Palo Alto Cortex XSOAR 6.13 for Linux - 安全编排、自动化和响应 (SOAR) 平台

最新推荐文章于 2025-10-30 08:35:52 发布
原创 最新推荐文章于 2025-10-30 08:35:52 发布 · 978 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Palo Alto #XSOAR #SOAR

Palo Alto Cortex XSOAR 6.13 for Linux - 安全编排、自动化和响应 (SOAR) 平台

Security Orchestration, Automation and Response (SOAR) platform

请访问原文链接:https://sysin.org/blog/cortex-xsoar-6/ 查看最新版。原创作品,转载请保留出处。

作者主页:sysin.org

Palo Alto Logo

重新定义安全编排和自动化
Cortex XSOAR 是一种综合安全编排、自动化和响应 (SOAR) 平台,能够统一案例管理、 自动化、实时协作和威胁情报管理,在整个事件生命周期内为安全团队提供支持。

who-use-it

SOAR 平台的主要新功能

安全编排
快速大规模地响应事件

  • 集成了数百种产品
  • 数千个自动化操作
  • 直观的剧本编辑器

案例管理
获取、搜索和查询所有安全警报

  • 自定义事件布局
  • 自动记录
  • 仪表盘和报告

协作与学习
通过协同工作 (sysin),提高调查质量

  • 虚拟战情室
  • 调查界面
  • 机器学习

威胁情报管理
分析、管理威胁情报并据其采取措施

  • 威胁来源汇总
  • 细化指标视图
  • 情报共享与响应

Cortex XSOAR 的工作原理

Cortex XSOAR 从检测源(例如,安全信息和事件管理 (SIEM) 解决方案、网络安全工具、威胁情报源和邮箱)获取汇总的警报和威胁指标 (IOC),然后执行基于流程的自动化剧本以实现丰富并响应事件 (sysin)。这些剧本跨技术、安全团队和外部用户进行协调,以集中可视化和处理数据。

how-to-work

安全运营中心

通过 Palo Alto Networks 的虚拟 SOC 之旅,深入了解安全运营。单击每个感兴趣的点,了解我们如何防止针对自己企业的网络攻击。

位于 Palo Alto Networks 的安全运营中心 (SOC) 的任务是保护我们在全球的 1 万名员工和不断扩展的 5 万个端点组成的网络。我们的 SOC 还监控我们的数据中心和全球 7.5 万个客户使用的安全服务。了解他们如何利用自动化,通过一个由 SOC 分析师组成的精干内部团队提供这些服务。

新增功能

Cortex Xsoar 结合了安全编排,事件管理和互动调查,以实现无缝体验。编排引擎旨在自动化安全产品任务并编织人类分析师任务和工作流程。

2024 年 10 月,版本 6.13

平台

Cortex XSOAR 6.13 现在支持以下软件:

  • Oracle Linux versions 8.9 and 9.3 (for engine and server installation)
  • RHEL versions 8.10 and 9.4 (for engine and server installation)
  • Elasticsearch versions 8.11, 8.12 and 8.13
  • OpenSearch versions 2.10, 2.11, 2.12, 2.13, and 2.14

迁移

使用可简化迁移过程的内置向导,将您的所有数据、配置和设置(包括指示器和事件)从 Cortex XSOAR 6.13 本地无缝迁移到 Cortex XSOAR 8 Cloud。

Cortex XSOAR 8 旨在提供提高的性能和可靠性。现在,它基于经过改进的云本地微服务体系结构而高度可扩展。 Palo Alto Networks 管理性能和扩展,使您能够专注于调查和响应。

修复

21 个已知问题修复,限于篇幅,不在列出,详见官方文档。

系统要求

Operating Systems:

Operating SystemSupported Versions
Ubuntu18.04, 20.04 (OVF), 22.04 (OVF)
RHEL7.x, 8.x, 9.0-9.3
Oracle Linux7.x, 8.9, 9.3
Amazon Linux2

Hardware Requirements:

ComponentDev Environment MinimumProduction Minimum
CPU8 CPU cores16 CPU cores
Memory16GB RAM32GB RAM
Storage500GB SSD1TB SSD with minimum 3k dedicated IOPS

下载地址

历史版本:

  • Palo Alto Networks Cortex XSOAR 6.10 for Linux, 2022-12
  • Palo Alto Networks Cortex XSOAR 6.11 for Linux, 2023-04

