paloalto端点优先：规划人工智能驱动的安全运营的路线图

动的安全运营的路线图能驱CortexbyPaloAltoNetworks|端点优先：规划人工智能驱动的安全运营的路线图|白皮书 111执行摘要依赖孤立安全工具的安全运营团队遭遇的网络攻击比防御者的反应速度更快。这些团队面临着严峻的现实：处理成千上万条缺乏背景信息的警报、耗费大量时间进行人工检测、攻击者在分析人员拼凑出事件真相的同时悄然潜入。要确保孤岛式架构的安全，就需要一种全新的、颠覆性的方法，即以端点为基础的统一安全操作平台。该平台使用高精度端点代理，负责拦截和收集全面的端点遥测数据，这是最丰富的攻击情报来源。它还扩展到网络、云、身份和电子邮件数据。凭借广泛的背景信息，组织便能获得应对现代威胁所必需的可见性、检测能力和响应效率。这种端点优先的转型模式，能够伴随组织机构在安全成熟度之路上共同成长——无论是资源受限但寻ITSOC的成熟企业，都能从中获益。通过采用这种方法，组织在检测准确性、响应速度（数分钟对比数天）和运营效率方面都有了显著提高，而且自适应防御能力会随着威胁的变化而不断演变。了解端点优先架构如何统一可视性、实现检测自动化，以及实现机器快速响应。看看它如何为资源有限的团队，以及准备构建未来人工智能驱动型SOC的成熟企业提供可量化的成果。攻击速度与检测能力之间的差距从未如此之大。建立在孤岛式工具基础上的传统安全架构根本无法提供能够阻止当今威胁所需的统一可视性和响应速度。现代威胁格局攻击速度很快，以小时而不是以天计算。这种速度和复杂性给安全小组带来了巨大挑战。他们需要来自多个领域的数据，以极快的速度了解攻击的展开情况并对其进行分析。孤岛式途径的弱点

关键问题台|片可见性恶意软件检测EDR/端点安全过程监测防火墙规则象限网络防火墙用户身份验证身份和访问管理云安全本地的响应措施流量分析IDS/IPS权限控制CSPM访问日志容器安全API监测图1.传统的孤岛式安全架构2传统的端点检测和响应(EDR)、防火墙和云安全工具各自为政。此外，传统的SIEM2警报疲劳分析师们正被来自大量低可信度信源的成千上万条孤立的、缺乏背景信息的警报所淹没。他们很难从噪音中分辨出信号，导致需要花费太长时间来处理关键的变化。传统的SOC模式是围绕人工分析师建立的，要求安全小组每天浏览数百条警报，但大部分时间都花在误报上。全面可视性端点上的警报缺乏来自网络或身份源的背景信息，反之亦然。分析师必须在SIEM或不同的工具中手动拼接事件，这样做既慢又容易出错。现代的统一方法为了有效地应对复杂的威胁，组织必须从端点这一主要攻击点开始，在统一数据的基础上建立安全架构。随着数据量和警报数量的增长，以人为主导的方法已经无以为继，需要从根本上转向人工智能驱动的安全操作。33多层次、人工智能驱动的预防实时阻止威胁的能力是最重要的功能。这就需要在端点本身运行一套强大的防御系统。领先的解决方案利用从数以万计的全球客户处获得的分析见解，针对最新的攻击行为持续训练人工智能模型。这种方法可以实时拦截复杂的威胁。经过严格测试的功能可在部署后立即发挥作用，兼具有效性和准确性，既能防止已知的恶意软件，也能预防新的攻击技术，而无需进行大量调整或设定基准期。例如，这种类型的防御措施能够在恶意代码执行之前，主动阻止利用软件漏洞（Web服务器漏洞的攻击尝试，从而在攻击入点就有效化解零日威胁。不间断的丰富遥测数据流下一个同样重要的功能是为整个安全操作平台配备一个主传感器。智能体必须从进程执行、网络进检测、调查和响应的基础。领先的解决方案可从端点收集广泛的遥测数据，建立具有背景信息的情报，从而实现高度准确的安全分析，以机器速度检测威胁。此外，领先的平台在独立评估（如MITREATT&CK®评估）中展示了卓越的检测能力，其中表现最佳的平台在首次尝试时就获得了完美的技术级检测分数。44SecOps有效性。跨域数据输入(XDR)需要将这些数据与来自其他重要安全领域的信号融合在一起，以创建整体威胁可视性。XDR起来，从而准确检测攻击并简化调查：网络DNS日志。身份和访问管理(IAM)ActiveDirectoryIAM和身份验证系统。云基础设施，如云提供商日志、容器运行时数据和无服务器环境。SaaS应用程序，如生产力套件和协作工具。电子邮件，如基于云的电子邮件服务。这种数据集成方法解决了SOC所面临的一个基本挑战，即组织往往部署了数十种安全工具，但在应对单个事件时，需要在许多工具之间协调数据和行动。通过统一这些不同的数据源，XDR平台消除了盲区，并提供所需的跨域可见性，以检测孤立的端点、网络和云检测与响应工具所忽略的规避性威胁。获取跨域数据使安全小组能够了解完整的攻击生命周期，而不是调查孤立的事件，从而帮助将零散的安全操作转变为具有凝聚力的防御策略。人工智能驱动的核心能力统一的数据基础可实现全面的威胁检测和响应。从深度端点遥测和扩展数据源开始，数以千计由机器学习(ML)驱动的探测器不断评估传入的数据，以发现可规避传统签名式防御的各种高级攻击。这种机器学习优先的方法可处理大部分威胁检测工作，使安全分析师能够专注于验证、高级威胁追踪和修复工作。智能事件管理XDR平台利用机器学习自动将相关安全事件关联到统一的事件中，从而消除了耗费分析师时间的手动工作。与同一攻击相关的所有检测都会被归类到一个案例中，从而揭示出完整的关联故事。攻击叙事得以实现，这得益于对共享工件（IP地址）、因果关系链（A以及相关事件的时间序列分析。这种能力转变使安全小组从被动的警报处理转向主动的威胁调查。基于风险的优先级安全小组能够利用自动风险评分，将资源集中用于造成最大业务风险的威胁。根据事件中问题的累积情况对事件进行评分。我们对多种因素进行了评估，包括检测多种警报类型、跨多个数据源的活动，以及与组织和全球基线相比所观察到的文件或行为的统计稀有性。通过考虑受影响的系统、用户权限和攻击复杂程度，XDR可确保影响较大的威胁立即得到关注。业务情报可视化攻击时间表和根本原因分析可加快事件响应速度，同时提供合规报告以及与利益相关者沟通所需的文档。XDR平台将各种安全事件映射到MITREATT&CK等标准框架，从而为攻击者所使用的技术提供通用的表述和统一的理解。这种方法使安全领导者能够清楚地了解攻击进展和业务影响情况。利用预定义的自动化剧本和快速操作，分析师可以在几分钟内而不是几小时内修复威胁。55统一安全操作和人工智能驱动的检测原则为现代威胁防御提供了战略框架。CortexXDR®是这种端点优先理念的典范，它将这些基本概念转化为可测量的安全成果。以下场景展示了以CortexXDR端点为中心的安全架构如何处理不同的攻击载体，并使安全小组能够了解和应对复杂的威胁。情景A：高级端点威胁（勒索软件）攻击路径攻击者利用Web服务器漏洞，使用PowerShell执行、投放恶意脚本并尝试加密文件。商业挑战全球数据泄露的平均成本为444万美元，而勒索软件攻击被攻击者披露时的具体成本平均为508万美元。1传统对策在EDR、网络监控和文件安全工具中出现多个断开警报。在攻击过程中，安全小组需要花费45—60分钟的时间将事件关联起来，在此期间，攻击者成功加密，并导致业务中断。理想的响应措施预防：CortexXDRWeb服务器上阻止初始攻击。检测和调查：如果模块设置为只检测模式，CortexXDR显示了整个链条：IIScmd.execscript.exeransomware.exe。分析师可以查看编码命令，并通过即时根源分析确定攻击载体，以便今后进行预防。业务价值CortexXDR将平均检测时间(MTTD)和平均响应时间(MTTR)从数小时缩短到数分钟，从而防止了业务中断且没有恢复成本。自动响应功能有助于在威胁蔓延到整个网络之前将其隔离。《2025年数据泄露的成本：人工智能监管缺口》，IBMandPonemonInstitute，2025730日。和攻击路径和攻击路径>业务影响444万美元Web服务器>...PowerShell恶意件 •恢复成本+监管处罚停机时间延长EDR警报可疑进程异常流量需要手动关联网络警报脚本投放传统方法加密文件安全警报CortexXDR方法可疑进程预防45-60分钟安保团队分漏洞利用保护阻止初始攻击 漏洞利用保护阻止初始攻击 自动响应调查期间中的攻击进展检测45-60分钟因果链：IIS流cscript.exeCortexXDR：数分钟即可解决立即进行根本原因分析cmd.exe •ransomware.exe调查时间：从几小时调查时间：从几小时防止业务中断，避免带来恢复成本情景B：云原生入侵攻击路径

