可扩展的检测与响应平台XDR(分布式)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。
点击可切换产品版本
知道了
不再提醒
2.0.35
{{sendMatomoQuery("可扩展的检测与响应平台XDR(分布式)","封禁地址")}}

封禁地址

更新时间:2023-02-09

封禁地址是指网络中将某个不安全的地址(如恶意网站、恶意IP地址等)加入黑名单,禁止访问。XDR联动AF下发网络侧封堵策略,封堵对象IP地址、URL、域名;支持提高安全运营响应效率。

图片包含 游戏机, 画, 钟表 描述已自动生成

  1. 需要注意的封禁地址中源IP为黑客IP,目的IP为受害者IP。

例如需要对经过AF设备的流量中禁止内网主机对域名www.360se[.]net的访问。

步骤一:点击响应管理->封禁地址导航栏,点击“新增”按钮,规则名称为禁止内网主机对域名www.360se.net的访问,封禁类型为域名,封禁时长为永久封禁,联动设备为已跟XDR对接的全部AF设备。

在XDR平台上封禁地址成功后,手动添加的封禁地址,关联告警跟关联时间均为手动,登录对应的AF设备控制台,在安全运营->黑白名单->黑名单->永久封锁名单看到XDR联动AF下发的封禁地址。

图片包含 游戏机, 画, 钟表 描述已自动生成

  1. 如果封禁时长非永久封禁,在安全运营->黑白名单->黑名单->临时封锁名单看到XDR联动AF下发的封禁地址。

XDR检测出安全事件,您需要对该事件中的攻击者以及实现主机恶意外联的域名进行快速封禁,实现对事件中威胁实体(外网IP/域名)的一键遏制。

点击安全事件处理导航栏,勾选需要处置的安全事件,点击一键遏制,在弹出窗口中默认网侧设备全选AF设备进行封堵,点击确定实现威胁的一键遏制。

一键遏制成功之后,安全事件状态变更为【已遏制】,通过响应管理->封禁地址查看封堵详情。如下图所示,一键遏制新增封禁地址会关联对应告警以及事件。

一键遏制的外网IP以及域名会被AF设备永久封禁,登录对应的AF设备控制台,在安全运营->黑白名单->黑名单->永久封锁名单看到XDR联动AF下发的封禁外网IP以及域名。