โซลูชัน Cortex XDR จาก Palo Alto Networks ได้ก้าวเข้าสู่เวอร์ชันที่ 2.5 แล้ว หลังจากปล่อยเวอร์ชันแรกมาปีกว่าๆ

สำหรับที่ใครยังไม่รู้จักกับ Cortex XDR ก็คือโซลูชันที่ช่วยให้องค์กรมีความสามารถในการตอบสนองภัยคุกคามได้เสมือนมีทีม SOC ได้อย่างเด็ดขาดและว่องไว สามารถอ่านเพิ่มเติมได้ที่นี่
อย่างไรก็ดีในเวอร์ชันใหม่ทาง Palo Alto Networks ได้นำเสนอฟีเจอร์ใหม่ๆ ดังนี้
1.) Host Insight Module
ต้องเข้าใจก่อนว่า Cortex XDR คือการเก็บข้อมูลจากแหล่งต่างๆ (Endpoint) มาวิเคราะห์และตอบสนอง ซึ่งในเวอร์ชันใหม่ได้มี Add-on ที่ไปช่วยตรวจสอบและจำกัดการโจมตีในตัวโฮสต์เลย โดยตัวโมดูลมีความสามารถดังนี้
- Search and Destroy – ค้นหาและกำจัดภัยคุกคามในทุกๆ Endpoint โดยมีการทำ Index ทุกไฟล์ใน Windows เพื่อใช้หาว่ามีไฟล์ไหนอันตราย
- Host Inventory – ปิดช่องว่างด้านความมั่นคงปลอดภัย โดยจะมีข้อมูลเกี่ยวกับ User, Group, Application, Service, Driver, Share, Disk และ System Setting ให้ทีมไอทีสามารถดูได้ว่าแต่ละโฮสต์ของตนเป็นอย่างไรมีปัญหาตรงไหน
- Vulnerability Management – ทำให้ทีมไอทีเห็นภาพของเครื่องว่าขาดแพตช์ในช่องโหว่ตรงไหนบ้าง ซึ่งในเวอร์ชัน 2.5 รองรับกับเครื่อง Linux ด้วย โดยฐานข้อมูลสดใหม่เสมออัปเดตจากฐานข้อมูลของ NIST
2.) ประเมินอุปกรณ์ที่ไม่ได้รับการจัดการ (Rough Device)
เราไม่สามารถป้องกันความเสี่ยงที่ไม่รู้จักได้ ดังนั้นฟังก์ชัน Asset management ของ Cortex XDR 2.5 จะช่วยให้ไอทีสามารถเห็นภาพอุปกรณ์ทั้งหมดในสภาพแวดล้อมขององค์กรได้ นอกจากการสแกนปกติแล้ว ยังจะสามารถตรวจหาโฮสต์ที่หลบหลีกได้ด้วยโดยดูจากข้อมูลเครือข่ายและ Log การพิสูจน์ตัวตน
3.) กู้คืนเครื่องได้ทันใจ
เมื่อถูกโจมตีแล้วการกู้เครื่องกลับมานั้นลำบากมาก อาจจะต้องติดตั้งอิมเมจใหม่แถมต้องตั้งค่าโปรไฟล์แต่ละบุคคลใหม่อีก แต่ Cortex XDR มีฟีเจอร์ที่ช่วยให้การกู้คืนเครื่องกลับมาสถานะที่สะอาดได้ไวขึ้นทันใด ด้วยการลบสิ่งอันตรายจากไฟล์และ Registry Key โดยไม่ต้องทำอิมเมจใหม่หรือสร้างสคิร์ปต์ใดๆ
4.) ขยายการป้องกันสู่ macOS
Cortex XDR Agent 7.2 สามารถทำงานบน macOS ได้แล้ว โดยมีความสามารถเช่น Host Firewall, FileVault Disk Encryption, Device Control on USB, DMG File Analysis
5.) Asset View โฉมใหม่
Asset View ใหม่จะสามารถแสดงข้อมูลและ Incident เฉพาะที่เกิดกับโฮสต์นั้นๆ (รูปประกอบด้านบน) เช่น Service, Users, Group, Share และอื่นๆ เพื่อให้ทีมไอทีสามารถวิเคราะห์ตรงไปยังเครื่องโดยไม่เสียเวลามากนัก นอกจากนี้ Hash View ยังแสดงภาพได้อย่างครอบคลุม
6.) ป้องกันภัยคุกคามแบบครบวงจร
แทนที่จะนั่งรอให้นักวิเคราะห์มาตอบสนองการโจมตี Cortex XDR 2.5 ได้เปิดให้เปลี่ยนจาก Detection Rule ไปเป็นการป้องกันอัตโนมัติได้ นอกจากนี้ผู้ใช้ยังสามารถ Copy และ Edit ตัว Detection Policy เพื่อแก้เป็น Prevention Policy หรือเรียกว่า ‘Behavioral Threat Protection’
ที่มา : https://blog.paloaltonetworks.com/2020/09/cortex-xdr-2-5