Boyne Resorts 有一个传统的 SIEM,这个 SIEM 给其安全团队带来了过多的误报,同时也增加了整合数据源的难度和成本。公司需要获得对分布式环境的可视性并实现一流的威胁情报,因此采用了 Palo Alto Networks Cortex XSIAM 和 Unit 42 托管检测与响应 (MDR)。
Boyne Resorts 成立于 1947 年,是跨越美国和加拿大的一系列山区和湖畔度假村、高尔夫度假村、滑雪场和景点。公司总部位于创业之初的密歇根州,目前拥有并经营着从不列颠哥伦比亚省到缅因州的 14 处地产。公司拥有一支超过 11,000 名员工的团队,在发展和创新方面成绩斐然,因此需要采取全面的网络安全措施。
SIEM 表现不理想,使蓬勃发展的公司面临风险
Boyne 的安全运营团队在一个中心位置工作,负责维护对公司分布式网络和设备群中潜在的威胁和暴露的可视性。
团队正在努力解决传统安全信息和事件管理 (SIEM) 系统带来的多方面挑战。尽管 SIEM 只摄取了少量数据,但它产生的误报率很高,而且几乎没有高质量的见解。此外,添加更多数据源的成本高到令人望而却步。
Boyne 的网络架构师 Mike Dembek 解释说:“日志收集是我们的一大弱点。我们的 SIEM 价格昂贵,而且很难整合数据源。”他补充道:“我们一直在追踪不准确的警报。这些都是杂乱无章、毫无关联的信息。”
第三方负责管理 SIEM,但即使有了这些额外的支持,警报量仍然非常巨大。虽然 Boyne 需要从更多数据点收集相关见解,但 Dembek 知道,简单地向 SIEM 添加更多来源会导致更高的价格和更多的噪音。
为了加强几千台公司设备和大量宝贵数据的安全性,Boyne 需要的不仅仅是 SIEM 所能提供的功能,因此,Boyne 选择向 Palo Alto Networks Cortex XSIAM 过渡。公司还与 Palo Alto Networks Unit 42® 合作,持续提供 MDR 服务和 Unit 42 Retainer。
团队看到了 SOC 全面转型的潜力
Boyne 专门的小型安全团队旨在用一个能够提供业务所需的质量和严谨性的 SOC 来取代其原有的 SOC。团队不愿满足于微小的改进。达到一流水平才是目标。
为了实现这一目标,团队需要能够满足以下要求的解决方案:
- 采集更多数据源,而无需高昂的价格
- 将误报率降至最低,减少警报疲劳和时间浪费
- 全面提供更多价值、洞察力和情报
- 有效控制风险,改善 Boyne 的安全态势
- 提供 24/7 全天候服务,延伸公司的内部团队
最终,团队希望在不增加人手的情况下,扩大可视性并深化分析能力。任务艰巨吗?当然。可行吗?有了 Cortex XSIAM 和 Unit 42 MDR,绝对没问题。
“有了 XSIAM,我们可以提高可视性并加快调查速度。无缝数据摄入和自动化设置改变了游戏规则。”
Mike Dembek,Boyne Resorts 网络架构师
从沮丧到明确和安心
Boyne 采用 Cortex XSIAM 后,获得了强大的 SIEM 功能,还有更多。Cortex XSIAM 在一个平台上提供多种功能,包括 SIEM;端点检测和响应 (EDR);网络检测和响应 (NDR);身份威胁检测和响应 (ITDR);安全编排、自动化和响应 (SOAR);等等。
由于成本高、工程难度大,安全团队对是否在之前的 SIEM 中添加数据源犹豫不决,而 Cortex XSIAM 使 Boyne 能够添加多个新数据源,并将摄取的数据量提高了 70 倍。
Cortex XSIAM 支持的原生解析功能使数据采集变得更容易。Boyne 现在能够在一个集中式平台上捕获跨设备、云、身份、web 应用、系统配置等的数据。
更少的噪音带来更多的洞察力
在提高可视性的同时,误报数量也大幅下降。Cortex XSIAM 拥有一个关联引擎,可以将多个警报整合为一个事故,从而减少重复和返工。需要调查的事故从每天 80-100 起减少到 35 起,原因是误报率和发现的重复事故数量都有所减少。
Boyne 的控制和定制能力也达到了新的水平。首席安全工程师 Kenny Hicks 回忆说:“我们以前的 SIEM 没有任何警报调整或自定义警报功能。”“开箱即用的关联警报是 XSIAM 的一大优势。如果需要,我们还可以创建自己的自定义警报。”
有了 Cortex XSIAM,团队在多个领域都看到了改进:
- 数据摄取量从以前 SIEM 的每天 5 GB 增加到 Cortex XSIAM 的每天 350 GB,提供了更强的可视性和保护。
- 数据源从 1 个增加到 21 个,提供了跨各种数据源关联事件的能力。
