Em agosto de 2023, a Cisco anunciou seus planos de encerrar o SecureX, com o fim do suporte e da vida útil programados para 31 de julho de 2024. Em substituição, foi lançado o Cisco XDR.
Enquanto o SecureX foi um aliado valioso, integrando todos os produtos de segurança da Cisco e aplicativos de terceiros, sua ausência de capacidade analítica deixou lacunas na detecção de ameaças. Aqui é onde o Cisco XDR entra em cena, oferecendo uma gama de recursos sofisticados para análise, priorização e resposta direcionada.
O XDR é uma solução abrangente que vai além da simples integração de produtos, oferecendo recursos avançados, como um repositório de dados de longo prazo para análises detalhadas e caça a ameaças retroativas. Além disso, sua capacidade analítica de segurança, alimentada pelo Secure Cloud Analytics e Secure Endpoint, utiliza aprendizado de máquina para detectar incidentes de forma proativa. Isso é complementado pela capacidade de ingestão de telemetria de fluxo de rede, permitindo uma correlação mais eficaz de eventos de segurança.
Navegando pelo Cisco XDR
Centro de Controle
O Centro de Controle XDR serve como o ponto focal para monitorar e gerenciar o ambiente de segurança de uma organização.
Com métricas de alto nível e total personalização, oferece uma visão sob medida das informações mais relevantes.
Incidentes
A aba de Incidentes é onde a ação acontece. Aqui, os profissionais de segurança podem gerenciar e investigar incidentes, provenientes de diversas fontes, incluindo Secure Endpoint e Secure Cloud Analytics.
A priorização automática de incidentes com base no risco de detecção e no valor do ativo permite que as equipes se concentrem nas ameaças mais urgentes.
Funcionalidades:
- Minimiza o tempo gasto na detecção e resposta a eventos de segurança correlacionados.
- Fornece informações críticas necessárias para detectar, triar, investigar e responder em um só lugar.
- Visualização de recomendações para diagnóstico, contenção e remediação imediata.
- Incidentes promovidos do Cisco Secure Cloud Analytics para o Cisco XDR.
- Correlação de alertas em cadeias de ataque reduz o tempo de investigação.
- Extrai metadados de alerta para determinar indicadores comuns.
- Segue o framework MITRE ATT&CK para identificar táticas, técnicas e procedimentos de ameaça
- Visualização de lista de incidentes priorizados por risco.
- Resumo de alto nível do incidente em um só lugar.
- Detalhamento do incidente para compreensão da ameaça e ação rápida.
- Abertura da página de Incidentes para visualizar incidentes automaticamente enriquecidos.
- Classificação dos incidentes com base no escore de prioridade, calculado a partir do risco de detecção e valor do ativo em risco.
Investigar
A investigação é a chave para entender e mitigar ameaças. Com a aba Investigar, os usuários têm acesso a uma vasta gama de dados e podem realizar consultas detalhadas para identificar indicadores de comprometimento em seu ambiente.
O XDR oferece uma interface intuitiva e poderosa para visualizar e analisar os resultados das consultas.
Funcionalidades:
-
Pesquisa de IOCs suspeitos como e-mails, mensagens de log, domínios, URLs e IPs.
-
Extração de observáveis para enriquecimento.
-
O Cisco XDR consulta todas as fontes configuradas para encontrar a disposição de cada observável.
-
Detalhes da investigação são exibidos nos resultados da investigação.
Para fazer uma investigação basta acessar a aba Investigate e inserir os IOCs no painel “Nova Investigação” e clicar em Invetigate.
O resultado é exibido no gráfico de relações, com observáveis mostrados na Linha do Tempo de Observações.
Detalhes adicionais disponíveis nos painéis de Eventos, Ativos e Observáveis, e Indicadores.
As investigações podem ser salvas, e são registros de momentos específicos e podem ser compartilhadas, baixadas ou excluídas.
Inteligência
O XDR é impulsionado pela inteligência, tanto pública quanto privada. Alimentado por fontes confiáveis, como o Cisco Talos, e permitindo a criação e compartilhamento de inteligência privada, o XDR capacita as organizações a permanecerem à frente das ameaças.
Segundo o Center for Internet Security, “Inteligência” é o que a informação de ameaças cibernéticas se torna após ser coletada, avaliada em relação à sua fonte e confiabilidade, e analisada por especialistas com acesso a informações de várias fontes.
- Permite a busca de inteligência de ameaças armazenadas, tanto públicas quanto privadas, com base no Modelo de Inteligência de Ameaças da Cisco.
- Inclui julgamentos, indicadores, eventos e feeds com base nos dados extraídos e considerados mais relevantes para resposta a incidentes.
- Visualização de julgamentos públicos e privados para insights sobre associações de disposições a observáveis.
- Identificação de padrões de comportamento malicioso através de indicadores.
- Registro de eventos relacionados a observáveis cibernéticos para contexto de inteligência de ameaças.
- Criação e atualização de listas de observáveis maliciosos, suspeitos ou limpos para configuração de políticas de segurança.
Recursos de Inteligência Disponíveis:
- Julgamentos: Associação de uma disposição a um observável cibernético, válido por um período explícito.
- Indicadores: Descrevem padrões de comportamento ou condições indicativas de comportamento malicioso.
- Eventos: Registro da aparição de um observável cibernético em uma data e hora específicas.
- Feeds: Permite criar inteligência de ameaças personalizada e capturar descobertas sobre investigações de ameaças.
Automação
A automação é fundamental para lidar com o volume e a complexidade das ameaças modernas. O XDR oferece um mecanismo de automação nativo em nuvem, com uma ampla biblioteca de fluxos de trabalho pré-construídos e a capacidade de criar fluxos de trabalho personalizados sem a necessidade de programação.
Dispositivos
A visibilidade é essencial para uma defesa eficaz. Através da aba Dispositivos, os usuários podem obter uma visão abrangente de todos os ativos em sua organização, enriquecidos com dados de várias ferramentas de segurança da Cisco. A capacidade de ajustar o valor do dispositivo permite uma priorização mais inteligente dos incidentes relacionados.
Gestão de Clientes
O recurso de Gestão de Clientes com Secure Client é o Cliente de Mobilidade Segura de próxima geração que combina as funcionalidades existentes do AnyConnect e Secure Endpoint com uma solução de Gerenciamento em Nuvem em uma única interface de usuário unificada.
Funcionalidades:
- A página de Clientes fornece uma visão geral dos dispositivos Secure Client na organização.
- A página de Implantações oferece uma lista de todas as implantações de Secure Client na organização do Cisco XDR e permite aos usuários definir uma lista de todos os pacotes e perfis relacionados que devem ser instalados em todos os computadores em uma implantação específica dentro de uma organização.
- A página de Registros de Auditoria fornece um registro de tarefas de criação, modificação ou exclusão realizadas por usuários do Secure Client na organização do Cisco XDR. Apenas usuários com função de Administrador podem visualizar os Registros de Auditoria.
- A página de Perfis oferece uma lista de todos os perfis Secure Client na organização do Cisco XDR e permite criar perfis que controlam o software de endpoint Secure Client.
- A página de Eventos de Dispositivos fornece um registro de dispositivos que utilizam o Gerenciamento em Nuvem Secure Client no Cisco XDR e atividade de implantação para esses dispositivos.
Administração – Integrações
As Integrações oferecem a capacidade de conectar o XDR a uma ampla variedade de produtos de segurança, tanto da Cisco quanto de terceiros. Isso permite uma defesa unificada e uma resposta coordenada às ameaças.
Em resumo, o Cisco XDR é uma ótima ferramenta para aumentar as opções na detecção e resposta de incidentes, bem como reduzir o tempo na identificação e contenção de ameaças.
Mais informações no Cisco XDR Help Center.
Até a próxima.
You must be logged in to post a comment.