端点保护为有效的安全策略奠定了基础,Cortex XDR 的端点保护在独立的第三方评估中始终优于 CrowdStrike EDR。在MITRE ATT&CK® 第3轮评估中,Cortex XDR阻止了100%的攻击,而CrowdStrike则为70%。而在MITRE ATT&CK第4轮评估,Cortex XDR 以 98% 的技术级检测率领先于 CrowdStrike 的 71%,继续在端点保护和检测方面表现出领先地位。
原文链接:https://www.paloaltonetworks.com/cortex/xdrvscrowdstrike
那么,当这些以端点为中心的结果明确时,为什么要相信CrowdStrike呢?那么,跨端点、网络、云等的真正 XDR 的更全面范围又如何呢?Cortex XDR 是第一款拥有成功记录的 XDR®,受到 3,000 多家客户的信赖。在下面了解有关Cortex XDR如何超越CrowdStrike的详细信息。
最好的保护
预防优先的方法应该是组织终结点安全策略的基础。当涉及到未知恶意软件时,Cortex XDR的行为威胁防护和AI驱动的分析在现实世界中都优于CrowdStrike。米特雷·阿特克评估和影音比较测试。
行为威胁防护很重要。通过跟踪活动链的顺序并在这些操作发生时应用上下文,行为威胁防护能够自动准确地识别和防止高度规避的复杂攻击。结合基于技术的漏洞利用防御、全球威胁情报和云辅助分析,皮质透体透体 XDR 代理提供更好、更强大的保护。
CrowdStrike对基于哈希的保护和IoC的依赖只关注已知的攻击和事后检测,因此保护会受到影响,正如他们的证明。无法阻止 30% 的攻击在 MITRE 第 3 轮中。
明显卓越的检测性能
保护从来都不是完美的。在检测和可见性方面,Cortex XDR 再次出现明显优越到人群罢工。Cortex 丰富的遥测集合和广泛的基于云的分析检测模块可识别整个攻击生命周期中的恶意活动,并为分析师提供解决问题所需的数据。
这些卓越的检测功能有助于解释为什么Cortex XDR在MITRE ATT&CK评估中始终优于CrowdStrike。在 MITRE 第 4 轮,CrowdStrike在94个分析检测中只发现了109个,其中11个延迟检测。延误可能会产生严重后果。实时检测意味着更快的响应时间和对组织的影响更小。
更快、更完整的调查和响应
Cortex XDR 自动将警报分组到事件中,提供威胁建模,收集完整的上下文并构建时间线和攻击序列,以了解攻击的根本原因和影响。客户研究表明,Cortex XDR 可以将安全警报减少 98%* 以上,并将调查时间缩短 88%。 此外,一键式修复可加快所有受影响端点的攻击恢复速度。
CrowdStrike更依赖于分析师来调查并从攻击中恢复。事件单独显示,响应单独完成,修正手动完成,自动化程度有限。最终结果可能是风险更大、效率更低和恢复延迟。*基于 Cortex XDR 客户环境的分析。
** Palo Alto Networks SOC 分析显示调查时间从 40 分钟缩短到 5 分钟。
| Cortex XDR | CrowdStrike | |
| 最好的保护 | 100% 威胁防御 – 领先 √ 在 MITRE ATT&CK 评估中连续 100 年实现 3% 威胁预防,在 AV-比较 EPR 中实现 100% 整体主动预防。 √ 单个代理包括专门构建的勒索软件引擎、基于 AI 的本地分析和行为威胁防护,以阻止复杂和规避攻击。 √ 内置端点防火墙、设备控制和 WildFire® 沙盒加分析功能可识别新威胁并自动分发更新。 | 70%的保护是否足够好? × 未能阻止 MITRE 第 30 轮和第 3 轮中 7% 的攻击,错过了(子步骤)保护 × 米特雷第四轮评估。CrowdStrike继续与未命中和延迟测试的威胁作斗争。 × 保护缺乏行为威胁防护和对静态哈希分析的依赖。 × 有限的预防模式,端点防火墙和设备控制仅作为昂贵的附加选项提供 |
| 明显卓越的检测性能 | 基于分析的检测推动结果 √ MITRE 第 98 轮评估中的分析覆盖率和技术级检测率为 2.4%。 √ 广泛的数据收集和 AI 驱动的数据分析推动了快速准确的检测。 √ 新的检测规则分析新数据和历史数据,以实现完全可见性。 | 可见性不完整和遗漏检测在 × MITRE 第 15 轮评估中错过了 4 次技术检测,其中 11 次延迟检测。 × 机器学习狭隘地专注于与身份相关的事件和日志,并且只能支付额外费用。 × 历史数据从新的检测规则范围中排除。 |
| 更快、更完整的调查和响应 | 自动化加速获得结果 √ 事件的自动关联使分析师能够查看整个事件,警报分组和事件评分可将调查时间缩短 88%。 √ 机器隔离和恢复可以单独或批量完成。 √ 一键式修复使响应者能够快速从事件中恢复。 | 手动活动会增加延迟 × 每个事件都单独呈现,需要更多的精力和时间来分析和确定事件范围。 × 缺乏自动化任务意味着分析师浪费了宝贵的时间,他们必须单独和手动响应,而无需一键修复。 |
| 企业契合度 | 为您的组织量身定制 √ 几乎可以从企业范围内的任何系统日志、事件日志、文件√ 拍或源中提取数据。 √ XDR 包括端点保护,并通过单个统一代理完全交付。 行业领先的 Linux 操作系统覆盖范围。 √ 检测规则和仪表板可轻松自定义,以支持每个组织的独特需求。 √ 经过验证的成熟 XDR 产品,拥有 5,000 多家客户。 | 一种尺寸并不适合所有人 × 端点以外的数据仅限于CrowdSrike联盟合作伙伴。 × 用于 EDR 和身份分析的单独代理增加了复杂性和用户体验。 × Linux 覆盖范围不完整,功能支持有限。 × 基本和最小的自定义选项。 × 未经验证的首次发布 XDR 产品。 |
Cortex XDR在MITRE ATT&CK®评估中的表现始终优于CrowdStrike。
在MITRE ATT&CK第4轮评估,Cortex XDR通过“技术级分析检测”识别了超过97%的攻击子步骤,而CrowdStrike的这一比例为71%。技术检测是黄金标准,提供了解所执行操作、原因和方式所需的所有详细信息和上下文,使安全分析师能够采取措施并修正威胁。Cortex XDR 为您的分析师提供卓越的情报,以便在早期阶段阻止攻击者。
您应该要求端点安全提供商能够防御所有对手的策略和技术,以避免您的 SOC 团队因警报、事件和可能的违规行为而过载 – 所有这些都是可以预防的。