NETSCOUT和Palo Alto Networks共同应对安全挑战

在NDR网络检测和响应领域有许多解决方案。这些NDR工具允许您搜索当前或过去的网络流量，以查找网络上系统行为中的异常现象，它们在帮助威胁狩猎者查找其网络上的恶意行为方面发挥了足够的作用。

这是NDR的检测部分，这些工具有助于确定攻击主机和被攻击主机的IP地址。根据这些信息，很容易通过防火墙规则开始阻断恶意行为者。这是NDR的响应部分。

图：OCI帮助安全团队快速检测漏洞，调查威胁，降低风险

解决协调的挑战

不幸的是，大多数这些解决方案的问题是严重缺乏响应部分，而且充其量是一个手工过程。这些解决方案帮助您找到问题，但它们对阻止入侵者或帮助补救情况没有任何帮助。威胁狩猎者只查找到一个已知的不良行为者，但无法阻止该不良行为者继续在网络上造成问题。

这个问题的最佳解决方案是协调不同供应商的工具，允许这些供应商的每个工具执行其设计任务。让NDR设备检测网络上的恶意流量，并与可以阻止不需要的流量的防火墙进行协调。

这就是NETSCOUT和Palo Alto Networks的集成发挥作用之处。

图：OCI与PA防火墙集成快速阻断恶意威胁架构示意

通过协调NETSCOUT公司的Omnis Cyber Intelligence (简称OCI)和Palo Alto Networks公司的Panorama平台，您可以通过一次点击阻断恶意的或不必要的流量。OCI是一个很好的威胁狩猎工具，它允许威胁狩猎者在其网络上发现恶意活动。但是OCI比其他NDR工具更进一步，在OCI上，如果您看到来自未知的外部IP地址或URL的警报，您只需单击阻断图标，命令就会立即发送到Panorama。此命令将向Panorama发送IP地址或URL，并将其添加到此设备上已创建的阻断列表中。

图：OCI针对检测到的威胁发出阻断命令

列表可以自动发送到Palo Alto Networks的防火墙，也可以在推送到防火墙之前手动检查，所有这些都基于您的Panorama策略。这不仅可以更有效地阻断恶意的不需要的流量，还可以减少出错的可能性。

图：Panorama接收到OCI的阻断列表并下发到PA防火墙执行阻断

安全工具集成的好处

这种集成带来了许多好处。首先是易于使用，短短几分钟时间就可以设置好在OCI和Panorama之间建立连接，所有未来的通信都可以通过一次点击完成。第二个好处是在实现阻断时减少错误，在手动过程中，最终用户可能会输入错误的URL或IP地址，从而可能阻碍合法通信或导致网络中断。通过在OCI和Panorama之间的集成，可以自动创建块规则，从而消除这些潜在的错误。

通过协调这两个强大的工具，威胁狩猎者和安全管理员可以更容易地一起工作，以确保快速、准确地阻止不必要的威胁。

图：OCI与安全堆栈完全集成，最大限度地提高ROI