As integrações fazem do Cisco XDR uma solução poderosa no centro de operações de segurança do Black Hat Nocpara cumprir nossa missão principal de análise de malware como provedor oficial de nuvem de segurança.
Abaixo estão as integrações da Cisco XDR para o Black Hat EUA, capacitando analistas a investigar os indicadores de compromisso (COI) muito rapidamente, com uma pesquisa.
Obrigado alphamountain.ai e Pulsedivo Doações completas de licenças completas para a Cisco, para uso no Black Hat EUA 2025 NOC.
O painel do XDR Management Heart exibiu o standing das integrações durante a semana.
Abaixo, você pode ver as integrações ativas no XDR.
Colaboração com redes Palo Alto
O Black Hat Noc é uma rede muito única, onde a concorrência é jogada para fora das janelas e a colaboração é trazida à tona. Os líderes do Black Hat avaliam várias ferramentas no mercado para construir e operar a rede (ou eles constroem suas próprias). O principal fator de distinção é que essas ferramentas são escolhidas com um orçamento ilimitado, pois os fornecedores fornecem licenciamento para suas ferramentas sem nenhum custo para o Black Hat, juntamente com a equipe para executar/gerenciar/integrar na pilha de segurança. Com o fator de custo removido, a decisão é simplesmente sobre qual ferramenta melhor atende às suas necessidades exclusivas. O resultado é um conjunto extremamente diversificado de ferramentas e fornecedores que devem ser operacionalizados e integrados na janela de configuração curta.
Este ano, decidi dar uma olhada mais profunda nas redes Palo Alto Xsiam. A Palo Alto Networks é o fornecedor oficial de firewall e XDR/Siem/Soar para o Black Hat Noc. Embora eu tenha alguma experiência com o PANW Cortex, foi interessante aprender quais recursos adicionais estão incluídos no XSIAM, além de entender a palavra da Buzz da próxima geração Siem. O Xsiam é uma plataforma de operações de segurança de última geração, integrando a integração de XDR, SIEM, SOAR, UEBA e Ameaça a Intel em um único sistema acionado por IA para secoups em larga escala. O XSIAM é uma plataforma de AI First com resumos de LLM para cada incidente e a Microsoft Copilot incorporada. O copilot pode ser usado para vários casos de uso, incluindo pesquisas gerais ou ajudar a criar uma consulta XQL específica.
Vamos dar uma olhada em um incidente do PANW XSIAM e depois ver como os mesmos dados podem ser vendidos no Cisco XDR.
Integração em evolução com redes Palo Alto
A Cisco XDR foi projetada para ser uma ferramenta agnóstica do fornecedor com o objetivo de trabalhar com a infraestrutura existente do cliente. Isso significa que a Cisco XDR precisa ser capaz de se integrar às ferramentas de terceiros, incluindo tecnologias que podem ser consideradas concorrência no mercado. No Black Hat Noc, colaboramos com a competição porque o verdadeiro inimigo não é outro fornecedor, mas o adversário. A Cisco XDR possui um módulo de integração para se integrar ao Cortex XDR, que oferece capacidade de enriquecimento para detecções de EDR e detecções de firewall. No entanto, esse enriquecimento é uma consulta sob demanda, ponto no tempo, que traz dados de volta relevantes para o que está sendo investigado no Cisco XDR. Essa integração não produz incidentes de XDR da PANW.
Para melhorar essa integração, foi criado um fluxo de trabalho de automação personalizado para consultar a API PAN-OS diretamente para toras de ameaças e depois publicá-las como incidentes no Cisco XDR. Em seguida, a próxima fase da integração aproveitou o Splunk, enviando os troncos de ameaças do PANW para Splunk e usando a automação XDR para consultar o Splunk para os troncos de ameaças do PANW. O fluxo de trabalho de automação consulta vários conjuntos de dados no Splunk e usa uma variável de tabela world para acompanhar os incidentes que foram criados e atualizam ou criam novos incidentes. Essa lógica pode ser complexa e ignorar a lógica de correlação do Cisco XDR.
A próxima fase da integração PANW está sendo construída atualmente por nossa equipe de engenharia e a Black Hat Community é a zona de inovação perfeita para obter dados do mundo actual para construir a integração. Nossa equipe de engenharia está trabalhando para pegar os logs do PANW NGFW do Serviço de Logging de Stratos, transformá -los em OCSF (Open CyberScurity Schema Framework) e ingeri -los em nossa plataforma de análise de dados. Isso significa que os logs do firewall são normalizados e podem ser correlacionados com outros conjuntos de dados para produzir incidentes de XDR.
Conclusão
O Black Hat Noc fornece um ambiente raro em que a interoperabilidade, a inovação e a colaboração prosperam – indefinidamente dos limites do fornecedor. Explorando as redes Palo Alto Xsiam neste espaço revelou o verdadeiro potencial das plataformas de seguinte geração, desde o enriquecimento automático de incidentes até a integração perfeita com ferramentas de suporte como CoreLight e Slack. Ao mesmo tempo, o design agnóstico do fornecedor da Cisco XDR e a integração em evolução com dados de PAN através de APIs, Splunk e OCSF demonstram o poder da colaboração adaptável e de plataforma cruzada. À medida que as duas plataformas continuam a evoluir, o NOC continua sendo um motivo de prova para ultrapassar os limites do que é possível nas operações de segurança modernas.
Sobre chapéu preto
Black Hat é a série de eventos de segurança mais estabelecida e aprofundada do setor de segurança cibernética. Fundados em 1997, esses eventos anuais de vários dias fornecem aos participantes o mais recente pesquisa, desenvolvimento e tendências de segurança cibernética. Impulsionados pelas necessidades da comunidade, os eventos do Black Hat mostram conteúdo diretamente da comunidade através de apresentações de briefings, cursos de treinamentos, cúpulas e muito mais. Como a série de eventos em que todos os níveis de carreira e disciplinas acadêmicas se reunem para colaborar, interagir e discutir os tópicos de segurança cibernética que mais importam para elas, os participantes podem encontrar eventos de Hat Black nos Estados Unidos, Canadá, Europa, Oriente Médio e África e Ásia. Para mais informações, visite o Web site de chapéu preto.
Adoraríamos ouvir o que você pensa! Faça uma pergunta e mantenha -se conectado à segurança da Cisco nas mídias sociais.
Cisco Safety Social Media
Compartilhar: