Warsztaty CyberArk - Wielowarstwowa ochrona stacji końcowej: praktyczne współdziałanie CyberArk EPM i Palo Alto Networks Cortex (XDR/XSIAM) - 26.11.2025

Godzina

Temat i Opis

09:00 - 09:15

Rejestracja uczestników, poranna kawa i wprowadzenie.

09:15 - 10:00

Palo Alto Networks Cortex: Od XDR do autonomicznego SOC (XSIAM)

Część teoretyczna:
* Czym jest EDR, XDR (Extended Detection and Response) i jakie problemy rozwiązuje?
* Ewolucja do XSIAM: Koncepcja "Autonomous SOC" – integracja danych, AI/ML i automatyzacja (SOAR) w jednej platformie.
* Architektura agenta Cortex XDR i jego kluczowe mechanizmy ochrony (AI, behawiorystyka, exploit protection).

Pokaz na żywo (Demo):
* Przegląd konsoli Cortex XDR: Zarządzanie incydentami, analiza ścieżki ataku.
* Przegląd konsoli Cortex XSIAM: Dashboardy, korelacja danych z różnych źródeł (nie tylko endpoint), automatyczne playbooki.

10:00 - 10:45

CyberArk EPM: Kontrola aplikacji oraz wymuszanie minimalnych uprawnień na stacji końcowej (i nie tylko...)

Część teoretyczna:
* Zagrożenia wynikające z nadmiernych uprawnień (lokalni administratorzy).
* Filozofia EPM (Endpoint Privilege Manager): Zero Trust i Just-in-Time (JIT) na stacjach roboczych.
* Kluczowe funkcje: Kontrola aplikacji (whitelisting/blacklisting), elewacja uprawnień "on-demand", ochrona przed kradzieżą poświadczeń (credential theft).

Pokaz na żywo (Demo):
* Konsola zarządzania CyberArk EPM (SaaS).
* Praktyczne tworzenie polityk (np. "Uruchom jako administrator" dla wybranej aplikacji bez podawania hasła).
* Doświadczenie użytkownika końcowego (UX) – jak wygląda proces elewacji?

10:45 - 11:00

Przerwa kawowa

11:00 - 11:45

Anatomia współczesnego ataku: Od Phishingu po Ransomware

Omówienie scenariuszy (teoria):
* Przegląd łańcucha ataku (Kill Chain / MITRE ATT&CK).
* Scenariusz 1: Atak Ransomware (np. LockBit) – wejście, eskalacja uprawnień, szyfrowanie, eksfiltracja danych.
* Scenariusz 2: Atak na Active Directory – kradzież poświadczeń (np. Mimikatz, Pass-the-Hash), ruch lateralny (Lateral Movement) i przejęcie kontrolera domeny.

11:45 - 12:00

"Live Hacking" - Praktyczna detekcja i prewencja (EPM + XDR)

Praktyczny pokaz (Demo):
* Symulacja ataku Ransomware na stacji chronionej przez EPM i XDR:
* Reakcja EPM (Policy-based): Blokowanie nieautoryzowanych skryptów, ochrona plików danych (ransomware protection).
* Reakcja XDR (Behavior-based): Wykrycie anomalii (np. masowe szyfrowanie), automatyczna izolacja stacji.

* Symulacja ataku na AD (Credential Theft):
* Reakcja EPM: Blokowanie próby dostępu do procesu LSASS (ochrona poświadczeń).
* Reakcja XDR: Wykrycie użycia narzędzi hakerskich (Mimikatz) i próby ruchu lateralnego.

12:00 - 12:30

Siła Synergii: Praktyczna integracja CyberArk EPM z Cortex XSIAM

Praktyczny pokaz (Demo):
* Jak alerty z CyberArk EPM (np. "zablokowano próbę kradzieży poświadczeń") są przesyłane do Cortex XSIAM.
* Korelacja w XSIAM: Łączenie alertu z EPM z innymi danymi (np. logi z firewalla, AD) w jeden spójny incydent.
* Automatyzacja (SOAR): Uruchomienie playbooka w XSIAM na podstawie alertu z EPM – np. automatyczne wzbogacenie incydentu, zablokowanie użytkownika w AD i utworzenie ticketu w ITSM.

12:30 - 13:00

Podsumowanie i sesja Q&A

* Kluczowe wnioski - jak EPM i XSIAM/XDR uzupełniają się, tworząc wielowarstwową ochronę.
* Otwarta dyskusja i odpowiedzi na pytania uczestników.