Cortex XSOAR : Connecter l’humain, les technologies et les process

Cortex XSOAR, la première plateforme étendue d’orchestration, d’automatisation et de réponse de sécurité incluant nativement la gestion de Threat Intelligence, conçue par Palo Alto Networks, va changer la sécurité opérationnelle. 

Pourquoi Cortex XSOAR ? 

La transformation numérique des entreprises, qui bouleverse les usages et les besoins a de fait bouleversé la cybersécurité. Pourquoi ? Simplement parce que les cybers attaquants, comme tout le monde, profitent du cloud, de l’intelligence artificielle et de l’automatisation… 

La fréquence, le nombre et la sophistication des attaques augmentent donc forcément à la même vitesse que la surface d’exposition. Face à des machines qui automatisent leurs attaques, les équipes de sécurité opérationnelles chargées de surveiller, détecter et répondre aux cyberattaques avancées ne peuvent répondre que par l’automatisation. Elles n’ont tout simplement ni le temps ni les ressources pour trier les informations, mettre de côté les incidents bénins, mettre en priorité les incidents apparemment sérieux et gérer les tâches répétitives. Pour être efficaces, elles ont besoin de se concentrer sur les investigations et les réponses les plus critiques. 

Dans cette optique, les centres de sécurité opérationnelles ont fortement évolué ces dernières années et les outils d’orchestration de type SOAR (Security Orchestration Automation and Response) sont au cœur de cette évolution. Cortex XSOAR de Palo Alto Networks va, lui, faire entrer le SOC dans une nouvelle génération. En alliant à des fonctions d’automatisation très étendues, un vrai travail collaboratif d’investigation et une intégration native des sources de « threat Intelligence », Cortex XSOAR va donner aux équipes opérationnelles le temps, les moyens et les informations nécessaires pour prendre les décisions les plus importantes et les plus critiques. En quelque sorte, Cortex XSOAR va remettre l’humain et l’équipe à sa vraie place dans un SOC. Cortex XSOAR est une plateforme d’orchestration, d’automatisation et de réponse de sécurité qui unifie la gestion des tickets, l’automatisation, la collaboration temps réel et la gestion des bases de renseignement sur les menaces (threat Intelligence). L’objectif est d’accompagner l’équipe sécurité tout au long du cycle de vie d’un incident.

• Automatisation et orchestration.
• Collaboration temps réel.
• Gestion des tickets.
• Gestion de la “threat Intel”.

Automatisation et Orchestration 

 L’ Automatisation et l’orchestration sont les fonctions fondatrices d’un SOAR. Elles vont permettre aux équipes sécurité d’implémenter des cas d’usage complexes de gestion d'incident grâce à un enchainement logique de taches nativement intégrées appelés des “playbooks”.  Cortex XSOAR va rendre possible ces processus d’automatisation grâce à un réseau d’intégration unique composé de centaines de technologies de sécurité mais aussi des solutions hors de la sécurité. A ce jour, Cortex XSOAR intègre + de 400 solutions, et l'intégration de nouvelles solutions est constante pour maintenir une plateforme aussi ouverte que possible. Par intégration, on entend la capacité à faire exécuter à distance et au sein de la plateforme XSOAR des milliers d’actions à ces technologies, sous forme de playbooks automatisés, de tâche programmée ou en temps réel. 

La plateforme possède en standard des milliers d'actions de sécurité paramétrées (security actions) et une très vaste bibliothèque de playbooks prêts à l'emploi, ce qui permet de la rendre rapidement et facilement opérationnelle. On peut par exemple automatiser une recherche de réputation d'URL, puis faire une mise en quarantaine d'un endpoint, enchaîner avec la soumission d'un fichier à une inspection en sandbox puis envoyer un email. Toutes ces tâches peuvent être coordonnées graphiquement dans un éditeur visuel de playbook, et très simplement, par du "drag-and-drop". Le playbook ainsi conçu pourra être réutilisé pour d'autres cas d'usage, avec si nécessaire un SLA fixé pour une tâche, imbriqué avec d'autres playbooks, ou avec une combinaison d'actions automatisées et manuelles. La conséquence directe de l'automatisation de processus de XSOAR est une réponse rapide et à grande échelle aux incidents, réduisant drastiquement le temps moyen de réponse (MTTR)

