可扩展的检测与响应平台XDR(SAAS)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验
点击可切换产品版本
知道了
不再提醒
SAASXDR
{{sendMatomoQuery("可扩展的检测与响应平台XDR(SAAS)","新版本发布信息")}}

新版本发布信息

更新时间:2024-07-21

本文为您介绍XDR近期版本的更新说明,基于此您可以了解XDR对应版本中的新增功能、增强功能内容以及体验优化。 

XDR 24年7月版本

 

  1.  安全运营GPT与XDR深度融合
    • 新增安全事件解读,通过云端或本地GPT的分析,客户可以快速了解该事件相关资产的状态、威胁情报、恶意行为以及攻击定性,并最终给出处置建议和推荐预案进行处置。此外,事件解读可以对历史相似事件、近期资产攻击情况和告警聚合情况做出统计。
    • 新增安全告警解读,云端或本地GPT可以协助客户分析该告警的资产状态、可疑行为、命令解读和攻击意图
    • 新增辅助驾驶事件/告警解读功能,用户可以在事件和告警详情页面通过悬浮安全GPT助手获取该事件或告警的解读结果。
    • 新增辅助驾驶引导式调查功能,用户可以在事件和告警详情页面通过悬浮安全GPT助手的威胁实体调查、近期高频告警、近期相似告警、近期威胁态势、关联同源同目的告警等按钮快速询问关联告警的详细信息,协助用户进行安全研判和防护。
    • 新增辅助驾驶会话管理,用户通过悬浮安全GPT助手进入安全GPT对话框,可以快速选择关联前置场景进行提问和调查,或通过会话管理功能对当前对话窗口进行新建和重置。

 

2. 安全运营能力  

    • 优化告警聚合逻辑。针对已经处置过的安全事件,新增关联告警不会再追加到该事件中,会生成新的事件。
    • 新增多面板功能,用户可以在安全告警页面增加/删除/修改告警面板并保存下来,方便后续使用。
    • 新增相似性告警功能,用户可以在告警详情页面看到与该告警相似的安全告警,并针对同类告警进行处置。
    • 新增全文检索功能,用户可以在日志检索页面不指定任何字段进行数据查询。
    • 优化安全事件、安全告警等页面的搜索逻辑。用户可以通过IP范围和CIRD形式的IP段进行事件和告警的搜索。
    • 新增安全事件、安全告警搜索历史记录查询功能。用户可以通过历史搜索记录查询。
    • 优化安全事件、安全告警的资产icon,用户可以通过icon判断该资产的资产类型。
    • 优化安全事件、安全告警的资产展示,用户配置了互联单位IP后可以显示单位名称。
    • 优化SIEM模块的展示,用户自定义规则生成的告警举证,可以展示原始日志。

 

3. 响应处置能力  

    • 新增SOAR剧本参数设置,用户可以通过高级设置自定义SOAR基本的预案输入和预案输出,输入和输出包含数组、字典、应用、附件、文本等多种参数。
    • 优化告警处置逻辑,用户可以通过多选告警同时对多条告警进行处置。
    • 新增脆弱性通报、资产生命周期管理、预警场景、安全公告等工单模板,用户可以通过这些预置工单处理更多复杂场景。
    • 新增SOAR剧本中的安全事件等级字段,用户可以通过SOAR剧本定制安全事件的等级。
    • 优化现有SOAR执行效率,节点执行效率相较之前有大幅提升。
    • 新增自动化处置预案商城功能,用户可以通过预案商城内置的自动化处置预案对不同类型的事件和告警进行联动处置。
    • 新增辅助驾驶调用自动化预案功能,用户可以通过悬浮安全GPT助手进入安全GPT对话框,点击推荐的处置预案进行快速联动处置;

 

4. 自定义安全能力 

    • 新增自定义事件加白,用户可以在事件详情页面对该安全事件类似的事件进行加白。
    • 新增安全事件名称修改功能,用户可以对已检出安全事件自定义名称。
    • 新增自定义告警转事件,用户可以将任意告警定义为安全事件。
    • 优化自定义IOC规则,允许用户通过IP范围和CIRD形式的IP段配置安全告警。

 