Palo Alto Networks Cortex XSOAR 6.12 for Linux, 2023-09

Palo Alto Networks Cortex XSOAR 6.13 for Linux, 2024-10

更多:HTTP 协议与安全

Paloalto+新一代安全平台-2014-4-28-CN.pdf
10-22
PaloAlto
Paloalto+产品解决方案综述-2013-11.rar
10-22
Paloalto防火墙集成了应用程序识别、用户身份识别内容识别等功能,使得安全策略的应用更加精细化个性化。这种集成还允许安全团队更加高效地进行威胁分析响应,缩短了安全事件的处理时间。 文档中还详细介绍了...
内容:Demisto现在是Cortex XSOAR。 利用Cortex XSOAR不断增长的内容存储库来自动化协调您的安全操作。 拉取请求始终受到欢迎,并受到高度赞赏!
02-12
Cortex XSOAR平台-内容存储库 Demisto现在是Cortex XSOAR。 此存储库包含Demisto提供的用于自动化编排安全操作的内容。 在这里,我们将分享我们不断增长的剧本,自动化脚本,报告模板其他有用内容的列表。 我们安全人员喜欢修补,不断完善完善我们的工具集,因此我们决定开放所有内容,并使其成为整个安全社区的协作过程。 我们希望创建有用的知识,并构建灵活的,可定制的工具,并在进行过程中彼此共享。 我们邀请您使用剧本脚本,对其进行修改以适合您的需求,并查看对您有用的内容,参与社区讨论,当然要记得回馈贡献,以便其他人可以从您的辛勤工作中学习学习,在此基础上进一步增强它。 文献资料 如果您希望开发贡献内容,请确保检查我们的Content Developer Portal: : 贡献 欢迎赞赏的贡献。 有关添加/修改内容的说明,请参阅我们的。 剧本
Palo Alto Cortex XSOAR 8.8 for ESXi - 安全编排自动化响应 (SOAR) 平台
sysin | SYStem INside
04-14 1176
Palo Alto Cortex XSOAR 8.8 for ESXi - 安全编排自动化响应 (SOAR) 平台
【亲测免费】 推荐开源项目:Cortex XSOAR平台内容库
gitblog_00055的博客
05-15 580
推荐开源项目:Cortex XSOAR平台内容库 Cortex XSOAR平台内容库 是一个由Demisto发起的开源项目,现在更名为Cortex XSOAR,旨在推动安全操作的自动化编排。这个仓库包含了丰富的内容,如playbooks、自动化脚本、报告模板等,提供了一个社区协作的环境,促进安全专家们共享改进工具。 项目介绍 Cortex XSOAR平台内容库是一个开放的资源集合,它为安全...
Palo alto Administrator Guid 管理员指南中文版
08-27
Palo alto Administrator Guid 管理员指南中文版,新手管理员手册中文版。
paloalto防火墙的优势
weixin_33898233的博客
04-19 2179
1.所有 Palo Alto Networks 防火墙提供一个可用于执行防火墙管理功能的带外管理端口 (MGT)。通过使用该 MGT 端口,可以将防火墙的管理功能与数据处理功能分开,从而保护对防火墙的访问权并提高性能。 转载于:https://www.cnblogs.com/xinghen1216/p/10737238.html...
信息安全-安全编排自动化响应 (SOAR) 技术解析
热门推荐
码者人生的技术博客
05-30 1万+
提升安全响应效率不能仅仅从单点去考虑,还需要从全网整体安全运维的角度去考虑,要将分散的检测与响应机制整合起来。而这正是 SOAR 要解决的问题。
安全编排自动化响应SOAR):从事件响应到智能编排的技术实践
迷路的小绅士之家
04-25 2274
SOAR安全运营从“人力驱动”转向“技术驱动”的关键枢纽,其价值在于将碎片化的安全工具整合成高效的自动化流水线。企业需根据自身规模选择实施路径:中小企业可从开源工具(如OpenSOAR)起步,聚焦高频事件(如恶意IP封禁)的自动化;大型企业应选择商业平台(如Splunk SOAR),实现跨域协同智能决策。在实施过程中,需注意平衡自动化与人工干预,避免因过度自动化导致误操作(如误封正常业务IP)。
Palo Alto Networks推出Cortex AgentiX:Agentic AI驱动安全代理平台,开启安全自动化新纪元
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
10-30 599
