Las integraciones hacen de Cisco XDR una solución poderosa en el Centro de Operaciones de Seguridad del Hat negro nocpara cumplir con nuestra misión central de análisis de malware como proveedor oficial de nubes de seguridad.
A continuación se encuentran las integraciones Cisco XDR para Black Hat USA, que empodera a los analistas para investigar los indicadores de compromiso (COI) muy rápidamente, con una sola búsqueda.
Gracias a Alphamountain.ai y Pulsedivo Donación completa de licencias completas a Cisco, para su uso en el Black Hat USA 2025 NOC.
El panel de control del centro de control XDR mostró el estado de las integraciones durante la semana.
A continuación puede ver las integraciones activas en XDR.
Colaboración con Palo Alto Networks
El Hat Black Hat es una red muy singular donde la competencia se saca de las ventanas y la colaboración se lleva a la vanguardia. Los líderes de Black Hat evalúan múltiples herramientas en el mercado para construir y operar la red (o construyen la suya). El factor distintivo clave es que estas herramientas se eligen con un presupuesto ilimitado ya que los proveedores proporcionan licencias para sus herramientas sin costo para el sombrero negro, junto con el personal para ejecutar/administrar/integrar en la pila de seguridad. Con el factor de costo eliminado, la decisión es simplemente sobre qué herramienta satisface mejor sus necesidades únicas. El resultado es un conjunto extremadamente diverso de herramientas y proveedores que deben estar operacionales e integrados en la ventana de configuración corta.
Este año, decidí echar un vistazo más profundo a Palo Alto Networks XSIAM. Palo Alto Networks es el firewall oficial y el proveedor de XDR/Siem/SOAR para el Hat NEC NOC. Aunque tengo algo de experiencia con Panw Cortex, fue interesante saber qué capacidades adicionales se incluyen en XSIAM, así como comprender la palabra de moda de la próxima generación SIEM. XSIAM es una plataforma de operaciones de seguridad de próxima generación, integrando XDR, SIEM, SOAR, UEBA y AMAZA INTEL en un solo sistema impulsado por la IA para SECOP a gran escala. XSIAM es una plataforma AI First con resúmenes de LLM para cada incidente y Copilot de Microsoft incorporado. El copiloto se puede usar para varios casos de uso que incluyen una búsqueda general de búsqueda o ayuda para crear una consulta XQL particular.
Echemos un vistazo a un incidente de Panw XSIAM y luego veamos cómo se pueden aparecer los mismos datos en Cisco XDR.
Integración en evolución con Palo Alto Networks
Cisco XDR está diseñado para ser una herramienta agnóstica de proveedores con el objetivo de trabajar con la infraestructura existente del cliente. Esto significa que Cisco XDR necesita poder integrarse con herramientas de terceros, incluidas tecnologías que pueden considerarse competencia en el mercado. En The Black Hat Noc, colaboramos con la competencia porque el verdadero enemigo no es otro proveedor sino el adversario. Cisco XDR tiene un módulo de integración para integrarse con Cortex XDR que ofrece capacidad de enriquecimiento tanto para detecciones EDR como para detecciones de firewall. Sin embargo, este enriquecimiento es una consulta a tiempo, punto en el tiempo y que recupera los datos relevantes para lo que se está investigando en Cisco XDR. Esta integración no produce incidentes XDR de PANW.
Para mejorar esta integración, se creó un flujo de trabajo de automatización personalizado para consultar la API PAN-OS directamente para registros de amenazas y luego publicarlos como incidentes en Cisco XDR. Luego, la siguiente fase de la integración aprovechó a Splunk enviando registros de amenazas de Panw a Splunk y luego usando la automatización XDR para consultar Splunk para los registros de amenazas de Panw. El flujo de trabajo de automatización consulta múltiples conjuntos de datos en Splunk y utiliza una variable de tabla global para realizar un seguimiento de los incidentes que se han creado y actualizar o crear nuevos incidentes. Esta lógica puede ser compleja y evita la lógica de correlación de Cisco XDR.
La próxima fase de la integración de Panw está siendo construida actualmente por nuestro equipo de ingeniería y la red Black Hat es la zona de innovación perfecta para obtener datos del mundo real para construir la integración. Nuestro equipo de ingeniería está trabajando para tomar registros PANW NGFW del servicio de registro de estratos, transformarlos en OCSF (marco de esquema de seguridad cibernética abierta) y ingérelos en nuestra plataforma de análisis de datos. Esto significa que los registros de firewall están normalizados y pueden correlacionarse con otros conjuntos de datos para producir incidentes XDR.
Conclusión
El Hat Black Noc proporciona un entorno raro donde la interoperabilidad, la innovación y la colaboración prosperan, independientemente de los límites de los proveedores. La exploración de las redes de Palo Alto XSIAM en este espacio reveló el verdadero potencial de las plataformas Secops de próxima generación, desde el enriquecimiento de incidentes automatizado hasta la integración perfecta con herramientas de soporte como Corelight y Slack. Al mismo tiempo, el diseño de proveedores de Cisco XDR y la integración en evolución con los datos PAN a través de API, Splunk y OCSF demuestran el poder de la colaboración adaptable y multiplataforma. A medida que ambas plataformas continúan evolucionando, el NOC sigue siendo un campo de pruebas para superar los límites de lo que es posible en las operaciones de seguridad modernas.
Sobre el sombrero negro
Black Hat es la serie de eventos de seguridad más establecida y profunda de la industria cibernética. Fundada en 1997, estos eventos anuales de varios días brindan a los asistentes lo último en investigación, desarrollo y tendencias de ciberseguridad. Impulsado por las necesidades de la comunidad, los eventos de sombrero negro muestran contenido directamente de la comunidad a través de presentaciones de sesiones informativas, cursos de capacitación, cumbres y más. Como la serie de eventos, donde todos los niveles de carrera y disciplinas académicas se reúnen para colaborar, establecer contactos y discutir los temas de ciberseguridad que más les importan, los asistentes pueden encontrar eventos de sombrero negro en los Estados Unidos, Canadá, Europa, Medio Oriente y África y Asia. Para obtener más información, visite el Sitio web de Black Hat.
¡Nos encantaría escuchar lo que piensas! Haga una pregunta y manténgase conectado con Cisco Security en las redes sociales.
Cisco Security Social Media
LinkedIn
Facebook
Instagram
incógnita
Compartir:
