安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.65
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","版本发布动态")}}

版本发布动态

更新时间:2024-09-29

SIP产线升级路线图.xlsx ( 0.02M  )

SIP3.0.92

版本新增&优化功能说明

1、新增支持上报smtp,pop3,imap三种邮件文件上报分布式XDR

2、硬件可服务性监测

3、支持切换底座操作系统,满足合规要求

4、新增支持超级管理员角色裁剪平台的默认展示页面功能

SIP3.0.77

版本新增&优化功能说明

1、执行结果-访问控制类和联动封锁类增加内网资产IP

2、已处置事件和告警重新触发联动

3、可信token安全整改

4、风险资产数据放宽到90天存储

5、支持对接EDR的Linux/信创终端进程取证

6、SIEM新增日志源对接白名单开关

7、重保中心功能优化

SIP3.0.73

版本新增&优化功能说明:
1、新增SIG接入,支持物联网设备资产同步,安全告警分析,物联网大屏等
2、新增云端订阅中心功能,订阅云端分析引擎能力,本地数据上传云端分析情报来源更丰富全面
3、新增cssp-aksk认证功能,双向加密认证,更安全
4、新增bbc集中管理云端升级安全感知平台,可通过云端集中管理平台进行升级,升级管理更加便捷,支持升级SIP版本包以及补丁包
5、新增设备运维监控管理,更加便捷实时关注到设备运行状态
6、新增内置策略,edr处置终端更加精准
7、优化edr资产入库识别,解决重复edr资产入库问题

 SIP3.0.71

版本主要优化功能说明
1、优化xdr接入页面
2、优化soar动作参数ioc域名取证以及端口提取
3、优化更新帮助文档中AF,AC,HCI,EDR的接入章节
4、对接SIR支持跳转和处置结果同步
5、优化资产功能
6、对接CWPP支持联动响应
7、优化NTP服务

