Palo Alto vient d’annoncer la disponibilité générale de Cortex XSIAM, sa plateforme de sécurité opérationnelle autonome représentant la prochaine génération de centres d’opérations de sécurité (SOC). Outre l’intelligence artificielle (analytique et automatisation), la nouvelle offre est également taillée pour traiter de gros volumes de données. Une configuration qui est nécessaire selon Palo Alto, car les besoins du SOC ont changé, mais pas la conception du SIEM et du SOC.

En effet, la plupart des autres éléments clés de l’architecture de sécurité ont été modernisés. Le point d’extrémité est passé de l’antivirus à l’EDR et à l’XDR, le réseau est passé d’un périmètre « en dur » à la confiance zéro et au SASE, le temps d’exécution est passé du centre de données au cloud. En revanche, le SOC fonctionne toujours sur un modèle SIEM conçu il y a 20 ans.

De fait, l’offre de Palo Alto est taillée pour les gros volumes et l’automatisation afin de réduire la charge des équipes de sécurité cyber. « En tant que leader sur les marchés de la sécurité des réseaux, des points d’extrémité et du cloud, nous collectons une quantité incroyable de données qui peuvent être ingérées et intégrées pour alimenter l’apprentissage automatique, l’analytique et l’automatisation qui pourraient apporter une immense valeur et révolutionner le centre des opérations de sécurité (SOC) », assure Lee Klarich, Chief Product Officer chez Palo Alto.  

Plus d’un billion d’événements par mois

En effet, le SOC de l’éditeur ingère plus d’un trillion d’événements par mois, soit près de 40 milliards par jour, « et regroupe et analyse intelligemment les alertes, ce qui fait que seulement huit incidents par jour en moyenne nécessitent une enquête », affirme Palo Alto. Cortex XSIAM est conçu pour permettre aux organisations de répondre à plusieurs défis : des volumes d’alertes excessifs s’accompagnant d’un nombre élevé de faux positifs, un manque de visibilité dans tous les secteurs de l’organisation, y compris dans les environnements cloud, ainsi qu’un traitement manuel excessif découlant de la gestion de nombreux outils cloisonnés.

Palo Alto Networks utilise Cortex XSIAM dans son propre SOC et a pu constater les avantages de l’intégration intelligente des données, des modèles de menaces basés sur l’apprentissage automatique, de l’automatisation étendue et de l’analyse proactive de l’environnement IT permettant de réduire la surface d’attaque. Selon Palo Alto, Cortex XSIAM traite plus d’un billion d’événements par mois, dont la grande majorité est traitée automatiquement par Cortex XSIAM. « En moyenne, le SOC utilisant Cortex détecte les menaces en 10 secondes et répond aux menaces à haute priorité en une minute, en réduisant de 80 % les alertes que les analystes du SOC doivent traiter », détaille l’éditeur.