5. 安全检测能力  

    • 新增NAT会话日志审计,VSphere用户日志审计
    • 告警聚合、事件更新能力提升
    • 第三方接入提高排障和响应速率
    • 终端第三方接入效率提升

 

6.  资产管理能力 

    • 提高资产、资产组导入导出上限,并支持异步等待结果
    • 支持资产卡片展示自定义属性
    • 支持资产名称、资产类型信息进行入库设置,支持通过资产标签进行退库设置
    • 支持互联单位IP范围设置
    • 在一个主机上有安装多个端的情况下,支持资产融合合并

 

7.  脆弱性管理能力 

    • 新增自定义漏洞报告导入功能,用户可以在页面上导入自定义漏洞
    • 分布式XDR支持弱口令、漏洞数据上云,与MSS打通

 

XDR 23年12月版本

 

版本 变更类型 描述



XDR 23年12月版本








新功能
【支持纪元平台巡检】
一线在给客户交付SaaSXDR时,需要对于平台进行基础配置以保障安全效果,需要一键式基础配置自检功能,以便能够快速进行自检。
新功能
【自定义报表】
提供丰富的的内置组件通过拼装快速搭建报表,帮助用户基于自己个性化需求,快速搭建不同的场景化报表。
新功能
【帮助中心增加首页】
在帮助浮窗内加上首页,并将首页定义为所有帮助资源的统一入口,形成完整的帮助中心。
新功能 【脆弱性新增漏洞修复验证机制】
 
提供一种脆弱性检测方式,能够快速精准的验证当前漏洞是否已经被修复,帮助判断当前脆弱性/工单是否完成或结束
新功能
【资产自动将预删除的历史资产对应IP加入非管理IP范围】
历史资产进行删除时,能够提示客户,可自动将对应 ip加入非管理ip范围。
新功能
【资产入库、退库配置参数灵活配置】
增加更多的资产自动入库,自动退库规则,提高资产入库,退库配置参数的灵活性。
新功能
【未知资产新增最近发现风险标签】
 
未知资产分析时,将近期发生过事件,漏洞等的资产,定义为风险资产。
新功能
【安全告警like、=等检索IP无法展示检索的IP】
将命中用户检索语句的ip顺序调整到前面,使得告警列表展示的那条ip或者xff信息是用户想要检索的,减少用户对搜索结果的疑惑。
新功能
【安全事件新增事件白名单功能】
将用户可以针对安全事件加白,忽略不关注的安全事件进行信息降噪,提升用户体验和研判效率。
体验优化
【体验优化】
  1. 【资产】漏洞检索条件部分字段支持精准搜索和模糊搜索;
  2. 【资产】支持对搜索字段的收藏并标记为默认;
  3. 【资产】资产状态文案变更,资产删除功能变更;
  4. 【资产】已经退库的资产在告警、事件、脆弱性模块的资产状态展示;
  5. XDR界面导航栏“深信服SOAR”修改为“SOAR”;
  6. XDR界面导航栏“深信服流程工单”修改为“流程工单”。

 

XDR 23年11月版本

 

版本 变更类型 描述



XDR 23年11月版本








新功能
【安全事件专家模式的IP支持掩码范围搜索】
提供用户统一化的平台操作方式,避免了让用户去记忆不同模块对应的不同检索方式,提升用户体验感。
新功能
【SOAR新增云脑威胁情报应用】
SOAR自动化流程支持联动云脑获取威胁情报信息,辅助客户进行进一步拦截研判。
新功能
【SOAR EDR应用支持调用端侧域名请求拦截】
在客户不敢启用智能响应,期望有更定制化的自动响应流程时,能够支持完成端侧的域名拦截,域名请求不出端。
新功能 【工单通知增加自定义邮件下发】
用户在工单发起后,希望能够在通知里通过自定义邮件功能带上工单的关键信息(事件基本情况)给到责任人,这样责任人收到邮件后可以知道需要处理的事情是什么,辅助判断处理优先级。
新功能
【脆弱性漏洞仪表盘重构】
客户漏洞工作成功的价值体现和产品漏洞能力的价值体现。
新功能
【脆弱性漏洞详情页支持展示工单详情和进展情况】
客户可以及时在漏洞详情页面查看关联工单的详情和进展。
新功能
【攻防百宝箱上线主机动态取证】
ADP取证分折平台离线版客户端,结合终端与网络的安全数据,帮助安全人员低成本实现对关键信息的取证分析,可快速完成溯源分析、入口点分析等工作。
新功能
【SOAR剧本新增“发起工单”动作】