摘要:Palo Alto Networks推出全新AI安全代理平台Cortex AgentiX,通过Agentic AI技术突破传统安全自动化局限。该平台具备四大核心能力:预置代理覆盖高频场景、无代码构建器降低使用门槛、支持多代理协同编排、严格治理机制确保安全可控。同时发布的Cortex Cloud 2.0Prisma AIRS 2.0与其形成协同防御体系,提升多云安全管理AI威胁防护能力。这一创新标志着网络安全从"工具驱动自动化"向"Agentic AI驱动自主化&quo
Palo Alto PAN-OS 11.2.5 VM-Series for Hyper-V - ML 驱动的新一代防火墙
sysin | SYStem INside
08-04 752
Palo Alto PAN-OS 11.2.5 VM-Series for Hyper-V - ML 驱动的新一代防火墙
Palo Alto PAN-OS 11.2.5 VM-Series for KVM - ML 驱动的新一代防火墙
sysin | SYStem INside
07-28 906
Palo Alto PAN-OS 11.2.5 VM-Series for ESXi, KVM & Hyper-V - ML 驱动的新一代防火墙
精选资源
Original-Palo-Alto-Networks-PSE-Strata-Exam-Questions-for-Best-Preparation-2021-
03-22
因此,专业人士推荐更新的Palo Alto Networks PSE-Strata考试转储,以节省金钱时间 Palo Alto Networks PSE-Strata考试信息: 供应商: Palo Alto Networks 考试代码: PSE-Strata 认证名称: Palo A
Paloalto PCNSE 题库 Palo-Alto-Networks-PCNSE
04-01
Paloalto PCNSE 题库 Palo-Alto-Networks-PCNSE
PaloAlto PCSAE (84Q) - ITMaterialsTribe.pdf
02-14
Palo Alto Networks Certified Security Automation Engineer(PCSAE)是Palo Alto Networks公司提供的一项专业认证,旨在验证工程师在安全自动化领域的技能知识。这个认证考试,代码为PCSAE,包含了84个问题,...
五次多项式换道转向避撞轨迹规划可视化Matlab代码(分析不同车速与路面附着系数对换道时间、距离及横向加速度的影响)
11-27
五次多项式换道转向避撞轨迹规划可视化Matlab代码(分析不同车速与路面附着系数对换道时间、距离及横向加速度的影响)内容概要:本文介绍了一套基于五次多项式插值的换道转向避撞轨迹规划方法,并提供了完整的Matlab可视化代码实现。该方法用于自动驾驶或智能车辆在紧急避障场景下的平滑轨迹生成,重点分析了不同初始车速与路面附着系数对换道过程的影响,包括换道所需时间、行驶距离及横向加速度的变化规律,从而评估轨迹的安全性与舒适性。文中通过仿真展示了在多种工况下轨迹的动态特性,帮助理解车辆动力学约束与路面条件对路径规划的影响。; 适合人群:具备一定车辆动力学基础Matlab编程能力的研究生、科研人员及从事自动驾驶路径规划的工程技术人员。; 使用场景及目标:①研究自动驾驶车辆在避障换道过程中的轨迹生成与优化;②分析车速与路面摩擦系数对换道性能(如时间、距离、横向加速度)的影响;③为智能驾驶系统提供可验证的轨迹规划算法原型与仿真平台; 阅读建议:建议结合Matlab代码逐段运行并调整参数(如车速、附着系数),观察仿真结果变化,深入理解五次多项式在横向轨迹规划中的应用优势与局限,同时可扩展至更复杂的动态环境或多车协同场景。
中国移动数据分类分级及重要数据管控指导意见(1).docx
11-27
中国移动数据分类分级及重要数据管控指导意见(1)
基于数据驱动的 Koopman 算子的递归神经网络模型线性化,用于纳米定位系统的预测控制研究(Matlab代码实现)
最新发布
11-27
基于数据驱动的 Koopman 算子的递归神经网络模型线性化,用于纳米定位系统的预测控制研究(Matlab代码实现)内容概要:本文围绕“基于数据驱动的Koopman算子的递归神经网络模型线性化”展开,旨在研究纳米定位系统的预测控制方法。通过结合数据驱动技术与Koopman算子理论,将非线性系统动态近似为高维线性系统,进而利用递归神经网络(RNN)建模并实现系统行为的精确预测。文中详细阐述了模型构建流程、线性化策略及在预测控制中的集成应用,并提供了完整的Matlab代码实现,便于科研人员复现实验、优化算法并拓展至其他精密控制系统。该方法有效提升了纳米级定位系统的控制精度与动态响应性能。; 适合人群:具备自动控制、机器学习或信号处理背景,熟悉Matlab编程,从事精密仪器控制、智能制造或先进控制算法研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①实现非线性动态系统的数据驱动线性化建模;②提升纳米定位平台的轨迹跟踪与预测控制性能;③为高精度控制系统提供可复现的Koopman-RNN融合解决方案; 阅读建议:建议结合Matlab代码逐段理解算法实现细节,重点关注Koopman观测矩阵构造、RNN训练流程与模型预测控制器(MPC)的集成方式,鼓励在实际硬件平台上验证并调整参数以适应具体应用场景。