 SIP3.0.69

版本新增&优化功能说明

【新增】新增支持 SIP 上报设备状态到 XDR

SIP对接XDR ,上报IP 、版本号、序列号及过期时间、规则库版本、引擎版本到XDR 用作设备状态告警判断使用

【新增】风险资产视角/安全事件新增封锁攻击者 IP 策略

风险资产视角/安全事件新增内置的封锁攻击者 IP 策略,点击提取 IP ,提取最近 24 小时的攻击者 IP 进行封锁

【新增】安全事件/告警支持直接提取威胁情报 (域名/URL/IP) ,并快速封堵

安全事件/告警执行内置的封锁域名/URL/IP 剧本,点击可提取执行事件或者告警的域 名/URL/IP 信息,提取最近 24 小时的域名/URL/IP 进行封锁

【新增】联动策略配置参数新增安全事件-攻击者 IP、安全事件-受害者 IP

配置联动策略时,参数能够选择安全事件的攻击者 IP 、受害者 IP ,执行策略时对相 应的攻击者 IP 、受害者 IP 下发联动操作

【新增】策略设置安全事件/告警丰富触发执行条件

丰富策略执行条件,配置策略时可选择更多触发条件

【新增】新增 SIEM 内置规则,新增 104 种第三方日志告警

新增 125 种解析规则,删除 14 种解析规则,更新 87 种解析规则   2.新增 104 种关联规则, 日志命中关联规则可生成第三方日志关联告警

【新增】新增 CWPP 与 SIP 数据 aksk 对接认证通道

建立 SIP 和 CWPP 之间的联动通道,使用更安全的认证方式,提升产品价值

【新增】新增支持 CWPP 资产上报到 SIP

接入 CWPP 后,CWPP 上报资产到 SIP ,在资产中心-主机资产中新增了 CWPP 来 源的资产信息

【新增】新增支持 CWPP 安全日志上报到 SIP

接入 CWPP 后,CWPP 上报 18 类安全日志到 SIP,展示在日志检索页面,生成 cwpp 来源告警,展示在重保中心页面

【新增】重保中心-实时告警分析处新增一键导出 ioc 情报信息

重保中心-实时告警分析支持一键导出一个月范围内txt 格式的 ioc 情报信息

【优化】优化策略动作配置参

优化动作名称,同时新增悬浮说明联动动作配置参数含义,提升策略配置易用性

【优化】优化 cloud_sdk 配置

优化了数据上报组件 cloud_sdk,拓展支持业务场景,支持 localxdr 和 mss 混合接入 使用

SIP3.0.66

 版本新增&优化功能说明

【新增】支持兰眼沙箱接入,平台将展示其检测结果

支持接入兰眼沙箱,平台将未知类型文件发送到兰眼沙箱检测,获取检测查杀结果 进行展示

【新增】新增 SIR 接入,支持上报安全告警、脆弱性弱密码、资产类型数据

支持在开放共享->第三方平台接入 sir 平台,上报安全告警、脆弱性弱密码、资产类 型数据

【新增】处置中心新增执行结果页面

处置中心新增执行结果页面,用于更精简直接展示联动策略执行最终效果

【优化】重保中心优化,联动封锁 ip 的关联告警状态同步变更

支对重保中心联动封锁的结果进行优化,支持封锁 ip 的关联告警状态同步变更

【优化】上报 xdr 数据资产、脆弱性-弱密码类型持续上报至 XDR 平台

资产、脆弱性弱密码数据持续上报至 XDR,新数据优先上报,提高数据实时性。

SIP3.0.65

版本新增&优化功能说明
【新增】SOAR 第三方 APP 新增序列号控制
1.联动响应内置了 17 个第三方联动厂商联动 app 应用
2.序列号新增增值项第三方联动应用接入序列号
【新增】上报 XDR 的脆弱性资产 TMG 标准化
1.对上报 XDR 资产脆弱性数据本地实现 TMG 标准化
【优化】事件详情代理 IP 互换
1.代理攻击者类型的安全事件,告警举证详情中攻击者和受害者的示意图优化

其他事项说明
历史版本已经导入过第三方应用的 SIP,升级后若未及时开放授权,原有的第三方厂商
的 app 实例仍旧会开放使用,但是升级后由于序列号限制应用的实例不可进行二次编辑和新增

SIP3.0.64

版本新增&优化功能说明

【新增】上报深信服 XDR 支持设备认证功能
支持在响应工具-深信服 XDR 平台-接入配置的页面配置 XDR 对接,配置完成后 SIP会接入 XDR 平台,通过 XDR 集中式、跨场景、可扩展的云端高级威胁分析能力,持续发现潜在危险
【新增】新增 http 、dns 日志类型上报到深信服 XDR
支持 http 、dns 日志类型上报到深信服 XDR
【新增】探针和平台的通信方式变为更安全的 AK/SK
支持 3.0.34 及以上的版本通过 AKSK 的方式接入平台
【新增】异常行为引擎支持阈值可配
支持扫描和爆破类的异常行为引擎的阈值可配
【新增】资产扫描支持重复扫描
资产扫描支持重复扫描
【新增】新增源 IP 访问限制
支持在系统设置-通用配置-远程控制页面开启源 IP 访问限制,开启之后,只有在列
表里面的 IP 才可访问设备后台
【新增】审计白名单新增源端口和目的端口
支持审计白名单可配置源端口和目的端口
【优化】安全白名单威胁类型支持多选,白名单配置上限提高到 1000 条
安全白名单威胁类型支持多选,白名单配置上限提高到 1000 条
【优化】审计白名单由平台生效转移到探针生效
审计白名单由平台生效转移到探针生效,平台配置审计白名单下发到探针,从探针审
计流量的时候开始过滤白名单,解决审计白名单不生成审计日志,但有生成安全检测日志、
告警及事件的问题
【优化】重复资产添加时弹窗提示重复资产对应的资产组
重复资产添加时,弹窗会提示重复资产对应的资产组
【优化】分支账号首页告警数展示优化
优化分支账号首页告警数展示
【优化】平台运行状况磁盘容量展示优化
优化平台运行状况磁盘容量展示
【优化】自身安全防护能力增加
合入最新的 sangfor_waf 和 shell_code 组件,增强自身安全防护能力增加
【优化】安全能力优化
合入最新检测引擎,增加检测能力