Collaboration temps réel

Le second domaine d’application de XSOAR est la collaboration temps réel. Pour y parvenir, chaque incident XSOAR a une vue dite de type “War Room” : le centre de crise. La « War Room » est en fait un espace de travail partagé où chaque analyste sécurité peut chatter avec les autres et conduire conjointement des investigations. Elle permet également d’exécuter en temps réel des actions sur des produits de sécurité tiers au travers d’une interface de commandes en ligne, ce qui a l’avantage d’utiliser les produits de son infrastructure de sécurité avec un minimum de permutation de console et perte de temps. Toutes les actions et commandes sont automatiquement documentées dans la “War Room”, ce qui dispense d’un travail manuel fastidieux de documentation post-incident, où des informations importantes passent souvent à travers les mailles du filet. La « War Room” de XSOAR a un effet direct d’amélioration de la qualité des investigations en faisant travailler les humains de la manière dont ils sont censés réellement travailler : ensemble.

Gestion des tickets/incidents

Le troisième domaine de XSOAR est la gestion des “cases” et des tickets d’incident. XSOAR peut ingérer des données d’alertes en provenance d’une grande gamme de sources comme les SIEM, les outils de sécurité réseau, les boites email, les solutions de gestion de vulnérabilité et les technologies de sécurité cloud. Ces alertes peuvent être intuitivement recherchées et requêtées au travers de nombreux paramètres, permettant d’examiner et d’explorer en détail les données à disposition. On peut alors assigner des SLAs sur mesure, et les relier au déclenchement de l’exécution de playbook, ce qui permet finalement une mesure précise des indicateurs de performance. XSOAR possède également une suite de rapports et de tableaux de bord flexible alimentée par une bibliothèque importante de widgets. On peut créer des tableaux de bords et des rapports en fonction de types d’incident, d’utilisateurs, d’indicateurs divers ou en fonction de toute autre catégorie à disposition. A l’arrivée, la gestion d’incident de XSOAR standardise les process entre les différentes équipes, produits et cas d’usage, avec une flexibilité suffisante pour s’adapter à toute nouvelle menace émergente.

Gestion de la « Threat Intelligence »

Cortex XSOAR est la première plateforme d’orchestration, d’automatisation et de réponse de sécurité avec une offre native de gestion de « Threat Intelligence ».  Les équipes de sécurité peuvent prendre le contrôle total des sources de threat Intel et de la gestion des niveaux des indicateurs, avec une visibilité complète de leur cycle de vie, de leurs apparitions à leur éventuelle prise en compte dans des playbooks automatisés. La prise en compte native et automatisée des informations de threat Intel pour tous les cas d’usage et tous les incidents va décupler la puissance des 3 autres piliers : l’orchestration et automatisation, la collaboration temps réel et la gestion d’incidents. Les équipes sécurité bénéficient de cette aide tout au long du cycle de vie de l’incident, avec des informations en provenance d’une large gamme de bases, comme divers centres ISAC, des bases open source et premium. Enfin, Cortex XSOAR supporte nativement la source de threat Intel de Palo Alto Networks : Autofocus. 

Les cas d’usage de Cortex XSOAR vont largement au-delà des opérations traditionnelles de sécurité et de réponse à incident. Ils couvrent également l’orchestration de la sécurité cloud, la recherche avancée de menaces (Threat Hunting), la gestion des vulnérabilités ou la sécurité industrielle. La nature modulaire, agnostique et étendue de sa plateforme fait de cortex XSOAR la solution la plus riche dans son domaine.

Pour en savoir plus sur Cortex XSOAR :