Boyne Resorts 的舊型 SIEM 導致其安全團隊因誤判而承受非常大的負擔,同時使得數據來源整合變得困難且昂貴。為了獲得整個分散式環境的可視性並達到同級最佳的威脅情報,該公司實作 Palo Alto Networks Cortex XSIAM 和 Unit 42 託管式偵測與回應 (MDR) 服務。
Boyne Resorts 創立於 1947 年,旗下擁有遍布美國和加拿大的山地和湖畔度假村、高爾夫度假村、滑雪場以及各類景點。該公司總部位於密西根州,也是其最初創地的地點。如今,Boyne Resorts 擁有並經營從不列顛哥倫比亞省到緬因州的 14 個據點。擁有超過 11,000 名員工以及一連串成長與創新的輝煌記錄,使得該公司需要全面的方法來保障其網路安全性。
表現不佳的 SIEM 系統使蓬勃發展的公司面臨風險
Boyne 的安全作業團隊集中在同一個地點工作,負責持續監控該公司分散式網路和所有裝置的潛在威脅與暴露。
舊型的安全資訊和事件管理 (SIEM) 系統不僅讓該團隊疲於奔命,更在多個方面帶來了挑戰。儘管 SIEM 僅處理少量數據,但誤報率卻很高,能提供的有用見解也很少。此外,增加更多數據來源的成本也高昂到令人卻步。
正如 Boyne 網路架構師 Mike Dembek 所解釋的:「日誌收集是我們的一大弱點,我們的 SIEM 不但價格昂貴,而且很難整合資源。」他補充說:「我們持續不斷嘗試找出不準確的警示。整個系統的運作毫無章法,無法協同工作。」
儘管 SIEM 系統是由第三方負責管理,但警示數量仍然龐大。雖然 Boyne 需要來自更多數據點的相關見解,但 Dembek 明白,一直增加 SIEM 數據來源只會增加成本,甚至帶來更多干擾。
若要針對數千個公司裝置和大量高價值數據加強安全性,僅依靠 SIEM 已無法滿足需求,因此 Boyne 選擇轉換至 Palo Alto Networks 的 Cortex XSIAM。該公司還與 Palo Alto Networks Unit 42® 合作提供持續的 MDR 服務和 Unit 42 聘用團隊服務。
該團隊看到了整體 SOC 轉型的潛力
Boyne 的小型專業安全團隊致力於透過符合業務需求的高品質和嚴謹性的產品取代其舊型 SOC。且團隊並未因小幅度改進而自滿,而是以同級最佳的地位為目標。
為了實現此一目標,團隊需要以下解決方案:
- 大幅增加數據來源,而不會造成高額成本
- 提供最低的誤判率,以避免警示麻痺和時間的浪費
- 全面提供更多的價值、見解和情報
- 有效控制風險並改善 Boyne 的安全狀況
- 提供全天候的服務以擴展公司內部團隊
最終,該團隊希望擴大可視性並深化其分析能力,而無需增加更多人力。這樣的要求很高嗎?當然。可行嗎?有了 Cortex XSIAM 和 Unit 42 MDR,絕對沒問題。
「透過 XSIAM,我們不但能夠提高可視性,還能加快調查速度。無縫的數據上線和自動化設定改變遊戲規則。」
Boyne Resorts 網路架構師 Mike Dembek
從挫敗轉變成清晰與安心
當 Boyne 採用 Cortex XSIAM 後,不僅大幅強化其 SIEM,還得到更多增強功能。Cortex XSIAM 透過單一平台提供多種功能,包括 SIEM、端點偵測與回應 (EDR)、網路偵測與回應 (NDR)、身分威脅偵測與回應 (ITDR),安全協調、自動化和回應 (SOAR) 和其他功能。
過去由於成本和涉及的工程難度過高,使得安全團隊對於是否要為先前的 SIEM 新增數據來源經常感到猶豫不決,但有了 Cortex XSIAM 之後,Boyne 能夠新增多個數據來源,並將數據處理量提升 70 倍。
Cortex XSIAM 提供的本機解析使數據上線變得更加容易。Boyne 現在能夠跨裝置、雲端、身分、Web 應用程式、系統設定等擷取數據,所有這些都在同一個集中化平台中進行。
更少的雜訊達到更強而有力的見解
除了可視性提高之外,誤判次數也大幅減少。Cortex XSIAM 的關聯引擎可以將多個警示整合成單一事件,減少重複和重工的情況。由於誤判率和重複事件的減少,需要調查的事件數也從每天 80-100 件減少到 35 件。
Boyne 也獲得了新的控制和自訂層級。「我們之前的 SIEM 沒有任何警示調整或自訂警示功能,」首席安全工程師 Kenny Hicks 回憶道。「立即可用的關聯警示是 XSIAM 的一大優勢。我們還可以視需要建立自己的自訂警示。」
透過 Cortex XSIAM,團隊在多個方面取得顯著進步:
- 數據獲取量從先前 SIEM 的每日 5 GB 提升至 Cortex XSIAM 的每日 350 GB,可以提供更高的可視性和防護力。
