בואו נדבר רגע על “השילוש הקדוש” של עולם ההגנה על נקודות הקצה (Endpoint Security). עד לא מזמן, השוק היה מחולק די ברור: היה את CrowdStrike שנחשב למוביל בשליטה ובהגדרות, ואת SentinelOne שנחשב לפתרון יעיל, מהיר ונוח לניהול.
המצב הנוכחי: החיים עם SentinelOne ביום-יום שלי, אני עובד בעיקר עם SentinelOne. אני חייב להודות – הוא עובד “סבבה” לגמרי.
הוא נותן מענה מצוין לאירועים, מזהה איומים בזמן אמת, ועושה את העבודה. אבל, לכל מוצר יש את תקרת הזכוכית שלו. בתור מי שאוהב “ללכלך את הידיים” בקונפיגורציה, אני מרגיש לפעמים שסנטינל קצת מוגבל בהגדרות העומק שלו בהשוואה ל-CrowdStrike. ב-CS אפשר לרדת לרזולוציות מטורפות של פוליסי, בעוד שבסנטינל החוויה היא לפעמים קצת יותר “Black Box”.
ואז הגיע הכנס של Inacom… השבוע ישבתי בכנס של Inacom (המפיצה של Palo Alto Networks), והציגו שם את ה-“ילד החדש” יחסית בשכונה: Cortex XSIAM.
האמת? הגעתי סקפטי ויצאתי מרותק. מה שפלאו אלטו עשו שם זה מהלך מעניין. הם לא סתם יצרו עוד EDR, הם בנו פלטפורמה שמנסה לפתור את אחת הבעיות הכי גדולות שלנו: ריבוי מערכות.
למה אני שוקל בכובד ראש לעבור ל-XSIAM? היתרון הגדול שקרץ לי הוא לא רק יכולות הזיהוי (שהן מעולות), אלא העובדה שזה מוצר שמשלב בתוכו SIEM מלא. תחשבו על זה:
- קונסולידציה (Consolidation): במקום לרכוש EDR בנפרד, ואז לשבור את הראש איזה SIEM להביא, ואיך לחבר ביניהם – אני מקבל מענה לשני צרכים קריטיים במוצר אחד.
- קישוריות לענן: היכולת של XSIAM להתחבר בצורה טבעית (Native) למערכות הענן שלי היא יתרון עצום. בעולם שבו ה-SaaS וה-Cloud הם המטרות העיקריות לתקיפה, אני צריך כלי שרואה את התמונה המלאה, לא רק את הלפטופ של העובד.
- ביצועים: מהדמו שראיתי, יכולות הניתוח והאוטומציה שם נראות כמו קפיצת מדרגה אמיתית.
ההתלבטות עוד לא הכנסתי את המערכת, ואני בדרך כלל לא ממהר להחליף סוס מנצח (או לפחות סוס שעובד טוב כמו סנטינל). אבל הערך המוסף של קבלת SIEM אינטגרלי הוא משהו שקשה להתעלם ממנו, גם מבחינה תקציבית וגם מבחינה תפעולית.
מעניין אותי לשמוע מכם: מישהו כאן כבר עשה את המעבר ל-Cortex XSIAM? האם ההבטחה ל-SIEM אחוד באמת עובדת בשטח כמו במצגות?
#CyberSecurity #EDR #XSIAM #PaloAltoNetworks #SentinelOne #CrowdStrike #InfoSec #ITManagement