SIP3.0.63

版本新增&优化功能说明
【新增】支持云图/云脑本地化
支持在响应工具-安全服务分析-远程控制/数据上报,页面配置,实现云图/云脑本地化
【新增】数据上报深信服 XDR 平台
安全事件,安全告警,安全日志,资产等数据上报给深信服 XDR 平台
【新增】数据上报深信服 NGSOC 平台
安全告警,安全日志,资产,脆弱性-弱密码数据上报给深信服 NGSOC 平台
【优化】重保中心威胁类型搜索优化
威胁类型过滤输入框,当输入关键字搜索后,点击全部,过滤选中的威胁类型,并展示相应的告警数据
【优化】重保中心-实时告警分析列表支持一键回到表头
重保中心-实时告警分析列表点击按钮,支持一键回到表头
【优化】重保中心-实时告警搜索框支持模糊搜索
重保中心-实时告警搜索框支持威胁描述,IP 模糊搜索
【优化】时间筛选框支持筛选 31 天
1.重保中心-实时告警分析
2.威胁视角-安全告警
3.风险资产视角
4.威胁专项分析(勒索,挖矿,文件威胁,邮件威胁)
【优化】告警详情页面增加复制数据包按钮
告警详情页面增加复制数据包原始内容按钮
【优化】告警详情-原始日志列表增加攻击结果过滤
告警详情-原始日志列表增加对攻击结果的过滤,可以对攻击结果进行过滤
【优化】重保中心,处置中心多个下拉框支持模糊搜索
1.重保中心-联动封锁,自动和手动联动的联动设备支持 IP 模糊搜索
2.处置中心-响应策略管理-策略管理中的联动设备和进行策略配置时选择安全事件,资产组时支持模糊搜索
3.重保中心-实时告警分析与威胁视角-安全告警中的资产组,受害者所属,攻击者所属,
状态码支持模糊搜索

SIP3.0.62

版本新增&优化功能说明
【新增】白名单导入导出
1.白名单模块新增安全告警白名单、脆弱性检测白名单、审计白名单的导入导出
【新增】声音告警
1.告警检测新增实时告警分析和安全告警(详情模式)声音告警
2.支持自定义发出声音的安全告警
【新增】深澜数据源对接
1.资产中心新增支持深澜数据源对接,获取第三方数据源的资产数据
【新增】告警事件的 syslog 外发
1.新增告警事件数据的 syslog 外发,可通过开放共享外发告警数据
【优化】处置中心安全事件的处置建议优化
1.对安全事件的处置建议 tip 点击可直接跳转到帮助中心查询到相关详细信息
【优化】告警事件举证详情优化
1.事件和告警举证详情中攻击者和受害者的示意图优化
【优化】告警事件举证详情详情模式优化
1.受害者 IP/攻击者 IP/代理服务器 IP 表头筛选支持复制 ip
2.支持跳转到指定的页面数
3.列宽保存优化
4.小屏屏效提升
5.优化重点关注资产、威胁类型排行统计展示、去掉统计概览
6.攻击者和受害者 IP 展示带上资产名片或区域信息
7.复制告警支持自定义模板
【优化】白名单优化
1.记录新增、修改、删除、导入和导出白名单时的操作日志
2.邮件类白名单发件人和收件人支持模糊匹配
【优化】进程取证功能优化
1.优化了进程取证数据采集频率,采集数据实时性提高
2.在原有取证手段上新增了手动重新取证,协助用户进行实时的进程取证
【优化】soar 优化
1.优化联动 edr 策略设备配置,可以实现单个策略对不同 edr-mgr 的策略下发
2.策略决策器配置的参数选择优化,资产,事件类型参数整合为下拉选择树,决策器参
数配置信息更清晰简便
【优化】设备管理配置读取优化
1.优化设备管理配置文件的读取使用方式,解决了部分设备在重启后设备管理中设备离
线,设备相关信息更新滞停的问题