- 數據來源從 1 個增加至 21 個,提供跨各種數據來源建立事件關聯性的能力。
- 由於誤判率和重複事件的減少,開放事件減少 65%,從每天 80-100 起減少到 35 起。
- 解決問題的平均時間大幅降低 98%,從 2-3 天縮短至 1.7 小時。
- 廠商和工具數量減少 95%,從調查所需的 20 多個工具和儀表板減少到 1 個。
- 不再需要 SIEM 共同管理,因為公司能夠進行內部管理。
†MTTR = 平均解決時間 (從警示到案例解決的時間)
‡即時調查結案 = 事件在偵測後 60 分鐘內補救
確保持續不間斷的安全性
Boyne 安全領導者不僅想加強公司的安全狀況,還希望擁有一個全天候運作的 SOC,而不需要擴展他們的團隊。
在實施 Cortex XSIAM 後,他們與 Palo Alto Networks 的 Unit 42 團隊合作提供 MDR 服務,以增強團隊的工作能力並提供全年無休的涵蓋範圍。透過與 Unit 42 MDR 的合作,該公司能夠利用 Unit 42 的世界級威脅情報以及在安全性和 Cortex 產品方面的豐富專業知識。最終在分散式網路和系統中獲得完整的可視性並加快回應速度。
「我們對於 MDR 團隊的協助熱忱印象深刻,」Hicks 表示。「雙方之間的合作非常成功,我們不僅能提前接觸到新的 XSIAM 功能,我們的營運也變得更有效率。」
Unit 42 MDR 服務已整合至 Cortex XSIAM 中,為 Boyne 提供單一使用者介面來檢閱調查結果並決定後續步驟,以節省小型團隊在不同系統間切換的時間,使其可以專注於更具策略性的優先事項。
「MDR 團隊協助處理我們的調查、轉發任何警示並分享詳細報告,使我們能更快速、更準確地針對這些事件做出決策,」Hicks 解釋道。「這為我們的團隊節省大量的時間。」
透過持續監控、主動威脅捕捉等 MDR 服務,Boyne 的安全分析師可以放心,即使在他們未親自監控環境的時候,也有可靠的合作夥伴能夠代勞。
積極主動的態度為公司的未來奠定基礎
這個新方法不僅能提供更多功能,還能減輕 Boyne 安全團隊的工作負荷。Cortex XSIAM 的目的在於實現進階的自動化,使團隊能夠以更少的資源完成更多工作。
「透過 XSIAM,」Dembek 表示,「我們將網路和端點防護整合在一起,觀察到整個因果鏈。」Hicks 補充道,「XSIAM 讓自動化變得簡單。只需最少的編碼即可輕鬆擷取數據並建立劇本,大大減少進行自動化所需的努力。」
在透過 Cortex XSIAM 達到 SOC 轉型並持續利用 Unit 42 的 MDR 服務之後,Boyne 現在能夠:
- 提升對於潛在威脅和問題的可視性。透過增加數據來源和 Cortex XSIAM 所擷取的數據總量,以及由 Unit 42 MDR 提供的主動威脅捕捉,Boyne 已獲得比以往更多的可視性。
- 高品質的警示和提升的偵測能力。Cortex XSIAM 的自訂警示和警示調整功能使團隊能獲得更高品質的資訊。
- 大幅提升的 AI 和分析能力。利用 Cortex XSIAM 所提供立即可用的自訂分析功能,該公司能夠在網路和端點數據上取得更好的成果。
- 提高整個安全團隊的生產力和效率。憑藉高度成熟的自動化、多個劇本以及來自 Unit 42 MDR 的調查見解、專業知識和全天候持續監控,該團隊能夠在更短的時間內完成更多工作。
- 同級最佳威脅情報。隨著 Cortex XSIAM 中的多個來源所強化的警示和分析,Boyne 能夠深入了解潛在的威脅行動者和風險。
隨時待命的世界級事件回應
該公司現在也為未來做好更充分的準備。透過 Unit 42 聘用團隊,Boyne 將持續採取積極主動的保護措施,同時擁有熟悉其環境的專家隨時待命,以便在發生重大事件時快速做出回應。接下來,Boyne 團隊計劃利用其聘用團隊積分進行 Unit 42 桌面演習,以加強事件回應程序並提升在真實安全情境和最新威脅下的因應能力。
Boyne 的安全團隊對於所有 Palo Alto Networks 的產品和服務均能透過協同方式來強化公司的安全狀況感到非常滿意。
透過與 Palo Alto Networks 合作,Boyne 現在能夠進行更充分的準備來因應未來的任何挑戰,並在公司不斷創新和發展的同時確保公司的安全。
「Unit 42 聘用團隊與我們的 MDR 和 SIEM 服務完美配合。MDR 團隊能夠在事件回應情境中直接接觸 Unit 42 團隊,這正是我們想要的功效。」
Boyne Resorts 首席安全工程師 Kenny Hicks
在我們的網站上了解有關 Cortex XSIAM、Unit 42 MDR 和 Unit 42 聘用團隊的更多資訊。
分享本故事
