¿Qué es XSOAR de Palo Alto Networks?

En términos generales, es una solución orientada a la orquestación y automatización de repuestas a incidentes de ciberseguridad.

Escrito por: Enzo Manzanares

¿Cómo funciona el XSOAR de Palo Alto Networks?

Antes de entrar en ese mundo, es necesario entender que los equipos de ciberseguridad tienen un reto gigantesco cuando hablamos de detección, análisis y respuesta a los incidentes de ciberseguridad, dada la cantidad de herramientas y consolas que, implementadas para poder correlacionar eventos, donde a su vez, la cantidad eventos o alertas suelen ser el alto volumen. Esto trae como resultado una lenta respuesta a los incidentes de ciberseguridad, que en la realidad se traducen en un punto de quiebre para las organizaciones en caso de que un ataque no se pueda contener lo más rápido posible.

En función a estas premisas, es necesario tener soluciones tecnológicas que puedan ayudarnos a enfrentar dichos retos.

XSOAR de Palo Alto Networks, es una solución que unifica los procesos metodológicos, la tecnología y la interacción humana para poder unificar estos 3 grandes pilares y generar una experiencia más rápida y efectiva al momento de responder a un incidente de ciberseguridad.

<<LEE TAMBIEN: ¿Qué es MDR?: Detección y respuesta gestionadas en ciberseguridad>>

Introducción a Cortex XSOAR y sus diferenciales

Para empezar, vamos a detallar los diferentes fundamentos con los cuales Cortex XSOAR basa su funcionamiento:

• Centralización: XSOAR busca centralizar todo desde una consola. Desde la gestión de incidentes, colaboración entre analistas, inteligencia de amenazas, etc. De manera que los analistas de ciberseguridad tengan completa visibilidad de la red desde un solo punto de entrada de información.
  
  
• Colaboración: Esta solución ofrece una War room para poder ayudar a los analistas en las diferentes interacciones o análisis que puedan realizar en los incidentes. Esto ayuda a acelerar la respuesta de los incidentes pero también apoya al intercambio de habilidades que puedan tener los diferentes analistas para resolver un incidentes, permitiendo la documentación en vivo de todas las interacciones de los analistas.
  
  
• Automatización: Con Cortex XSOAR se pueden crear playbooks en función a la respuesta dada a los incidentes de ciberseguridad. Con diferentes integraciones realizadas en los playbooks podemos obtener enriquecimientos de indicadores, disparar notificaciones vía correo electrónico, bloqueo de hashes, IP y dominios, extraer IOC, ejecución de script de Python y poweshell. Todo esto desde la creación de playbooks para generar procesos automáticos donde los analistas tengan la menor cantidad de interacción humana, pero al mismo tiempo mayor control de la gestión de incidentes.
  
  
• Personalización: La adaptación de las soluciones en función a los procesos internos de las organizaciones son un punto critico en estas herramientas, es por eso que Cortex XSOAR tiene la capacidad mediante el layout builder poder crear y/o personalizar formularios y playbooks para poder adaptarse a los procesos internos de forma rápida y con niveles de flexibilización muy altos. Adicionalmente, se pueden crear paquetes de contenidos desarrollados en casa para poder cubrir las diferentes necesidades del negocio.
  
  
• Integración: Con el Marketplace que tiene Cortex XSOAR, se pueden lograr más de 750 integraciones con diferentes tecnologías, desde SIEM, feed de ciberseguridad, Firewall, endpoint, ITSM, etc. Permitiendo así, la centralización de toda la visibilidad de lo que esta sucediendo en la red desde una sola consola.
  
  
• Inteligencia sobre amenazas: Con la inteligencia sobre las amenazas, podemos lograr tener una visibilidad inigualable del panorama global de amenazas, vinculando la información sobre amenazas a los incidentes y automatizando la respuesta en función a la inteligencia aplicada.

Es así como Cortex XSOAR desde una instalación on- premise o cloud ayuda a las organizaciones a mitigar la fatiga de alertas para aumentar los tiempos de respuesta a incidentes de ciberseguridad, permitiendo tener mayor efectividad, ahorro financiero y lo más importante que es aumentar la productividad en los analistas.