存在剧本对应威胁类型的工单模板时,该剧本“发起工单”动作支持发起自定义工单,且自动匹配工单模板中的下一步责任人

新功能
【处置响应告警封禁IP、域名能够自动填充】
处置告警的时候,点击封禁IP,能够自动填充需要封禁的IP、域名、URL,提高处置效率。
新功能
【处置响应事件详情威胁实体页面、一键遏制弹窗实体展示增加滚动功能】
在用户实体数量较大时,仍然可以正常展示事件详情实体页面和一键遏制弹窗。
体验优化
【体验优化】
  1. 资产支持导入资产时自动创建扩大资产组;
  2. 日志检索专家模式关键易用性改进;
  3. SOAR支持提取安全告警的XFF字段;

 

XDR 23年10月版本

 

版本 变更类型 描述



XDR 23年10月版本








新功能
【日志检索新增SMB、Telnet_login流量审计日志类型】

XDR平台上目前还不支持SMB、Telnet_login流量审计日志,补齐这两种类型审计日志。

新功能
【MSS对XDR事件进行归并后,XDR同步展示聚合效果】

XDR传给MSS事件后,在MSS的告警表,XDR事件会存在相同主机相同类型的事件。对于不同主机相同类似的事件,MSS专家会将这一类的事件批量勾选,聚合成一个事件并推送给客户,但是客户在XDR上还是看到多个事件却无法对应上。为解决这样客户体验问题,XDR归并同类型的事件,并区分出特定一些事件信息,突出事件的重要性。

新功能
【智能响应支持自定义封禁时长】

智能响应用起来的客户很多反馈IP的封堵希望能自定义时长,支持自定义,使得用户能根据自身业务情况自定义封禁时长和封禁实体类型。

新功能 【安全告警分析专家模式的源IP,目的IP、主机IP支持like和rlike模糊搜索】

安全告警分析专家模式,对源IP,目的IP,主机IP进行like和rlike搜索无效,,新增对安全告警的like和rlike检索支持。

新功能
【脆弱性处理状态允许配置保留上次的状态】

提供一种方法帮助安全管理员分析到需要处置的风险,并能够批量标记完成处置或者顺利下发工单,提高工作效率。可实行快速补齐脆弱性可用性节点存在的问题(风险过滤、工单流转流程等方面),支撑客户漏洞运营场景,使客户在运营场景下使用更加便捷且高效。

新功能
【脆弱性详情页面的整改】
  1. 漏洞详情增加漏洞是否被利用过的模块展示,能够提供事件中攻击的相关说明,确定风险是否误报以及是否需要修复
  2. 漏洞举证信息优化展示,增强可读性,能够根据举证报文解读漏洞的真实性,版本对比漏洞能够根据系统信息知晓漏洞真实性
新功能
【新增SOAR授权】
  1. 保证未授权、试用、已授权、授权过期及退订SOAR场景下,SOAR模块导航栏展示及功能使用正常
  2. 无SOAR权限时,导航栏不展示SOAR
  3. 新客户点击试用、老客户购买SOAR均可正常使用SOAR
新功能
【SOAR剧本新增“发起工单”动作】

存在剧本对应威胁类型的工单模板时,该剧本“发起工单”动作支持发起自定义工单,且自动匹配工单模板中的下一步责任人

新功能
【资产工单模板调整】

删除内置工单模板【资产管理】,增加内置工单模板【资产生命周期管理_入库】、【资产生命周期管理_退库】、【资产生命周期管理_变更】

新功能
【脆弱性工单模板调整】
删除内置工单模板【脆弱性问题通报】,增加内置工单模板【脆弱性响应处置】
新功能
【流程工单模板预览功能】
可在流程模板栏预览工单模板流程图,提高用户易用性;
体验优化
【体验优化】
  1. 【日志检索】【安全告警】模糊搜索结果,进行高亮展示;
  2. 【安全事件|安全告警|日志检索】【帮助】支持专家模式的关键高频字段的搜索格式样例;
  3. 【安全告警】资产选择组件的优化,重点关注资产设置分成资产组和单个资产两个维度,解除了300个资产IP的限制;
  4. 【工单】工单操作人支持显示中文;