在横向移动之前自动隔离威胁图2.情景A：高级端点威胁（勒索软件）攻击者利用容器中的Web应用程序，获取云提供商账户的访问权限，创建新身份以实现持久访问，并从存储桶中外泄数据。商业挑战涉及多个环境（包括云）的数据泄露事件平均造成505万美元的损失，攻击者通常可访问多个云服务和数据存储库2。传统对策来自容器安全、云访问日志和网络监控的孤立警报导致了可见性存在缺口。安全小组往往难以将容器被入侵与后续发生的云账户接管联系起来，这就让攻击者得以建立持久化访问权限并实现数据外流。理想的响应措施CortexXDRWebshell的执行、利用提取的容器机密IAM用户，以及对云存储桶的异常访问。安全领导者可全面了解混合基础设施的攻击范围。业务价值更快的遏制速度可降低数据暴露风险和监管合规成本。清楚地了解云攻击的进展情况，可以更有效地进行事件响应和业务风险评估。IBMandPonemonInstitute，数据泄露成本报告。攻击路径攻击路径业务影响505万美元容器Web应用 程序漏洞利用云提供商帐户访问新的IAM持久化数据外泄存储桶多种服务数监管合规性成本据储存库访问vs.vs.完整攻击链：CortexXDR方法集成平台——完整攻击链：CortexXDR方法集成平台——单一事件视图 3创建新的IAM用户（持久化）2通过容器机密访问凭证1在容器中执行Webshell4异常存储桶访问混合基础设施的全面可视性传统方法WebshellI用户输云接管无法连接：结果：持久化已建立，数据已外泄→IAM完整的攻击范围不明确为安全领导层提供更快的遏制速度为安全领导层提供方案C：身份驱动型入侵攻击路径

通过全面了解攻击范围，进行有效的事件响应清晰地了解图3.情景B清晰地了解通过网络钓鱼窃取用户凭证。攻击者利用它们来删除卷影副本(VSS)。然后，他们从可疑地点登录用户的SaaS账户，并配置电子邮件转发规则进行数据外泄。商业挑战内部威胁和凭证泄露是造成重大数据泄露的原因，每次事件的平均成本超过490万美元3。传统对策身份警报、端点检测和电子邮件安全警告仍然处于断开状态。安全小组在多个平台上开展人工调查，而攻击者则使用合法凭证访问敏感数据并建立持久性。理想的响应措施CortexXDR可自动将多个来源的警报合并为一个案例：防火墙警报：用户访问了一个已为人所知的网络钓鱼网站。端点警报：恶意文件下载并试图删除卷影副本（已阻止）。身份警报：不可能的旅行——用户从新的地理位置进行验证。SaaS警报：Microsoft365中创建了新的邮件转发规则。IBMandPonemonInstitute，2025年数据泄露成本报告。将警报拼接在一起的功能可提供任何单一工具都无法提供的全面背景信息。它使安全领导者能够迅速做出反应，并就潜在事件与业务利益相关者进行明确沟通。业务价值在这种情况下，缩短遏制时间可最大限度地减少数据暴露和潜在的监管处罚。详细的案例文档可以为合规性报告和董事会层面的安全事件沟通提供支持。攻击路径攻击路径网络钓鱼业务影响490万美元Web 应用程序漏洞利用VSS账户访问删除SaaS可疑位置登录电子邮件转发滥用合法凭证数据外泄通过电子邮件外泄数据合规与监管压力和和防火墙警报传统方法用户访问了一个已为人所知的钓鱼网站检测到试图删除VSS端点警报防火墙警报传统方法用户访问了一个已为人所知的钓鱼网站检测到试图删除VSS端点警报身份警报检测到不可能的旅途SaaS警报Microsoft365中新建转发规则须跨部门进行人工调查：警报仍然处于断开状态•+++电子邮件安全攻击者在调查过程中使用合法凭证

CortexXDR方法自动警报分组⸺单一统一事件CortexXDR方法自动警报分组⸺单一统一事件1 234网防火墙网端点SaaS完整的事件情境站访问VSS创建的规则从最初的网络钓鱼到数据外泄的完整攻击时间表实现快速响应，并清晰地传达给利益相关方安全领导者获得完整的背景信息，以用于制定决策与业务利益相关者进行清晰地沟通图4.方案与业务利益相关者进行清晰地沟通CortexXDR以端点为中心的方法使组织能够从根本上转变其安全运营，从被动的灭火，转变为主动的业务支持。PowerShell执行PowerShell执行端点警报具网络警报进程：cmd.exe→powershell.exeIP的出站连接目的地：5:443严重性：中 Severity:低 端点警报 身份警报严重性：中 严重性：中 端点警报 电子邮件警报严重性：高 严重性：中 转发至：exl@受影响的文件：7用户：文件：scs1之后：统一事假设的例子：假设的例子：6个单独警报；1个具有完整背景信息的统一事件果：警报减少高达98%#2024-0945风险评分受影响的系统：395/100有风险的数据：高MITRE:检测到多种技术IoC警报SmartScore检测到多种警报类型检测到罕见警报或罕见警报组合•检测到恶意软件 多个来源的警报被隔离的主机禁用用户账户隔离的文件cmd.exePowerShell已建立外部连接完整攻击用户证书遭到入侵下载了恶意脚本大规模文件加密尝试创建电子邮件转发规则自动化红利

图5.传统方法对比CortexXDR统一警报管理方法6 高保真的情境案例是开启可信自动化的关键。CortexXDR能自动采取有针对性的补救措施，因为它能通过相关性和因果关系分析了解攻击的全过程。CortexXDR本机嵌入了6 例如，CortexXDR中的端点调查智能体通过以下方式对身份驱动型入侵情景做出响应：进行快速取证收集和分析，以确认威胁。终止端点上的可疑进程链。将受影响的主机隔离在网络之外。ActiveDirectory中禁用受威胁的用户账户。生成完整的合规性案例文档。CortexXDR可自主处理端点调查任务，如监控警报队列、初始警报分流、数据浓缩和遏制行动。我们估计，这些智能体团队成员（如端点调查智能体）可帮助您减少75%的人工劳作。4AISOC中实现更高的自主性，随着时间的推移，成熟的安全小组会在很大程度上实现重复性任务的自动化。释放人类潜能自动化处理重复性的分流和修复任务，使安全分析人员能够转向主动、高影响力的活动，如威胁追踪、战略规划和改进安全态势。通过利用自动化技术，组织可以更有效地保护业务，同时为安全专业人员创造更有吸引力的角色（6）。自动化(自动化(I/L)检测、分析师分析师(I/L)自动化加灵活，能够在不同职责之间无缝切换。SOC的组织表示，通过自动化处理重复性任务，安全分

图6.手动为先的运营和机器为先的运营对比析师的工作满意度得到了显著提升，从而在人才紧缺的市场环境中实现了更高的人员留存率。安全小组成为业务推动者，而不是业务瓶颈，为数字化转型计划和业务增长目标提供支持。成熟之旅这种方法可以满足组织在安全方面的需求。他们可以从部署具有详细遥测收集功能的CortexXDR端点安全方案入手，然后基于相同的智能体和数据基础，随着时间的推移，无缝发展成为功能齐全、SOC平台。CortexXDRSecOps转型提供无缝过渡，而不会出现“翻新-替换”方法所造成的干扰。CortexXDR利用单一智能体架构保护所有主要操作系统和云运行时，从而降低了运营开销和总体拥有SOCCortexXDR单一智CortexXSIAM®的基础和直接路径，这是一个由人工智能驱动的平台，能够统一并重塑您的整个安全运营中心。对于这种实施策略，组织可以从同类最佳的端点防护开始，验证检测准确性，并调整行为模型，逐步实现高可信度场景的自动响应，并将数据摄取扩展到网络、云和身份来源。这种循序渐进的方法既能保护现有投资，又能随着威胁的发展不断改进和扩展。“CortexXSOAR处理网络钓鱼威胁”，PaloAltoNetworks，202271日。小企业面临的现实情况SOC小企业面临的现实情况虽然“成熟之旅”这一概念预设了组织拥有专职的安全资源，但市场上相当大一部分客户面临的却是截然不同的现实。对于中小型企业来说，面临的挑战是在没有SOC的情况下实现有效的安全。对于安全小组规模较小的组织来说，安全挑战看起来有所不同。这些公司面临着与大型企业相同的复杂威胁（如勒索软件、云漏洞和凭证盗窃），SOC的资源。他们的现实情况很严峻，37IT团队需要身兼数职，负责从服务台工单，到基础设施管理，再到网络安全的所有工作。工具陷阱小型组织往往继承了为大型企业设计的复杂安全架构——多点解决方案，每个解决方案都需要专门的专业知识、持续的调整和不断的关注。