S
Cortex SecOps-Pro 高频考点速记表
Palo Alto Networks Cortex · XSIAM / XDR / XSOAR · 基于 60 题提炼 · 考前 10 分钟速扫 · Ctrl/⌘+P 可打印
⭐ 黄金法则(必背)
定位三剑客:XDR=跨端点/网络/云/身份的检测响应,SIEM 侧重日志聚合,XSOAR 侧重编排自动化;跨域关联+自动响应选 XDR。
Log Stitching(日志缝合)把 NGFW/GlobalProtect/XDR agent 等碎片数据重组成统一因果链,是 XDR 中'X(Extended)'跨源关联的基础,不做检测/防护/修复。
XQL 是 Cortex XDR 与 XSIAM 通用的专有查询语言(非 Python/PS/JS);查询必须以 dataset 阶段开始指定数据源。
True Positive=对真实恶意活动正确告警;误报=False Positive、漏报=False Negative、真阴=True Negative,别混。
Broker VM 是 XDR/XSIAM 侧把本地(on-prem)日志送入 Cortex Data Lake 的桥梁;XSOAR 分段网络里做集成用的是 XSOAR Engine,两者别混。
威胁狩猎发现恶意进程后首要任务是全环境搜 SHA256 哈希评估范围(scope & impact),不是立即隔离/删除/阻断(那是事件响应遏制)。
分层 SOC:Tier-1 分诊(Triage)初查低严重性新告警并判定升级紧急度,事件响应人员处置已升级事件,威胁狩猎主动调查。
Analytics(行为分析)基于机器学习,须先学习一段时间建立基线(baseline)后才能启用,靠比对基线找异常而非签名匹配。
DBot Score 多源冲突取最严重裁定:一源判恶意一源判良性,最终=Malicious。
MTTD(平均检测时间)等价于 Dwell Time(驻留时间),是衡量 SOC 有效性最关键 KPI;MTTA=确认、MTTR=响应、MTTC=遏制。
🖥️ Cortex XDR(端点检测与响应)
Log Stitching:把防火墙/Prisma Access/agent 碎片缝成统一因果链(causality chain),支撑跨网络+终端调查、细粒度 BIOC 与 correlation 规则。
Causality Analysis Engine(CAE):后端核心,梳理端点/网络/云遥测,做根因分析(root cause)+生成取证时间线,不做自动修复。
Analytics Engine:针对多事件、偏离基线的行为异常告警(不是 CAE)。
Causality View(因果视图):层级化可视呈现同一事件的全部告警及进程执行链,核心取证工具。
Remediation Suggestions:一键还原受影响文件/被改注册表键,降 MTTR 首选内置功能。
RBAC:控制台内按工作职能分配管理员/分析师权限(最小权限),管人不管威胁响应或流量策略。
XDR vs EDR:整合网络+云+身份形成统一威胁全景选 XDR;仅端点行为监控/隔离是 EDR。
Device Control:按类型/厂商/具体设备限制 USB 等外设,防未授权 U 盘、降数据外泄。
JMP2RET/Stack Pivot Protection(EPM):监控 stack pivoting 与 jump-to-return 检测阻止 ROP 利用(串联 gadget 绕 DEP)。
Live Terminal:控制台内建响应,远程访问端点 CLI 做手动取证/修复。
BTP 误报内部自研应用:在 Incident View 为该告警建针对性 Exception(例外),不整体禁用/不加 Block List。
Reports:可发受密码保护 PDF,并附 XQL widget 截图。
⚠ 易错
Log Stitching 不做实时防护/修复,也不写修复脚本。
CAE 只做根因+取证时间线,不做自动修复或告警降噪去重。
基线偏离/行为异常是 Analytics Engine,别混成 CAE。
限制 USB 用 Device Control,不是 Host Insights/BTP/Malware Profile。
ROP 栈转移防护选 JMP2RET/Stack Pivot,不是 Anti-Exploit Core/LPE Protection/DLL Security。
Live Terminal 获取 CLI,不是 Remote Shell/Python Console;Action Center 只管理已下发操作。
BTP 误报别整体禁用 BTP、别加 Global Block List(那是拉黑非放行)、别移到无安全组。
报告不自动推送 intranet、不用 mock data。
RBAC 不是'按角色自动响应威胁'或'流量策略精细控制'。
🛰️ Cortex XSIAM(SOC 平台)
Incident Stitching(事件缝合/Correlation):用 ML 把相关告警自动归组为单个可管理事件,减轻告警疲劳。
Entity Profiling(实体画像):用 ML 为每个用户/主机建'正常'基线,提供可搜索历史活动与风险等级,支撑 UEBA。
Content Pack:从 Marketplace 交付安全智能与配置,可安装/升级 Analytics alerts 与 Data Model rules。
Sensor(传感器):分布式采集组件,只负责采集日志与遥测并送中央平台。
响应操作因 OS 而异:Linux 无 File search and destroy(仅 Windows),但可用 Live Terminal/运行脚本/断网。
