ejemplo, para estudiar una alerta de red, es posible que un analista tenga que llevar a cabo un tedioso proceso de análisis y correlación para identificar el endpoint, la actividad de red y el usuario relacionados con cada incidente. Con las herramientas complejas e inconexas de hoy, solo los expertos con conocimientos especializados pueden abrirse camino en el laberinto de la investigación.

Dado que las distintas herramientas trabajan de forma independiente, los datos de los que disponen son parciales. Deben consultar manualmente otras fuentes de información, a otros compañeros o incluso a distintos departamentos. En la práctica, los ataques que tienen éxito, en lugar de bloquearse de forma inmediata, permanecen vulnerables durante largos periodos. Incluso cuando la compañía ya sabe que está expuesta y que hay atacantes que han conseguido vulnerar sus sistemas. La actualización de las políticas de seguridad debe ser un proceso ágil y bien definido que permita actuar con celeridad en caso de producirse una brecha.

Las organizaciones necesitan de media, 207 días en detectar una brecha de seguridad y 73 días en contenerla.

Hay que añadir que, la alta especialización de los expertos en ciberseguridad hacen que sea un perfil muy demandado por las compañías. Esta escasez de personal provoca que las empresas no cuenten siempre con el personal adecuado, capaz de interpretar los datos y alertas que está recibiendo de forma permanente.

Es prioritario que las empresas reduzcan el número de alertas y además, puedan simplificar las que reciben. Tanto el volumen de información que se maneja, como la respuesta eficaz a las verdaderas amenazas y brechas de seguridad. De lo contrario, les resultará complicado evitar que los ciberdelincuentes consigan sus objetivos.

Detección y respuesta ampliadas con Cortex XDR.

Cortex® XDR™ es la primera plataforma de detección y respuesta ampliadas del sector que integra los datos de la red, los endpoints, la nube y soluciones de terceros para detener los ataques sofisticados.

Diseñado desde el inicio para que las empresas protejan a los usuarios y activos digitales.
Y al mismo tiempo, simplificar las operaciones.

El análisis de comportamiento, identifica amenazas desconocidas y muy evasivas. El aprendizaje automático y los modelos de inteligencia artificial (IA) detectan amenazas procedentes de cualquier fuente. Incluido los dispositivos gestionados y los no gestionados.

Con Cortex XDR es más sencillo llevar a cabo las investigaciones.

Además, informa de cual ha sido la causa raíz del ataque y la distinta cronología de alertas generadas.

Permite incluso a los analistas menos experimentados clasificar las alertas y tomar las medidas correctivas oportunas.Gracias a la integración perfecta con los puntos de aplicación de las políticas, ayuda a responder a las amenazas en cualquier lugar de la organización y a restablecer el estado original de los hosts con facilidad.

Cada amenaza analizada con Cortex XDR se presenta de forma completa y da una idea exacta, de los riesgos que representa.

Con Cortex XDR, se pueden utilizar los sistemas de seguridad existentes de la red, los endpoints y la nube, como sensores y puntos de aplicación de políticas. Se evita tener que implementar software o hardware nuevos. Basta una sola fuente de datos para utilizar Cortex XDR. Sin embargo, se necesitan varias fuentes para poner de manifiesto las ventajas del análisis y la consolidación de datos.

Todos los datos recopilados, se almacenan en un repositorio en la nube. Totalmente escalable y seguro. Ya no es necesario implementar  un sistema de archivado y control de logs en la infraestructura local de la empresa.

Cortex XDR: protección en todas las fases de la seguridad.

Los ataques contra los sistemas informáticos evolucionan constantemente. Es fundamental con un sistema de seguridad que prevenga los ataques y detecte y detenga las amenazas activas. Palo Alto Cortex XDR ofrece las herramientas necesarias para conseguirlo en cuatro pasos iterativos:

1. Prevención automática de amenazas
2. Detección precisa
3. Investigación rápida
4. Respuesta inteligente

Este sistema proporciona todo lo necesario para proteger su organización tanto ahora como en el futuro.

Prevención de amenazas conocidas y desconocidas, con una visibilidad completa.