 

XDR 23年9月版本

版本 变更类型 描述



XDR 23年9月版本








新功能
【MSSP与XDR安全事件标记双向同步】

XDR将事件标记为忽略时,会将状态同步至MSS,但是MSS忽略事件不会将状态同步至XDR,导致两边状态不一致。补齐缺失功能内容。

新功能
【安全事件处置状态变更逻辑】
  1. 若一个事件关联的告警全部处置完成,用户就不需要关注这个事件
  2. 若一个事件的状态可能因为一键遏制、智能响应、手动处置、关联告警加白或处置等方式变更,没有备注信息,客户不了解原因导致的状态变更;    
新功能
【日志检索ICMP、RDP流量审计日志补齐】

XDR平台上目前还没有ICMP、RDP的流量审计日志,因此还需要增加这两种审计日志。

新功能 【漏洞-应用最新的VPT算法呈现最需要处置的漏洞数据】

安全工程师能够将所有脆弱性数据中最需要响应处置的标识出来,这样它可以聚焦于处理这类风险,提高工作效率。

新功能
【XDR支持联动EDR对主机下发扫描获取病毒情况】

对XDR上报资产存在安全事件时,支持在XDR平台对资产下发个全盘扫描,检查资产是否存在病毒威胁。

体验优化
【体验优化】
  1. 【日志检索】表头字段选择框增加模糊搜索功能;
  2. 【日志检索】搜索框选择多个IP进行筛选能生效、手动修改其中某个IP,也需要生效;
  3. 【设备管理】设备管理搜索新增网关ID和IP地址方式搜索

 

XDR 23年8月版本

版本 变更类型 描述



XDR 23年8月版本








新功能
【通知机制新增微信每日早报】

客户能够快速识别昨日的安全状态,无威胁时候能够感知到安全,有威胁时候能够第一时间获取威胁信息,并引导客户进行下一步处置。

新功能
【通知机制新增邮件和短信推送】

本版本新增两个推送消息方式,支持邮件和短信两种方式提醒用户。目前新增的深信服流程工单已使用两种消息推送方式,后续也可以给其他功能使用。

新功能
【安全事件详情新增一键遏制入口】

目前一键遏制处置入口只在事件列表有,详情里不能直接一键遏制,新增事件详情一键遏制入口,方便客户使用一键遏制功能。

新功能 【安全事件新增社区情报标签】

一键遏制时,会自动处置所有的外网IP、域名和主机实体,客户不知道是不是应该处置,不敢处置,影响业务。新增社区对抗情报标签,用来让客户知道外网IP、域名实体是否有其他用户已处置,用来判断是否需要一键

遏制。

新功能
【支持手动添加脆弱性数据】

在原有脆弱性功能基础上,新增手动添加脆弱性数据功能,方便用户能手工自定义操作。

新功能
【支持SIP同步资产和脆弱性显示数据源】

SIP上报资产/脆弱性数据携带数据源,能够支持原始数据源划分多分支和筛选资产。运维工程师需要一种方法能在组件中已经存在多分支信息的情况下,上报XDR后分支信息不丢失,依然可以清楚的知道资产属于哪个分支。

新功能
【新增深信服流程工单】

首次加入深信服流程工单功能,其中具体子功能包括,工单总览,流程管理,自定义流程模板,人员管理,自定义通知模板,多域用户发起/查看工单等。

新功能
【新增深信服安全GPT】

深信服安全GPT作为深信服XDR服务的辅助安全工具,可以为企业级用户(企业的网络安全管理人员)提供包括安全专业名词百科、辅助漏洞风险排查、资产治理统计、攻击数据包内容解读、威胁情报查询、安全事件解读等安全功能。

体验优化
【体验优化】
  1. 漏洞和弱密码拆分展示;
  2. 漏洞详情展示CNNVD编号;
  3. 漏洞处置状态允许调整恢复;
  4. 资产组展示所有层级;
  5. 安全告警搜索优化;
  6. 安全告警添加白名单时,端口支持按段编辑添加