典型的部署可能包括单独的EDR、防火墙管理、云安全和电子邮件保护工具。每种工具都会产生自己的警报，需要自己的控制台，并需要专业知识才能有效操作。然而，在人员有限的情况下，警报疲劳就会成为一个巨大的障碍，转移小团队的注意力，并导致可能几乎没有冗余人员进行重点调查，从而错过关键威胁。安全工具仅在警报模式下运行，因为团队可能不确定要不要启用自动响应，担心业务运营受到干扰，无法快速补救。维护和集成复杂的点解决方案需要消耗大量的预算和工程资源，从而减缓了采用创新安全实践的速度。以端点为中心的安全改变了既有平衡对于资源有限的团队来说，以统一数据和智能自动化为基础、以端点为中心的方法对于大规模实现有效的安全防护既有益又至关重要。免费的端点工具只能提供基本的保护，却无法实现上下文或自动化，传统的托管服务也会增加经常性成本，却无法建立内部能力，与之不同的是，以端点为中心的平台既能提供即时保护，又能为发展奠定基础。CortexXDR平台迎合了这一现实：单一智能体所带来的简易性：CortexXDRIT方案，而不是同时使用多个工具，从而大大降低了运营开销。开箱即用，功效立竿见影：需要小型团队可能缺乏的专业知识。智能化降低警报数量：该平台可将数以千计的低语境警报转化为易于管理的高保真案例，供小型团IT用一个统一平台5。“GuocoLand建立了统一的安全基础”，PaloAltoNetworks，2025128日。CortexbyPaloAltoNetworks|端点优先：规划人工智能驱动的安全运营的路线图|白皮书 13自动响应能力：IT40%-50%。本地托管的检测和响应(MDR)：全职人员或签订传统的托管安全服务提供商合同。小企业在行动中面临的现实情况5IT1,5003点面临勒索软件攻击。有了CortexXDR：端点会自动阻止最初的漏洞利用尝试。相关侦察活动会自动关联到一个案件中。自动响应可隔离受影响的系统，无需人工干预。周一上午，IT团队就会收到一份按优先顺序排列的完整案例。30分钟进行核实和记录。如果不采用这种方法，同样的攻击会在多个工具中产生40多个断开的警报，需要数小时的手动关联，而且由于团队在周末无法工作，攻击有可能得逞。发展方向小型企业需要一种本质上的不同方法，既承认它们的局限性，又提供无懈可击的保护。通过从以CortexXDR端点为中心的基础开始，这些组织获得了企业级的安全性，其精干团队可以将其付诸实施。随着需求的增长——增加更复杂的威胁检测、扩展云基础设施或建立专门的安全角色——同一平台和数据基础可以无缝扩展。ITMDR服务，而无需进行SOC，但仍需要抵御复杂威胁的组织而言，这种基础方法使企业级安全变得容易和实用。CortexbyPaloAltoNetworks|端点优先：规划人工智能驱动的安全运营的路线图|白皮书 1477未来恢复能力的蓝图CortexXDR在一个统一的平台中提供由人工智能驱动的端点安全，并提供来自网络、云工作负载、身份和电子邮件的扩展背景信息。组织可以通过从被动的、警报驱动的态势转变为主动的、以威胁为重点的方法，自动缝合数据源中的活动，生成优先级高的案例，并实现快速调查和响应，从而转变其安全运营。Unit42®MDR与CortexXDR无缝互补，提供全天候专家主导的监控、威胁追踪和协调响应，在不增加人员的情况下扩大SOC容量，并加快遏制速度。这一蓝图既能阻止当今复杂的漏洞，又能为未来人工智能驱动的SOC建立一个适应性强的基础。战略基金会以CortexXDR端点为中心的智能：MITREATT&CK结果，提供威胁检测所需的全面可见性。PaloAltoNetworks100%检测的供应商6。预防为主的方法：止已知和未知的攻击。统一分析平台：98%数小时的工作时间。自动响应能力：智能代理，使安全小组能够以机器速度运行。Unit42MDR扩展：CortexXDR操作手册。久经考验的行业领导者：PaloAltoNetworks2025Gartner®端点保护平台魔力象限™的“Gartner®PeerInsights中，其“推荐意愿”得分高达98%，在所有供应商中名列前茅7。可扩展架构：CortexXSIAMSOC转换的