鄱阳湖水系.zip
11-27
水系流域矢量数据,坐标系wgs84,是流域范围,数据格式shp格式
SOAR安全编排自动化响应
05-10
<think>好的,用户想了解SOAR安全编排自动化响应)的概念、工具实现方法。首先,我需要先回顾一下SOAR的基本定义。根据Gartner的定义,SOAR是Security Orchestration, Automation, and Response的缩写,主要涉及安全流程的编排自动化以及事件响应。用户提到的引用里也提到SOAR的核心组件包括编排自动化、工作流引擎等[^1][^2]。 接下来,我需要分解用户的问题。用户需要知道概念、工具实现方法这三个部分。首先,概念部分应该包括SOAR的定义、核心功能发展背景。然后,工具部分需要列举一些主流的SOAR平台,比如Splunk的Phantom、IBM Resilient等,并简要说明它们的特点。实现方法可能需要涉及如何构建SOAR系统,包括集成现有工具、设计工作流程、自动化脚本开发等。 另外,用户提供的引用中提到SOAR体系是SOA、SIRPTIP的结合[^2],这一点需要在概念部分详细说明,帮助用户理解其组成。工具方面,引用里提到了Splunk的Phantom,这是一个具体的例子,可以重点介绍。 还需要考虑用户可能的实际需求,比如他们是否在寻找如何选择或部署SOAR工具,或者如何将SOAR整合到现有的安全架构中。因此,在实现方法部分,应该包括实施步骤最佳实践,比如需求分析、集成现有系统、流程设计等。 最后,生成相关问题时要围绕用户可能进一步感兴趣的点,比如与SIEM的集成、开源工具、实施挑战等。确保问题覆盖概念深入、工具比较、实际应用等方面,帮助用户全面了解SOAR。</think>### SOAR安全编排自动化响应)详解 #### 一、核心概念 1. **定义** SOAR(Security Orchestration, Automation and Response)是一种通过**编排安全工具**、**自动化响应流程****集中化事件管理**提升安全运营效率的技术体系。其目标是将分散的安全操作整合为标准化、可重复的工作流。 2. **三大核心能力** - **编排(Orchestration)**:连接防火墙、SIEM、EDR等异构系统,例如通过API实现跨平台联动 - **自动化(Automation)**:用预定义规则处理重复任务,如自动封禁恶意IP(示例代码见下文) - **响应(Response)**:提供可视化剧本(Playbook)指导应急处置 3. **技术演进** 源于安全运营中心(SOC)对**事件响应速度**的需求,结合了SOA(服务导向架构)、SIRP(事件响应平台)、TIP(威胁情报平台)三大技术体系[^2]。 #### 二、典型工具对比 | 工具名称 | 开发商 | 核心特性 | |----------|--------|----------| | Splunk Phantom | Splunk | 可视化剧本设计,600+预集成连接器 | | IBM Resilient | IBM | 与Watson AI深度整合,强合规支持 | | Palo Alto Cortex XSOAR | Palo Alto | MITRE ATT&CK框架映射,机器学习分析 | | Microsoft Sentinel | 微软 | 原生集成Azure生态,低代码自动化 | #### 三、实现方法 1. **基础架构搭建** ```python # 示例:自动化封禁IP的伪代码 def block_malicious_ip(ip): firewall.update_rules(action='DENY', target=ip) siem.add_tag(event_id, '已处置') ticket_system.create_ticket(f'已封锁恶意IP: {ip}') ``` 2. **关键实施步骤** - **工具集成**:通过REST API/SDK接入现有安全产品 - **流程建模**:使用BPMN规范定义事件处置流程 - **剧本开发**:针对钓鱼攻击、数据泄露等场景编写响应逻辑 - **闭环验证**:通过紫队演练测试自动化覆盖率 3. **效能评估指标** - MTTR(平均响应时间)降低幅度 - 人工干预减少比例 - 误报场景的自动过滤准确率
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值