 

XDR 23年7月版本

 

版本 变更类型 描述



XDR 23年7月版本








新功能
 【数据分权】

帮助客户进行多部门协同处理安全运营问题,从事件、告警数据处置混乱,责任田划分不清,到各个部门或分公司可以有序处理各自的问题,数据互不影响,让数据更安全。

新功能
【持导入绿盟第三方脆弱性数据】

支持绿盟脆弱性数据的导入;将绿盟有价值的脆弱性和ASM现有漏洞库做对应关系(ASM缺失的则添加),可以使用相同模型就行优先级分析。

新功能
【资产脆弱性支持基线核查报告的导入和展示】

高级服务在安全运营服务中,需要帮用户进行基线配置安全性检查和管理,当前XDR不支持基线配置核查相关的录入和展示。

新功能 【安服审核XDR事件,展示“安服专家狩猎”标签】

客户购买的安全服务,在对XDR事件进行审核后,事件页面标识出MSS审核和狩猎的事件,让用户感知到购买MSS的价值。

新功能
【威胁定性的内容展示实现与授权联动】

安全告警/安全事件判断 "威胁定性"的授权客户是否已购买,如果没购买/未授权,威胁定性的内容需要隐藏,客户不可使用。

体验优化
【授权功能优化】

1、在授权管理优化页面样式和布局

2、将核心价值模块做了拆分,可以支持客户进行自由搭配

新功能
【aES上报资产Agent状态字段新增已降级】

aES上报的资产Agent状态新增了一个“已降级”,XDR平台已适配aES上Agent的状态信息展示。

体验优化
【体验优化】

1、资产管理,支持所有EDR的设备类型在数据源中正常展示;

2、资产管理,导入资产允许填写业务组信息;

 

XDR 23年6月版本

 

版本 变更类型 描述



XDR 23年6月版本








新功能
 【自定义告警生成事件】

新增支持在告警列表选择告警下发,生产安全事件规则;优化自定义安全事件规则方法;

新功能
【安全告警搜索框支持IP全文检索】

支持安全告警列表快速通过IP找到相关的数据,优化通过风险IP或资产IP进行检索数据复杂度;

新功能
【N侧告警结合E侧进程,可展示进程链】

通过E侧信息辅助判断单N侧的告警是否为误报,以及展示N侧进程链信息;

新功能 【资产配置向导】

资产页面初次使用,提供资产管理提供配置向导,引导用户做好资产治理;

新功能
【资产左树支持拖拽改变树结构和顺序】

资产组编辑时,可以通过鼠标拖拽方式,改变资产左树结构和顺序。提升操作易用性;

新功能
【资产基本信息】

资产配置页面新增‘资产基本信息”页面,可配置字段展示优先级;

体验优化
【体验优化】

1、脆弱性、风险应用、事件、告警“影响组件更改”;

2、脆弱性处置状态备注展示优化;

 

XDR 23年5月版本

版本 变更类型 描述



XDR 23年5月版本








新功能
 【总览重构改版】

1、在首页增加整个XDR运作体系的全景图介绍,能够让产品自说话,无需销售讲解客户也可以自己看懂XDR核心优势和带来的价值;

2、在首页增加客户的待办事项,能够在进入平台1分钟内知道自己需要处置什么风险,需要做哪些工作能够让安全做的更好,引导客户去有效使用平台;

3、在首页增加一些XDR核心价值推荐,例如资产体检,智能对抗,微信推送,能够帮助用户做好安全运营工作的核心价值功能,能够让客户看到,并且想要去使用。

新功能
导航栏全览

增加XDR导航全览,一键点开全部菜单,让客户对XDR平台有一个全局感,也能够方便一线讲解XDR的全景价值,用户操作起来也会更方便,以此来解决XDR菜单不能一眼看清XDR功能全貌的痛点。

体验优化
【引导开启动态口令】

对于SaaS XDR正式用户,不管用户有没开启动态口令,点击产品接入的登录、删除、查看弱密码的时候,都统一弹框提示输出动态口令,这个交互方式不太友好。针对这个问题进行了优化:当正式授权的用户未开启动态口令认证时,登录接入设备、删除接入设备和查看弱密码时,弹出需要预先开启动态口令的提示弹窗,并引导用户开启动态口令。