La base de la seguridad de las empresas es la prevención. Blindar la compañía contra todas las posibles entradas ahorrará a los responsables de la seguridad tener que lidiar con ataques y medidas correctivas posteriores. Cuanto menos expuesta se encuentre la empresa, menos opciones tendrán los ciberdelincuentes para atacarla. Por eso, Cortex XDR ofrece una prevención sin rival para detener los exploits, el malware, el ransomware y los ataques sin archivo. El agente ligero de Cortex XDR, realiza dos tareas fundamentales. De un lado, protege a los Endpoints bloqueando los ataques contra ellos y por otro recopila datos de eventos para la platadorma de XDR. Todo ello con un impacto mínimo en los endpoints protegidos.

El agente de Cortex XDR ofrece una solución de prevención completa, empezando por la gama de módulos de protección frente a exploits más amplia que existe para bloquear los exploits que se traducen en infecciones de malware.

Cada archivo se examina con un motor de análisis local adaptativo basado en inteligencia artificial que aprende constantemente para combatir las nuevas técnicas de ataque. Además, un motor de protección contra amenazas, basado en el comportamiento, observa cómo se comportan varios procesos relacionados entre sí para detectar al instante cualquier ataque.

Con la combinación de ambos métodos, el antivirus de nueva generación (NGAV) ofrece una protección completa para los endpoints.

Además, se integra con Cortex XDR WildFire®, el servicio de prevención de malware de Palo Alto Networks. Así, analiza los archivos sospechosos en la nube y coordina la protección en todos los productos de seguridad de Palo Alto Networks.

Al tratarse de un agente basado en la nube, se puede implementar rápidamente en los endpoints. Bloquea ataques avanzados al instante y recopila datos para la detección y respuesta.

Gestión de dispositivos USB

Cortex MDR incluye un potente módulo de control de dispositivos.

Los usuarios conectan todo tipo de dispositivos USB a sus equipos. Desde unidades de almacenamiento hasta teclados, cámaras, etc. En ocasiones, estos dispositivos contienen malware y pueden infectar los equipos de la compañía. Por eso, es importante tener un control de estos dispositivos. Con Cortex MDR no es necesario instalar otro softwware de terceros. El control de los dispositivos USB está integrado en el propio sistema. Controla los permisos de acceso y asegúrate que lo que parece un inocente dispositivo, no se convierte en una importante brecha de seguridad.

Es posible asignar políticas basadas en un grupo o unidad organizativa de Active Directory®. También, restringir el uso por tipo de dispositivo y asignar excepciones a las políticas de solo lectura o lectura/escritura en función del proveedor, producto y número de serie.

Con el módulo de control de dispositivos, puedes gestionar fácilmente el acceso por USB con la tranquilidad de haber mitigado este tipo de amenazas.

Cortafuegos del host y cifrado del disco.

Las funciones integradas de cortafuegos del host y cifrado del disco disminuyen los riesgos de seguridad y ayudan a cumplir la normativa. El cortafuegos del host de Cortex XDR sirve para controlar las comunicaciones entrantes y salientes de los endpoints con Windows® o macOS®. Además, puede crear reglas y políticas de cifrado del disco para aplicar el cifrado o descifrado con BitLocker® o FileVault® en sus endpoints.

Cortex XDR garantiza la plena visibilidad de los endpoints cifrados con BitLocker o FileVault y permite consultar listados de todas las unidades cifradas. Gracias a las funciones de cortafuegos del host y cifrado del disco, le ayudará a gestionar de forma centralizada políticas de seguridad del endpoint.

Visibilidad sin precedentes y respuesta rápida gracias a Host Insights

Para proteger los endpoints, antes que nada se necesita una visión clara de todos los contenidos y la configuración de los endpoints. También, un buen conocimiento de los riesgos que implica esa amenaza. Una vez detectada, debe detenerse con rapidez y garantizar que no haya llegado a más endpoints.

Host Insights, un módulo adicional de Cortex XDR, obtienes todas estas funciones, entre otras. Combina la evaluación de vulnerabilidades con la visibilidad de los sistemas y las aplicaciones. Además, incorpora una eficaz función de búsqueda y destrucción que ayuda a identificar y contener las  amenazas.