Cortex Gateway(前 Cortex Hub):所有 Cortex 应用(XDR/XSIAM/XSOAR)的集中管理平面,给新非 SSO 用户授租户访问从这里入手。
Cloud Discovery & Exposure(ASM):发现未受管设备/影子 IT/未装 agent 的云资产,消除盲区。
Playbook 任务类型含 Sub-playbook、Conditional、Data collection、标准/自动化。
Platformization(平台化):整合各自为政的工具到统一平台,收益是降复杂度+改善数据关联。
⚠ 易错
告警归组是 Incident Stitching,不是干扰项 Alert Stitching;XDM Mapping/Analytics Engine 都不负责。
建 UEBA 基线画像是 Entity Profiling,不是 XQL Engine/Broker VM/Data Ingestion Service。
Content Pack 不含 Playbook triggers、BTP。
Sensor 不负责监控 agent/摄取健康,也不做 log stitching。
File search and destroy 是 Windows 独有;跨平台的 Live Terminal/脚本/断网别误判为不支持。
统一授权入口是 Cortex Gateway,不是 XDR 租户内 Access Management 或 Customer Support Portal。
发现未受管/未装 agent 盲区用 Cloud Discovery & Exposure,不是只统计已知资产的 Asset Inventory/Host Insights。
'脚本创建(Script creation)'不是 Playbook 任务类型。
平台化不为增加告警量、不消除分析师、不让各部门独立管工具。
🤖 Cortex XSOAR(编排与自动化)
Job(作业):让 playbook 按固定星期几/时间定期运行(非事件触发)的专用机制。
Classification and Mapping:Classification 决定事件属哪种 Incident Type,Mapping 把原始字段(如 Source_Address)对齐标准字段(如 Source IP);字段对齐=Mapping。
Incident Type 映射后关联触发对应 Playbook 实现自动化响应。
DBot:内部评分引擎算 DBot Score,多源冲突取最严重裁定→Malicious。
War Room(作战室):实时协作'数字指挥中心',执行 Playbook/脚本/命令、联合研判。
Content Pack:预构建捆绑(集成/playbook/脚本),是 SOAR 用例的基本构建块。
Marketplace:平台内置集中化可安装内容仓库(集成/自动化等)。
XSOAR Engine:部署在受限/隔离网段做代理,与段内资源直连并向 XSOAR 服务器发出站连接。
Context Data:事件临时 JSON'草稿板',存集成检索到的数据供后续 playbook 读取。
Indicator 过期:默认保留并标记 Expired、停止推送集成,不删除(Indicator Lifecycle Management)。
Playbook 任务类型:Conditional、Sub-playbook、Data collection 等。
Incident lifecycle 含 Planning 与 Incident creation 等阶段。
⚠ 易错
定时跑 playbook 用 Job,不是计划报告(只出报表)或脚本。
字段对齐是 Mapping,不是 Classification/Data Normalization/Playbook Transformation。
标准做法是事件类型映射后跑 Playbook,不是'脚本决定跑哪个 Playbook'。
DBot 冲突时不选良性/未知/可疑,结果是 Malicious。
War Room 是执行/协作区,不是 workplan 增删任务或看案件摘要;实时联合调查不在 Investigations/Evidence Board/Work plan。
Content Pack 是被安装的捆绑内容;'安装/交换/贡献中心'描述的是 Marketplace。
分段网络集成用 XSOAR Engine,不是 Broker VM/Cortex Gateway/所谓 XSOAR Proxy。
集成检索数据存 Context Data,不是 War Room/Incident Fields/Evidence Board。
Indicator 过期默认不删除、不移 Archive、不自动把裁定改 Benign。
'脚本创建'不是 Playbook 任务类型。
Incident notification、Preparation 不是 XSOAR 事件生命周期官方步骤。
🧵 日志·数据·XQL
XQL:Cortex XDR/XSIAM 通用专有查询语言,做数据检索、分析、自定义 widget/Query Builder。
XQL 查询必以 dataset 阶段开始指定数据表/源;filter 过滤、fields 选列、comp 聚合。
Broker VM:把本地(on-prem)防火墙日志摄取到 XDR/Cortex Data Lake 的本地到云桥梁。
XDM(Cortex Data Model)+XDM Mapping:把不同厂商(Check Point/Cisco/Microsoft)原始日志映射为标准化字段,是 XSIAM 统一 SOC 平台核心。
Cortex Data Lake 分层存储:热(hot)近期高频/查询快,冷(cold)较旧低频/成本低但慢;查冷存储更耗时,两者日志详细程度相同。
⚠ 易错