新功能 【处置响应,新增EDR下发IP+端口的封堵】

目前很多客户只有AF或EDR,现在支持有AF或EDR其中一种安全设备即能通过XDR进行威胁遏制,补齐E侧遏制效果,在客户拥有深信服设备时能将XDR成为全网统一的运维平台;

体验优化
【优化智能响应为三种模式】

智能响应分为三个模式:业务优先模式、安全优先模式、监测模式(默认开启)。通过分级的自动响应策略,解决用户和一线都不敢开启,担心误报的关键障碍;

新功能
【智能对抗增加端侧IP封堵能力】

智能对抗进行端侧封禁IP,支持仅有AF或EDR其中一种安全设备时,也能通过XDR进行威胁遏制,有深信服设备时XDR能成为全网统一的运维平台;

新功能
【新增自定义告警生成事件】

目前有客户认为XDR的安全事件是被XDR挑出来的,不是完整的,以及客户有自定义告警是需要关注需要生成事件,以及对于误报事件可以加白。针对以上三个痛点,新增自定义告警生成事件自定义规则。可以用户自定义规则,进行有效自定义配置;

体验优化
 【支持根据资产组的IP属性进行筛选】

1、资产组中的“IP属性” 更名为 “资产类型”;

2、资产组支持资产类型筛选服务器、终端等资产类型,以及自动识别;

体验优化
【资产组的新增或编辑中支持选择更多的IP属性】

1、IP属性,更名为“资产类型”,改为必填,默认为空;

2、IP属性的下拉框内容 = “自动识别” + 资产类型中的所有一级选项(除了“未知 ”);

新功能
【增加入库和退库自动规则,优化资产生命周期管理】

通过终端接入状态、责任人、资产组、数据源等资产属性,丰富入库、退库机制,帮助用户更好管理资产;;

体验优化
 【体验优化】
  1. 资产管理支持批量编辑信息;
  2. 资产组变更更易用;
  3. 资产管理中资产台账、未知资产、历史资产都支持表格直接编辑
  4. 处置状态和终端接入状态的视觉样式更换
  5. 支持查看数据源具体设备名称
  6. 脆弱性风险视角导出的弱密码没有账号密码信息
  7. 弱密码补充展示相关举证信息

 

XDR 23年4月版本

 

版本 变更类型 描述
  新功能 【全局悬浮球】
全局悬浮球增加帮助文档入口,帮助文档短期内在悬浮球和页面标题并存,长期将统一一个入口,在悬浮球进入;



XDR 23年4月版本








新功能
【支持SaaS XDR授权转换】

满足客户在前期体验使用过SaaS XDR后,能够下单购买满足自己自身业务需要的XDR类型;

体验优化
【隐藏智能运营平台锁住页面,并提供资产总览介绍】

将精简版XDR锁住不对外开放的页面隐藏起来,并在左下角提供一个介绍页,点击可跳转到云图XDR功能介绍页面;

新功能 【资产管理】
  1. 资产导出增加数据源信息:资产的导出表格中新增“数据源 ”字段,便于数据对比。
  2. 【资产管理-资产详情】页面数据源要展示人工导入的资产:手动导入、页面添加、风险详情信息展示来源,跟组件来源保持一致。
  3. 【资产管理-资产总览】补齐web相关统计数据&增加跳转:点击web相关、风险应用指纹信息,跳转到对应资产清点页面。
  4. 资产责任人新增“备注”字段:新增一个“备注”字段,以便于在管理责任人时能够更好地记录和查看责任人信息;
  5. 【资产管理】页面支持导出组件上报的责任人信息:在导出表格中能够包含组件资产的责任人信息,以便于更好地管理资产责任人信息;
新功能
【自定义告警】
新增自定义威胁情报入口并新增威胁定性标签体验优化,解决告警数量太多,无法快速筛选出高价值的告警,并且实时提醒客户的痛点。
体验优化
 【体验优化】
  1. 资产&脆弱性筛选框优化;
  2. 扫描结果为0值时进行展示优化;
  3. 资产管理页面资产组支持拖动修改列宽;
  4. 优化资产生命周期管理;
  5. 组件接入状态和异常提示文案优化;

