Endpoint-sikkerhed handler om at være forberedt på impact, ligesom at hjelm, handsker og motorcykeltøj er forberedelse på at komme mindst muligt til skade ved uheld. Alex Fløistrup, Systems Support Engineer & Firewall-entusiast i Conscia Service Operations, har samlet et par hypotetiske eksempler på, hvordan Cortex XDR; XSOAR og Cortex Cloud kan være en væsentlig aktie i forberedelsen af uheldet i en organisation.
Forestil dig følgende: Det er lørdag, du har endelig fri, og en kollega ringer – panik i stemmen. Noget er galt. Brugere kan ikke tilgå systemer, netværket opfører sig mærkeligt, og mistanken falder på: “noget i skyen”. Velkommen til hverdagen i en moderne IT-infrastruktur, hvor cloud og SOC ofte lever deres eget liv – og hvor manglende sammenhæng kan være forskellen på hurtig respons eller et fuldbyrdet databrud. Moderne virksomheder kører i skyen – og angriberne følger trop.
Ifølge Palo Alto Networks seneste blog, er tiden fra initial adgang til dataeksfiltration blevet 2x hurtigere det seneste år. Vi har ikke råd til at reagere bagefter – vi skal jo handle før angrebet sker. Og det er her Cortex XDR, XSOAR og den nye Cortex Cloud-udvidelse kommer ind i billedet.
Eksempel 1: Det ”mystiske” VPN-login
En af vores managed service kunder, ringer med en bekymring… En af deres brugere, lad os kalde ham Bob fra finans, logger ind fra New York… og samtidig fra København. VPN-logs, endpoint-data og SIEM alarmer vælter ind.
En klassisk “impossible travel”-situation. Men i stedet for at skulle: Gennemgå VPN-logs manuelt, tjekke flere dashboards og systemer, spille “gæt og grimasser” med SIEM’en, så tog Cortex XDR og XSOAR over:
- Korrelerede VPN-, endpoint- og identitetsdata
- Markerede login’et som sandsynligt kompromitteret
- Udløste automatisk reset af bruger session
- Blokerede adgangen fra den mistænkelige lokation
Da vi nåede at undersøge dashboardet, var hændelsen allerede isoleret, adgangen fjernet og angrebet stoppet – uden at en eneste analytiker behøvede at blive vækket og vi bekræftede overfor kunden at det er hele pointen! Derfor giver AI-drevet sikkerhed mening – ikke for at erstatte menneskerne i SOC, men for at give dem tiden (og weekenden) tilbage.
Eksempel 2: Ransomware i udviklingsmiljøet – før det når produktion
En produktionsvirksomhed havde Palo Alto firewalls og Cisco ISE, men deres endpoint-sikkerhed var en blanding af et gammelt antivirusprogram hæftet sammen med håb. Så hoppede de på Cortex-toget og ikke kort efter, fik vi det første bekræftelse at den virker.
En softwareudvikler-pc blev udsat for et exploit og Cortex XDR og XSOAR reagerede straks:
Første detektion
- Et PowerShell-script begyndte at ændre i registreringsdatabasen – et klart faresignal
- Systemet forsøgte at eskalere privilegier lige efter åbning af en vedhæftet fil
Korrelation på tværs af lag
- Netværkslogs viste kommunikation med en mistænkelig IP
- Cortex XDR’s adfærdsanalyse identificerede det som et angrebsmønster
- Andre computere havde modtaget samme e-mail, men Cortex XDR forhindrede eksekvering, før infektionen kunne sprede sig
Automatiseret respons
- Den ondsindede proces blev afsluttet på de kompromitterede maskiner
- Enheden blev isoleret gennem Cortex XSOAR fra netværket via Cisco ISE, samt Cisco Umbrella fik instrukser af XSOAR til at blokere DNS-forespørgsler til command-and-control domænet
- SOC-teamet modtog wildfire rapport som teamet kan samle til en komplet hændelsesrapport med kontekst, brugere, tidslinje og anbefalet handling
Da teamet gennemgik hændelsen, var angrebet allerede inddæmmet. Ingen spredning, ingen nedetid – og ingen datatab. Uden Cortex’ automatiserede reaktion kunne dette være blevet til et fuldskala ransomware-angreb.
Eksempel 3: En Microsoft server der ringede “hjem”…
En Microsoft-server i en butik begyndte pludselig at sende store mængder data til obskure IP-adresser. Cortex XDR opdagede det, og XSOAR reagerede lynhurtigt:
- Store mængder DNS-forespørgsler – klassisk tegn på beaconing
- Mislykkede loginforsøg mod butikkens POS-system
- Forsøg på adgang til netværkssegmenter, serveren aldrig burde have adgang til
I løbet af få sekunder blev:
- Serveren isoleret
- Den skadelige DNS-trafik blokeret
- Modtog SOC-teamet et samlet overblik med hele angrebskæden, samt et vigtigt fund: serveren var tilsluttet samme VLAN som butikkernes Point-of-Sale (PoS)-systemer
Dette eksempel understreger, hvor vigtigt det er med fuld synlighed – også ud over endpoints. Angriberne går ikke altid efter det oplagte, og en overset konfiguration kan åbne hele miljøet.
Ingen betalingstransaktioner blev kompromitteret – fordi Cortex XDR og XSOAR forstod sammenhængene og reagerede hurtigt.
Og hvad så?
Det her er ikke hypotetiske scenarier – det er sikkerhed i den virkelige verden. Ingen SOC-analytiker burde spilde tid på at grave sig gennem logs, når AI kan drive analysen og forbinde prikkerne samtidig med at kunne reagere i realtid.
Det, du får med Cortex XDR, er:
- Automatiseret trusselsrespons, der isolerer angreb, før de spreder sig
- Machine learning der faktisk virker – ikke bare endnu en alarmfabrik
Og det vigtigste? Det gør sikkerhedsteams hurtigere, skarpere – og giver dem mulighed for at tage vigtige beslutninger på et oplyst og velovervejet grundlag, også selvom tid er en afgørende faktor.
For i sidste ende handler det om at beskytte netværket – ikke bare jagte alarmer.
Ved du, hvad der foregår?
Hvis ikke, er det måske tid til at kigge på en platform, der samler trådene – og hjælper os med at identificere og stoppe angreb, før de bliver til brud.
For os i netværks- og sikkerhedsverdenen- både kollegaer og kunder, er det ikke bare en teknologi – det er forskellen på en rolig nat og en weekend uden ildslukning.
Referencer
- Palo Alto: Cortex Cloud innovations (2025)
- Integration med Cisco ISE & Umbrella
- https://xsoar.pan.dev/docs/reference/integrations/cisco-ise
- https://docs.paloaltonetworks.com/iot/integration/network-access-control/integrate-iot-security-with-cisco-ise/set-up-iot-security-and-xsoar-for-cisco-ise-integration
- https://xsoar.pan.dev/docs/reference/integrations/cisco-umbrella-cloud-security-v2
- https://www.cisco.com/c/en/us/support/docs/security/xdr/220679-integrate-xdr-with-umbrella.html
