Palo Alto Networks y Elastic

Ingesta datos clave para un análisis de la empresa completa.

Visión general de la solución

Palo Alto Networks y Elastic proporcionan una solución integrada para detección de amenazas, priorización interactiva e investigación de incidentes casi en tiempo real, además de respuesta automatizada. En conjunto, la solución ayuda a las organizaciones a protegerse frente a ataques que pueden llevar a vulneraciones de los datos y otras pérdidas o daños.

Elastic SIEM aprovecha la velocidad, escala y relevancia de Elasticsearch, y brinda una integración de datos curada con los logs de Palo Alto Networks a fin de permitir la búsqueda, el análisis y la correlación entre fuentes de datos. Elastic SIEM proporciona un espacio de trabajo interactivo en el que los analistas pueden identificar rápidamente actividades sospechosas, alternar entre todas las fuentes de datos y reunir evidencia relevante para un incidente.

Las integraciones bidireccionales entre Cortex XSOAR y Elasticsearch permiten a los equipos de operaciones de seguridad automatizar y orquestar acciones de respuesta a través de cuadernos de estrategias predefinidos; lo cual optimiza y estandariza la respuesta y resolución de incidentes, además de la gestión de ciclo de vida de incidentes.

Diagram of Palo Alto Networks

Capacidades clave

Palo Alto Networks y Elastic ayudan a los equipos de seguridad a navegar más preparados en el complejo panorama de amenazas actual gracias a que proporciona una solución integrada que se probó en instalaciones de analítica de seguridad de gran escala en todo el mundo. Al usar los dos juntos, puedes hacer lo siguiente:

  • Ingestar logs de firewall PAN-OS de Palo Alto Networks (normalizados con el formato Elastic Common Schema) en Elastic SIEM a través del módulo prediseñado Filebeat Palo Alto Networks
  • Visualizar, buscar y correlacionar logs de Palo Alto Networks con otra información relevante para la seguridad en Kibana mediante Elastic SIEM, dashboards, mapas de calor, mapas geográficos e infografías a fin de permitir la búsqueda de amenazas en tiempo real y la detección automatizada
  • Aplicar las características de machine translation y alertas de Elastic para automatizará la detección de amenazas en varias fuentes de datos a fin de reducir falsos positivos, ayudar a los analistas y operadores a priorizar, y mitigar la fatiga por alertas
  • Las alertas de detección de Elastic SIEM pueden desencadenar cuadernos de estrategias Cortex XSOAR que orquestan acciones de respuesta en todo el stack de productos en un solo flujo de trabajo
Screenshot of SIEM

Casos de uso

Elastic y Palo Alto Networks trabajan juntos para cumplir con los casos de uso vitales.

Amenaza interna y confianza cero: el modelo de confianza cero debe ser la base para realizar operaciones. Como cada red es diferente, sin embargo, es importante conocer exactamente dónde desplegar esos controles de confianza cero. Elastic puede recopilar logs y netflows, crear bases de referencia y ayudar a identificar dónde serían más efectivas las políticas de confianza cero. Las características de machine learning de Elastic identifican anomalías y activan alertas que los administradores pueden usar luego para automatizar acciones (como políticas de firewall) en Demisto.

Inteligencia de amenazas: Palo Alto Networks proporciona herramientas de inteligencia de amenazas avanzadas que ayudan a identificar amenazas a la red, y Elastic facilita la integración de dichas herramientas y permite usarlas en contextos en tiempo real. Las fuentes ingestadas a través de Minemeld, por ejemplo, pueden incorporar etiquetas de AutoFocus que se ingestan continuamente en Elastic SIEM y ponerlas a disposición casi en tiempo real para búsqueda, categorización y atribución dentro de las herramientas de análisis.

IoT y SCADA: las fuentes de sensores de todo tipo de dispositivos pueden ingestarse en Elastic para análisis y reportes. Las anomalías identificadas por machine learning pueden activar alertas en Demisto que realizan acciones inmediatas para aislar o controlar dispositivos en problemas. Los especialistas pueden correlacionar el análisis del servicio de seguridad de IoT de Zingbox con indicadores de otras fuentes de datos empresariales para validar incluso más evaluaciones y automatizar acciones de respuesta como segmentación o cuarentena.

NetOps y SIEM: los datos de red son una de las principales fuentes de inteligencia en la que confían los equipos de ciberseguridad para monitorear e identificar comportamientos de amenaza; y son incluso más poderosos cuando se combinan con otros indicadores. Las fuentes de red detalladas de Palo Alto Networks NGFW pueden normalizarse automáticamente a través de Elastic Common Schema e ingestarse casi en tiempo real. Una vez indexados, pueden correlacionarse con otras fuentes de datos y luego analizarse automáticamente con herramientas como machine learning sin supervisión para brindar información y ayudar a priorizar respuestas.

Respuesta automatizada y orquestación: con más de 300 cuadernos de estrategias de proveedor integrados (y seguimos sumando), Cortex XSOAR es una plataforma poderosa para automatizar acciones en un entorno multiproveedor. Las analíticas de datos e información generados en Elastic pueden usarse para impulsar operaciones automáticas mediante el envío a Cortex XSOAR, mientras Cortex XSOAR puede aprovechar Elastic para agregación y acceso a los datos en tiempo real.

Conoce más

Cuando tecnologías poderosas como Elastic y Palo Alto Networks trabajan juntas, las fuerzas se multiplican. Echa un vistazo a los siguientes recursos técnicos o contáctate con tu equipo de campo local de Elastic para obtener más información.