Host Insights aborda de manera integral la visibilidad de los endpoints y la contención de ataques, ayudando a reducir la exposición a las amenazas para evitar brechas en el futuro.

Host Insights cuenta con las siguientes funciones:

• La búsqueda y destrucción: permite encontrar y erradicar al instante amenazas en todos los endpoints. Esta eficaz función indexa todos los archivos presentes en los endpoints Windows gestionados. Así, es posible encontrar y eliminar en tiempo real los archivos maliciosos que haya en toda la organización. Gracias a la configuración detallada, puedes excluir archivos y directorios de hosts específicos.
• El inventario de hosts: permite detectar lagunas de seguridad y mejorar su estrategia de defensa. Con una visibilidad completa que abarca los archivos y la configuración clave de los hosts Windows. Consulta la información sobre los usuarios, grupos, aplicaciones, servicios, controladores, ejecuciones automáticas, recursos compartidos, discos y la configuración de los sistemas. Al reunir toda la información sobre los hosts en un solo lugar, se detectan con rapidez posibles problemas de seguridad. Consigue mayor velocidad a la ahora de investigar los incidentes, gracias a la información contextual adicional sobre los hosts.
• La evaluación de vulnerabilidades: muestra en tiempo real qué vulnerabilidades presentan los endpoints. También si están o no actualizados, para establecer un orden de prioridad en las tareas de mitigación.

Cortex XDR revela las vulnerabilidades de los endpoints Linux y Windows. Incluye información actualizada sobre su gravedad proporcionada por la Base de datos nacional de vulnerabilidades del NIST y el Centro de respuestas de seguridad de Microsoft.

También puede consultar las actualizaciones de la Base de conocimientos de Microsoft Windows instaladas en los endpoints.

Detección de ataques automático con análisis de comportamiento e inteligencia artificial.

Cortex XDR saca a la luz ataques sigilosos gracias a los análisis y al aprendizaje automático. Permite al equipo de seguridad reducir los tiempos de permanencia y contener las amenazas con rapidez.

En primer lugar, Cortex XDR analiza datos enriquecidos de cualquier fuente. Así, ofrece una visibilidad completa y elimina los ángulos muertos. Agrupa los datos procedentes de la red, los endpoints y la nube para detectar con precisión los ataques y simplificar la investigación.

Cortex XDR lleva un seguimiento de más de mil dimensiones del comportamiento. Incluidos ciertos atributos que son prácticamente imposibles de identificar con los logs de amenazas tradicionales.

A continuación, genera un perfil del comportamiento de los usuarios y dispositivos gracias a los siguientes recursos:

Aprendizaje automático sin supervisión.

Cortex XDR crea patrones de referencia del comportamiento de los usuarios y dispositivos. Realiza análisis de grupos del mismo nivel y reúne los dispositivos en grupos de comportamiento pertinentes. Teniendo en cuenta estos perfiles, detecta anomalías con respecto al comportamiento anterior y al comportamiento de los dispositivos y usuarios del mismo nivel para detectar actividad maliciosa. Detectando así los ataques de malware, comando y control, movimiento lateral y exfiltración.

Aprendizaje automático supervisado.

Cortex XDR supervisa varias características del tráfico de red para clasificar cada dispositivo por tipo.

Por ejemplo, ordenador Windows, iPhone® de Apple o escáner de vulnerabilidades.

Además, distingue entre administradores de TI y usuarios normales.

Con el aprendizaje automático supervisado, Cortex XDR detecta anomalías con respecto al comportamiento esperado según el tipo de usuario o dispositivo. Así, se reduce la cantidad de falsos positivos.

Detención total de las amenazas procedentes de usuarios gracias a Identity Analytics

Con el complemento Identity Analytics para Cortex XDR, su equipo de seguridad detectará comportamientos arriesgados y maliciosos por parte de los usuarios que las herramientas tradicionales pasan por alto.

Este complemento crea perfiles de comportamiento de los usuarios a partir de la observación de una amplia gama de datos a lo largo del tiempo.

Entre otros, los logs de amenazas, autenticación, endpoints, redes y nubes.