- 于误报率和重复事故的减少,未决事故减少了 65%,从每天 80-100 起减少到 35 起。
- 解决问题的中位时间减少 98%,从 2-3 天减少到 1.7 小时。
- 减少 95% 的供应商和工具,从调查所需的 20 多个工具和控制面板减少到 1 个。
- SIEM 不再需要联合管理,因为公司能够在内部进行管理。
†MTTR = 中位解决时间(从警报到案件解决的时间)
‡实时调查结案 = 事故被发现后 60 分钟内得到补救
确保安全永不停歇
Boyne 的安全领导者不仅希望加强公司的安全态势,还希望在不扩大团队的情况下拥有全天候的 SOC。
在实施 Cortex XSIAM 后,公司聘请 Palo Alto Networks Unit 42 提供 MDR 服务,补充团队的工作,提供全年全天候服务。通过与 Unit 42 MDR 合作,公司可以利用 Unit 42 世界一流的威胁情报以及在安全和 Cortex 产品方面的丰富专业知识。最终,这为分布式网络和系统提供了全面的可视性和更快的响应速度。
Hicks 说:“MDR 团队乐于助人的精神给我们留下了深刻印象。”“与团队的合作非常成功,让我们提前接触到了 XSIAM 的新功能集,并提高了我们的效率。”
Unit 42 MDR 服务与 Cortex XSIAM 集成在一起,为 Boyne 提供了一个单一的用户界面来审查调查情况并确定下一步措施,从而节省了这个小团队过去花在杂乱无章的系统上的时间,使团队能够专注于更具战略性的重点任务。
Hicks 解释说:“MDR 团队负责处理我们的调查,转发所有警报,并分享一份详细的报告,帮助我们对这些事故做出更快、更准确的决策。”“这为我们的团队节省了大量时间。”
通过持续监控、主动威胁狩猎和 MDR 服务的其他功能,Boyne 安全分析师可以确信,即使自己没有亲眼监视环境,值得信赖的合作伙伴也会监视。
积极主动的姿态帮助公司迎接未来
新方法提供了更多的功能,减少了 Boyne 安全团队的工作量。Cortex XSIAM 是为实现高级自动化而构建的,它使团队能够以更少的投入完成更多的工作。
Dembek 表示:“有了 XSIAM,我们将网络和端点保护拼接在一起,看到了整个因果链。”Hicks 补充说:“XSIAM 让自动化变得简单。只需少量编码就能轻松摄取数据并创建剧本,这大大减少了设置自动化所需的工作量。”
通过使用 Cortex XSIAM 改造其 SOC 并聘请 Unit 42 MDR 服务,Boyne 现在拥有了:
- 对潜在威胁和问题更高的可视性。通过增加 Cortex XSIAM 的数据源数量和采集的总数据量,并借助 Unit 42 MDR 的主动威胁狩猎,Boyne 能够比以前看到更多的东西。
- 高质量警报和改进的检测。通过 Cortex XSIAM 启用的自定义警报和警报调整,团队可以收到更高质量的信息。
- 大幅提升的 AI 和分析能力。得益于 Cortex XSIAM 自带的自定义开箱即用分析功能,公司能够对网络和端点数据进行更多处理。
- 整个安全团队更高的生产力和效率。有了高度成熟的自动化、多个剧本,再加上来自 Unit 42 MDR 的调查见解、专业知识和全天候持续监控,团队可以在更短的时间内完成更多工作。
- 一流水平的威胁情报。通过向 Cortex XSIAM 提供多个信息源,丰富警报和分析内容,Boyne 可以深入洞察潜在的威胁行为体和风险。
世界一流的事故响应随时待命
公司现在也为未来做好了更充分的准备。有了 Unit 42 Retainer,Boyne 将继续采取积极主动的保护措施,同时,精通其环境的专家将随时待命,以便在发生重大事故时迅速作出反应。下一步,Boyne 团队计划将自己的 Retainer 服务额度用于 Unit 42 沙盘推演,希望改进事故响应流程,围绕真实世界的安全场景和最新威胁提高自身的有效性。
安全团队对 Palo Alto Networks 的所有产品和服务在改善公司安全态势方面的协同效果非常满意。
通过与 Palo Alto Networks 合作,Boyne 现在能够更好地应对未来的任何挑战,并在不断创新和发展的过程中确保公司的安全。
“Unit 42 Retainer 与我们的 MDR 和 SIEM 服务配合得天衣无缝。MDR 团队可以在事故响应期间直接过渡到 Unit 42 团队,这正是我们想要的。”
Kenny Hicks,Boyne Resorts 首席安全工程师
了解有关 Cortex XSIAM, Unit 42 MDR 和 Unit 42 Retainer 的更多信息,请访问我们的网站。
分享这个故事