 

 

 

XDR 23年2月版本

版本 变更类型 描述



XDR 23年2月版本








新功能
 【安全能力大屏
新增安全能力大屏,支持从数据接入、数据解析到引擎分析产生告警事件,全流程监控XDR平台的安全效果情况
新功能
【安全运维大屏】
新增一个新的安全运维大屏。对整体关键安全指标、核心资产、网络安全事件做一个全面的整体展示
新功能
【模拟对抗】
模拟开启智能对抗功能效果,直观感受功能效果,提前运营对抗策略,不影响业务
新功能 【XTH事件解读】
XTH云端专家对高价值事件进行定性解读后,将5w1h的事件详情页推送给客户。
新功能
【资产审核】
可以通过自定义规则筛选出自己关注的资产,而非全部资产,方便对资产进行管理。
新功能
【自定义属性】
可结合自身业务定义一些属性,通过自定义来满足不同客户对资产属性的不同管理需求,并支持导出,方便后续对资产进行电子化维护。
体验优化
【故事线效果优化】
安全事件的故事线,新增访问方向和支持展示多阶段关联的事件。
体验优化
 【移动运营助手优化]
用户能够在不登录平台就可以及时的在云图微信公众号上看到需要关注的风险,提供更丰富的事件举证内容,并且能够快速进行一键处置闭环。
体验优化
【资产模块优化】
1、资产管理&总览整体风格优化
2、mss接口服务解耦真SAAS完成
3、优化资产入库和资产聚合业务,减少mongo的操作和压力
4、资产定位到人问题修改
体验优化
【安全事件/安全告警】

1、安全事件列表,处置入口优化,从原来一排处置按钮,整合为一个处置入口;

2、对安全事件/安全告警,下发处置操作优化,会展示待处置组件状态,且仅支持处置状态正常组件,避免异常状态组件处置无效;

3、安全告警聚合消减,对相似告警被归并到一条事件中,不用重复看相似告警,通过告警聚合,展示少量价值,翻倍提升运营研判效率;

4、 通过事件名称和聚合的告警,可以看到攻击者此次攻击造成威胁等级,且攻击路径在一条事件中就可以展示;
5、优化Webshell通信、DNSLog、反弹shell、恶意下载、log场景二次检测场景;
体验优化
 【智能对抗】
智能对抗功能,在首次开启时,配置引导优化;
体验优化
【日志检索】
日志检索优化,在输入部分关键字符自动关联出支持检索的字段;
体验优化
【账户权限】
角色管理模块优化
体验优化
【导航栏重构】
优化左树导航栏显示风格,规范各级菜单的显示名称;
体验优化
 
【全局调查优化】
 
场景化调查(外网IP、主机影响面、攻击者画像)。

XDR 22年12月版本

XDR 22年12月版本 新功能
【智能对抗】
新增智能对抗功能,通过集成安全专家、威胁情报、社区免疫三重能力,智能响应安全事件和安全告警中的关键威胁,外部攻击阶段式拦截,失陷实体自动遏制,从海量的研判处置工作中释放安全运维人力。
新功能
【威胁实体全局调查】
针对IP、域名、MD5一键快速调查,看清全网影响面和活跃趋势,快速调查关联进程,通报场景最佳助手。
新功能
【社工场景钓鱼演习】
用户利用免费版钓鱼演练APP,用可视化方式替代脚本测试、提升员工钓鱼安全意识,增加防护能力,避免损失。可前往应用中心模块查看
新功能
【虚拟E+N故事线】
仅有网侧告警时,通过“虚拟端”,也能查看E+N的整体效果
新功能
 【安全告警】
告警中心新增"清新模式",一键过滤业务误报
新功能
 
【安全运营方案】
 
1、支持资产入库、退库机制,包括自动/手动入库、自动/手动退库
 
2、支持资产总览的融合
 
3、保障资产&脆弱性与SIR对接接口的有效性
体验优化
【安全事件】
1、智能对抗价值展示
2、表头快捷统计过滤,方便看清事件分布
体验优化
 
【日志检索
1、增加访问方向过
2、收藏夹优化