Al comparar el comportamiento actual de los usuarios con los valores de referencia, identifica con una precisión sin precedentes ataques como robos de credenciales, de fuerza bruta y de «viajero imposible».

Los algoritmos de detección se perfeccionan constantemente gracias a los parámetros y análisis en la nube, para garantizar que Identity Analytics vaya siempre un paso por delante con respecto a los ciberdelincuentes, que se mueven con rapidez. Las alertas de Identity Analytics se agrupan automáticamente con otras para mostrar un análisis detallado de un ataque.

Detección de amenazas evasivas con reglas personalizadas.

Gracias a las reglas personalizadas, el equipo de seguridad podrá detectar las amenazas importantes y los ataques que afecten a los activos más delicados.

Aunque Cortex XDR activa alertas según los IOC, como hashes de malware, también expone las tácticas, técnicas y procedimientos (TTP) de ciertos atacantes con reglas personalizadas llamadas indicadores de comportamiento peligroso (BIOC, por sus siglas en inglés).

Para llevar a cabo detecciones avanzadas, las reglas de correlación ayudan a señalar combinaciones complejas de comportamientos procedentes de un solo conjunto de datos o de varios, mediante el uso del eficaz lenguaje de consultas XQL de Cortex XDR.

Las reglas de correlación detectan el uso indebido de los sistemas y las aplicaciones además de los ataques de día cero que frustran las técnicas de evasión.

Permite descubrir amenazas aunque un adversario manipule los nombres de malware, los hashes o las direcciones IP.

Los analistas pueden definir reglas basadas en decenas de parámetros, como la información sobre los procesos, los archivos, las redes o el registro.

Más de 500 reglas predefinidas y listas para usar detectan una amplia gama de amenazas, como la persistencia, las manipulaciones, la escalada de privilegios y el movimiento lateral.

Estas funciones de detección están operativas permanentemente.

Búsqueda de amenazas e indicadores de riesgo.

La búsqueda de amenazas desempeña un papel esencial en las operaciones de seguridad. Tanto si los analistas están llevando a cabo una búsqueda independiente como si están ampliando la investigación. Las consultas permiten al equipo detectar actividad sospechosa mediante la búsqueda de hosts, archivos, procesos, actualizaciones de registro y conexiones de red específicos, entre otros elementos.

Las consultas pueden ser:

• Precisas, como «¿Qué cambios ha hecho en un determinado archivo un proceso concreto de un host?».
• O abiertas, como «Muéstrame todos los procesos que se ejecuten en el dominio».

El equipo de seguridad puede buscar comportamientos de ataque además de IOC tradicionales sin necesidad de aprender un nuevo lenguaje de consultas. Los analistas pueden filtrar los resultados para reducir el número de eventos que revisar y descubrir amenazas ocultas. Los especialistas en búsqueda de amenazas más avanzados. Con consultas complejas que incluyen caracteres comodín y expresiones regulares, agregar y visualizar los resultados de sus búsquedas y buscar en todos sus datos con la búsqueda de XQL. Al incorporar la inteligencia sobre amenazas con un completo conjunto de datos de la red, los endpoints y la nube, el equipo de seguridad puede detectar ataques en cuestión de segundos. Tanto si están en curso como si se han producido en el pasado.

Investigación ocho veces más rápida con la integración y automatización de los datos.

Para acelerar la clasificación y el análisis de cualquier amenaza, el equipo de seguridad necesita tener al alcance de la mano información contextual completa.

Palo Alto Cortex XDR ofrece varias funciones clave que aceleran la clasificación de alertas y la respuesta a incidentes.

En una vista unificada de gestión de incidentes, se agrupan alertas relacionadas entre sí para mostrar todos los elementos de un ataque, como:

• Los hosts y usuarios afectados.
• La inteligencia sobre amenazas
• Dominios,
• Direcciones IP
• Procesos implicados en el incidente.

Mediante la agrupación y desduplicación de alertas, se reduce en un 98 % la cantidad de alertas que es preciso revisar.
Se mitiga el llamado «mal de alertas».

La puntuación de incidentes permite establecer una clasificación y priorizar los que supongan un riesgo mayor, para centrarse en lo más importante. El equipo puede clasificar, filtrar o exportar incidentes y alertas. Con un solo clic, se pueden investigar las alertas procedentes de cualquier fuente. Conociendo al instante la causa original, la reputación y la secuencia de eventos asociada. Esto, permite que se reduzca el grado de experiencia necesario que se necesita para verificar amenazas.

Por último, el equipo de seguridad puede responder a las preguntas planteadas por cualquier evento utilizando las siguientes vistas de análisis:

Vista de análisis de la causa original

Un exclusivo motor de análisis patentado. Capaz de revisar constantemente miles de millones de eventos para detectar la cadena de causalidades que se esconde detrás de cada amenaza. Visualiza la secuencia de ataque desde la causa original. Proporciona información esencial sobre cada elemento de la secuencia, con lo que facilita la comprensión de los ataques más complejos.

Los analistas pueden ver al instante qué procesos del endpoint han sido responsables de las alertas de seguridad en la nube o la red. Sin necesidad de establecer correlaciones de eventos a mano, ni de pasar de una consola a otra.

Vista de análisis de la cronología.

Una cronología forense de toda la actividad de ataque proporciona información útil para investigar los incidentes con Cortex XDR Forensics. Permite a los analistas determinar en cuestión de segundos el alcance y el impacto del ataque, así como los pasos que hay que seguir. Las alertas informativas facilitan la comprensión de los eventos complejos, mientras que la visualización de MITRE ATT&CK® muestra todas las tácticas y técnicas de los adversarios observadas en un incidente.

Facilita la vida a los equipos que estén lidiando con listas de alertas infinitas y perdiendo mucho tiempo en análisis complejos. Además, simplifica la clasificación de alertas y la investigación de incidentes con herramientas intuitivas, visuales y contextuales.

De este modo, los análisis que antes llevaban horas, días o semanas ahora se realizan en cuestión de minutos o incluso segundos y, además, sin necesidad de contar con tantos conocimientos especializados.

Respuesta y adaptación a las amenazas.

Una vez identificadas las distintasamenazas, es tiempo de contenerlas rápidamente.

La solución de Cortex XDR permite que el equipo de seguridad elimine al instante las amenazas a la red, al endpoint y a la nube desde una única consola.

Los analistas pueden detener rápidamente la propagación del malware. Así como restringir la actividad de la red hacia los dispositivos y desde ellos. También, actualizar las listas de prevención de amenazas, como los dominios peligrosos, mediante una integración perfecta con los puntos de aplicación de las políticas.

Podrán eliminar rápidamente las amenazas con opciones de respuesta flexible que permiten lo siguiente:

• Aislar los endpoints. Impidiendo el acceso a la red en los endpoints en riesgo, excepto el tráfico destinado a la consola de gestión de Cortex XDR Palo Alto. Esto, impide que se comuniquen con otros endpoints y puedan infectarlos.
• Terminar los procesos para impedir que el malware en ejecución siga llevando a cabo su actividad maliciosa en el endpoint.
• Bloquear ejecuciones adicionales de un archivo determinado mediante su inclusión en la lista de bloqueo de la política.
• Poner los archivos malintencionados en cuarentena y eliminarlos de sus directorios si el agente de Cortex XDR no lo ha hecho ya.
• Recuperar archivos específicos de los endpoints investigados para realizar un análisis más profundo.
• Acceder directamente a los endpoints con Live Terminal para disponer de la gama de acciones de respuesta más amplia del sector. Csapaz de ejecutar Python®, PowerShell® o comandos del sistema o scripts. Así como revisar y gestionar procesos activos; y ver, eliminar, trasladar o descargar archivos. Sus equipos también pueden terminar y eliminar procesos en un entorno de producción en cualquier host y, mientras trabajan, se llevarán a cabo auditorías completas. Al mismo tiempo, mientras se eliminan las amenazas, los usuarios pueden seguir trabajando sin interrupciones.
• Utilizar API abiertas para integrar herramientas de gestión de terceros, aplicar políticas y recopilar información del agente desde cualquier ubicación con Cortex XDR API.
• Integrar Cortex XSOAR para la orquestación, automatización y respuesta de seguridad. El equipo de seguridad puede compartir los datos de los incidentes con Cortex XSOAR para iniciar una respuesta automatizada. Basada en libros de estrategias que abarca más de 450 herramientas de terceros. Los libros de estrategias de Cortex XSOAR pueden procesar automáticamente los incidentes de Cortex XDR, recopilar alertas relacionadas y actualizar los campos de los incidentes en Cortex XDR como tareas de los libros de estrategias.
• Ejecutar cualquier script basado en Python desde la consola de gestión de Cortex XDR o herramientas de orquestación como Cortex XSOAR. Gracias a los scripts listos para usar, a su equipo le resultará fácil aprovechar esta interesante función.
• Encontrar y eliminar archivos con rapidez en toda la organización. Gracias a la función de búsqueda y destrucción, que indexa los archivos de los endpoints.
• Restablecer el estado original de los hosts según las sugerencias de corrección, que recomiendan los pasos que hay que seguir y permiten resolver todas las actividades detectadas en un incidente, con lo que la respuesta se simplifica. Recupera rápidamente los sistemas tras un ataque, eliminando los archivos y las claves del registro de naturaleza maliciosa. Y restaurando los archivos y las claves del registro que hayan sufrido daños. Todo ello, sin necesidad de reinstalar el sistema operativo ni de crear scripts personalizados.