Cortex 内查询统一用 XQL,不是 PowerShell/Python/JavaScript。
定义数据源用 dataset,不是 filter 或 fields。
本地硬件日志入云必须靠 Broker VM,不是 API/PAN-OS content pack/Cloud Identity Engine。
字段标准化用 XDM Mapping,不是只收日志的 Log Ingestion 或做跨源关联的 Data Stitching。
冷/热区别在速度和成本,不是'冷存储日志更详细'或'冷必需热可选'。
🚨 检测规则与告警验证
True Positive:平台对真实恶意活动/文件正确告警(如 WildFire 恶意告警+未签名进程转储 lsass 内存 BTP 告警这类高置信度指标)。
BIOC(Behavioral IOC):按行为触发、与文件哈希无关(如'任何进程向 lsass.exe 注入代码'),IOC 按具体指标(哈希/IP)触发。
Analytics(ML 行为分析):须先建基线才能激活,靠比对基线找异常;未告警的根因常是尚未满足基线要求。
MITRE ATT&CK:Tactic=高层'为什么/目标'(Initial Access、Exfiltration),Technique='怎么做',Procedure=具体实现。
⚠ 易错
别混 False Positive(误报)/False Negative(漏报)/True Negative(真阴)。
行为无关哈希的检测用 BIOC,不是 IOC/Correlation Rule/Analytics Alert。
Analytics 未告警不是因要装引擎或先激活 Pathfinder/Identity Analytics,而是基线未满足。
Initial Access/Exfiltration 属 Tactic(战术),不是 Technique(技术)。
🌐 威胁情报(Unit42/STIX-TAXII/WildFire)
WildFire:云沙箱按实际行为给四判定 Benign/Grayware/Malware/Phishing;侵扰但无害样本判 Grayware。
研判单个 artifact(文件/URL/IP)是否恶意看 WildFire 报告(沙箱裁定),告警严重级别/MITRE Tactic 只描述告警本身。
STIX=威胁情报表达格式(长什么样),TAXII=传输协议(如何拉取/交换);从 TAXII 服务器拉指标用 TAXII 协议。
Unit 42 Intel:事件视图内提供 threat card(攻击者画像、别名、相关 MITRE 技术),情报与调查一体化。
TLP 2.0 共享范围从宽到严:CLEAR<GREEN<AMBER<RED;TLP:RED=仅限本次调查特定个人、禁止再传播。
⚠ 易错
侵扰但无害是 Grayware,不是 Malware/Unknown/Benign。
判具体 artifact 恶意用 WildFire 报告,不是 SmartScore/告警严重级别(告警层面评分)。
问'拉取用什么协议'选 TAXII;STIX 是格式不是协议。
Unit 42 Intel 不重置 AD 密码、不给恶意软件源码、不是 7x24 取证员聊天窗。
最严格'仅限指定个人禁转发'是 TLP:RED,不是 AMBER(组织/客户内)或 GREEN(社区)。
👤 身份威胁(Identity Analytics/ITDR/CIE)
Identity Analytics(XDR):专为检测内部威胁(insider threats)设计,识别凭据窃取、横向移动等签名工具漏掉的隐蔽攻击。
分层互补:Identity Analytics 做基础行为分析、测可疑登录与 MFA 轰炸;ITDR 防异常内部人活动、向物理设备的数据外泄等高级身份攻击。
⚠ 易错
Identity Analytics 不是身份提供源(那是 Cloud Identity Engine)、不是主机资产漏洞可见性(Host Insights),别混 Forensics。
别把 Identity Analytics 与 ITDR 职责对调;二者是检测分析,不是纯 prevention 或合规报告。
🛠️ SOC 流程·角色·指标
分层 SOC 角色:Tier-1 分诊(Triage Specialist)初查低严重性新告警、判有效性与升级紧急度、定/调告警严重级别;事件响应人员处置已升级事件;威胁狩猎主动调查。
威胁狩猎发现恶意进程首要任务=全环境搜 SHA256 评估范围/影响,不是立即修复遏制。
MTTD=从入侵成功到首次识别的时长,等价 Dwell Time,最关键 SOC KPI;MTTA=确认、MTTR=响应、MTTC=遏制。
NIST SP 800-61 事件响应四阶段:Preparation → Detection and Analysis → Containment/Eradication/Recovery → Post-Incident Activity;Lessons Learned 属最后阶段。
事件优先级=Functional Impact(业务影响)+Informational Impact(数据机密/完整影响)综合;数据外泄(向公网大量上传用户数据)优先级最高。
⚠ 易错
定/调告警严重级别是 Tier-1 分析师职责,不是响应人员;漏洞评估/渗透/危机沟通不属响应人员核心。
内存深度取证、与勒索者谈判、重写安全策略都不是 Tier-1 职责。
Dwell Time 对应 MTTD 而非 MTTR。
Lessons Learned/复盘属 Post-Incident Activity,别归到 Containment/Recovery。
弹窗/登录失败/网站不可访问影响较低;数据外泄机密性受损最严重,优先级最高。