Gestión, elaboración de informes, clasificación y respuesta unificados.

Cortex XDR proporciona una plataforma que garantiza una experiencia sin fisuras. Gracias a la combinación de gestión de políticas del endpoint,
detección, investigación y respuesta en una única consola de gestión basada en la web. Los paneles personalizables permiten valorar con  rapidez el estado de seguridad y es posible programar o generar a petición, informes gráficos que resuman los incidentes y las tendencias de seguridad. Asimismo, es sencillo implementar y actualizar fácilmente los agentes de Cortex XDR desde una ubicación centralizada.

La solución Cortex XDR de Palo Alto, evoluciona constantemente para ir siempre un paso por delante y no dejar que los atacantes se salgan con la suya. Para detectar el malware se integra con Cortex XDR WildFire, el servicio de análisis de malware más completo del sector. Al ser una aplicación nativa en la nube.

Además, aprovecha los hallazgos de la comunidad para identificar las últimas tácticas de los adversarios y mejorar la precisión de la detección.

Análisis forense de la seguridad.

Cortex XDR Forensics es una eficaz solución de investigación y clasificación pensada para examinar pruebas, buscar amenazas y evaluar la gravedad de los ataques desde una única consola.

Este módulo adicional, con su exhaustiva recopilación de datos, permite acceder al instante a una gran cantidad de artefactos forenses. Así como determinar el origen de un ataque y saber a qué datos se ha tenido acceso durante un incidente.

Al tratarse de una solución integral, facilita todas las fases de la respuesta a incidentes:

• La recopilación de datos
• El análisis
• La búsqueda de amenazas y la corrección de problemas.

Al estar diseñado por y para quienes responden a los incidentes, permite rastrear hasta el último movimiento de los atacantes, lo que simplifica las investigaciones. Y También, contener rápidamente las amenazas desde la consola de Cortex XDR. Evitamos así, tener que pasar de una herramienta de seguridad a otra.

Búsqueda de amenazas gestionada.

Cortex XDR Managed Threat Hunting ofrece supervisión ininterrumpida.
A cargo de especialistas en búsqueda de amenazas de primera.
Capaz de rastrear los datos integrados de la red, endpoints y la nube.

Los expertos de nuestro equipo Unit 42™ están siempre al acecho para encontrar amenazas avanzadas.

Por ejemplo atacantes patrocinados por algún gobierno, ciberdelincuentes, malware o personal interno que pretenda causar daños a su organización.

Para detectar ataques ocultos, nuestros especialistas analizan de forma exhaustiva los datos alojados en las soluciones de seguridad de Palo Alto Networks o de otros fabricantes. Los informes de amenazas detallados muestran los pasos que siguieron los atacantes, las herramientas que utilizaron y el daño causado. Además, los informes de impacto ayudan a ir un paso por delante de las amenazas emergentes.

Lo bueno de la implementación en la nube.

Al ser una aplicación basada en la nube, Cortex XDR le permite prescindir de recursos adicionales de software y hardware locales. Utiliza los productos de Palo Alto Networks ya implementados, como el agente de Cortex XDR, como sensores y puntos de aplicación de políticas para agilizar las operaciones de seguridad.

Los datos recopilados desde la infraestructura de Palo Alto Networks se almacenan en la plataforma de Cortex XDR Proporciona un almacenamiento de logs eficiente que se adapta para procesar los grandes volúmenes de datos necesarios para la detección y respuesta. Cortex XDR se implementa con rapidez, con lo que se evita tener que dedicar mucho tiempo a configurar equipamiento nuevo.

El agente de Cortex XDR se puede implementar fácilmente en todos los endpoints. Ya sea con sistemas operativos Windows, macOS, Linux, Chrome® OS o Android®, sin necesidad de reiniciar. Este agente, ideal para servidores físicos, máquinas virtuales y contenedores, es adecuado para proteger todo tipo de activos digitales. Desde dispositivos móviles hasta entornos de nubes privadas, públicas, híbridas y de varias nubes. Cortex XDR garantiza una implementación sin fricciones en Kubernetes. Su seguridad se ampliará conforme aumenten las cargas de trabajo en la nube.

Puede almacenar los datos de los logs procedentes de los cortafuegos de nueva generación de Palo Alto Networks, Prisma Access, Prisma Cloud, Cortex Xpanse y el resto de la infraestructura de seguridad en Cortex XDR, para reducir así los costes de los sistemas de información de seguridad y gestión de eventos (SIEM, por sus siglas en inglés) y la gestión de logs.

Al eliminar el almacenamiento de logs local y la necesidad de sensores y puntos de aplicación de políticas adicionales, Cortex XDR reduce el coste total de propiedad en un 44 %, por término medio, con respecto a cuando se utilizan herramientas inconexas.

Cortex XDR también potencia la productividad del equipo de operaciones de seguridad, ya que detecta los ataques con precisión y acelera las investigaciones.

Mejora de la seguridad con Cortex XDR

Son tiempos difíciles para los analistas. Para hacer frente a una cantidad de amenazas que no deja de crecer, las organizaciones implementan cada vez más herramientas inconexas. Estas soluciones dan lugar a una avalancha de alertas incompletas e imprecisas. En lugar de utilizar el aprendizaje automático en la nube para evitar distracciones y encontrar ataques difíciles de detectar, los sistemas antiguos de información de seguridad y gestión de eventos se concentran en agregar las alertas relativas a amenazas que la infraestructura de seguridad ha detectado y, por lo general, detenido.

Por otro lado, las herramientas de detección y respuesta inconexas hacen que el personal de TI tenga que implementar recursos de hardware y software adicionales, pero solo ofrecen una visión parcial de las amenazas y crean ángulos muertos. Además de obligar a los analistas a recopilar datos procedentes de distintas herramientas y establecer correlaciones entre ellos.

Cortex XDR da a los analistas el arma secreta que necesitan para erradicar las amenazas más difíciles de detectar, independientemente del lugar del entorno en que se encuentren, pues combina y analiza todos los datos de la red, el endpoint y la nube. Con Cortex XDR, puedes:

• Prevenir el malware avanzado, los exploits y los ataques sin archivo con el agente de Cortex XDR.
• Detectar automáticamente ataques sigilosos gracias a los análisis y al aprendizaje automático.
• Acelerar las investigaciones y la clasificación de alertas para mejorar la productividad de los analistas de seguridad, gracias a que revela la causa original de cualquier alerta.
• Contener las amenazas con rapidez mediante una respuesta coordinada en los distintos puntos de aplicación de políticas.
• Simplificar las operaciones y mejorar la escala y la agilidad con un modelo de implementación nativa en la nube.

Con Cortex XDR, conseguirá una visibilidad completa de todos los activos de red, los endpoints y la nube, para que tenga la certeza de que todos los usuarios y todos los datos están bien protegidos.

Cortex XDR Prevent vs Pro

¿Cómo trabaja Cortex XDR?