SIP3.0.61

版本新功能说明

【优化】命中规则优化

1.添加命中规则详情

2.点击命中规则可以跳转到安全检测引擎页面

【优化】处置中心安全告警–分为详情模式和聚合模式

1.安全告警分为聚合模式与详情模式

2.对处置中心安全告警页面“菜单栏、搜索、过滤、统计图调整

【优化】告警事件举证优化

1.举证详情中攻击者和受害者的示意图优化

2.多对多情况下威胁分析 tab 的交互形式优化

3.安全告警/事件聚合逻辑改进

4.告警的日志样式与日志中心保持一致

5.告警的原始日志列表添加“日志检索”按钮,点击跳转至日志检索

6.告警详情头部新增威胁类型

7.补齐(基于 Xflow 分析的)安全日志详情的数据包内容

【优化】PPT 报告

1.支持自定义时间导出 ppt 报告

【新增】自定义安全事件

1.区分规则检测引擎和安全事件/告警检测引擎列表

2.支持安全事件/告警检测引擎的开关控制

3.支持自定义策略是否生成告警或事件

4.支持策略全部恢复默认配置

5.支持根据是否生成告警、或事件,检索策略列表

【优化】XDR 方案优化

1.修复了 XDR 方案的一些 BUG

2.优化了 XDR 交互体验

【优化】EDR 频繁下发,一键优化

1.soar 的体验性优化

2.重复的联动封锁不再重复下发

【优化】事件处置状态同步

1.增加新事件同步旧事件的处置状态

2.去掉风险主机混合状态是处置中的逻辑

【优化】缓解查杀无结果

1.对用户进行推荐操作

2.不支持使用 EDR 的事件拆分出来,指导用户处理

SIP3.0.60 

版本概述 新增/优化功能 功能价值/功能详细介绍
SIP3.0.60 版本为体验优化版本,主要功能包括:新威胁专项功能、新帮助中心功能、云沙箱检测功能、弱密码配置功能、配置对接 DNS 服务器功能、补丁回滚功能、等保合规工具 V2.2.4,优化了响应策略执行体验、处置中心性能、重保中心性能、日志检索性能、工单报表体验、资产感知体验、资产导入体验、安全检测能力,并修复了一些网上问题。 【新增】新威胁专项功能 威胁专项页面重构,将原先的挖矿页面由首页移到分析中心的威胁专项分析页面,威胁专项整体页面设计和安全告警页面保持一致,主要帮助专业客户可以在分析中心快速看到文件、邮件、勒索、挖矿相关的所有告警,并能够支持联动处置,关注点在重保场景。
【新增】新帮助中心功能 帮助中心页面重构,让部署、配置、产品使用的帮助手册产品化。用户可以在各模块页面的右上角直接随时点击查看该模块的帮助文档,同时以悬浮框的方式展示,不影响和打断当前页面中的操作
【新增】云沙箱检测功能 1. 优化文件威胁专项,支持联动云沙箱
2. 支持将黑文件手动上传云沙箱进行验证和补充举证
【新增】弱密码配置功能  
【新增】配置对接 DNS 服务器功能 支持定位出 DNS 服务器代理风险外连场景下真实源 IP,从而有效地进行风险处置闭环。
【新增】补丁回滚功能 支持补丁包回滚
【新增】等保合规工具 V2.2.4 SIP 支持作为等保的客户端接入运行在其它深信服设备上的中心端,进行等保合规检测。目前支持 SIP 本身、云镜、云图。
【优化】响应策略执行体验 1.联动动处置策略决策的效率提升,让客户能快速知道该如何处置
2.改进联动体验的状态同步、撤销等问题
【优化】处置中心性能、体验  
【优化】资产感知体验  
【优化】资产导入体验  
【优化】重保中心性能  
【优化】文件杀毒能力优化  
【优化】日志检索性能、体验  
【优化】大屏模块体验  

SIP3.0.58R

版本概述 新增/优化功能 功能价值/功能详细介绍

(1)改进了专业化能力,白名单、举证、处置建议、更加专业化的对抗视角等等
2)优化了多个核心模块的性能,例如黄金眼、处置中心、重保中心等,提升了整体页面响应速度
3)把安全重新分层:原始日志->安全日志->告警告警->安全事件->失陷主机,同时对业务进行了调整
4)补充攻防场景的检测能力和事后检测能力,重保误判日志数量相比之前版本降低40%
5)改进了资产识别能力,增加了4W+

SIP3.0.58R版本在58的基础上改进了升级功能,支持对接云脑在线升级安全感知平台版本升级包和补丁包。客户只要接入互联网,后续新版本可自动从云端下载升级

【新增】新升级功能
1、新增支持对接云脑在线升级安全感知平台版本升级包和补丁
2、支持离线导入版本升级包,升级安全感知平台及潜伏威胁探针版本
3、支持单机、集群、级联场景升级版本升级包及补丁包
4、支持自动和手动升级升级包
【新增】安全告警功能

增加了安全告警功能,通过安全日志聚合为安全告警。告警的精度低于安全事件,高于安全日志,主要帮助专业客户进行溯源、分析,关注点在重保场景。

 
 
【新增】安全白名单功能

新增安全白名单功能,解决安全告警误报的问题,可以通过配置白名单精准地过滤掉客户想过滤的日志种类。同时把以前版本的文件威胁白名单、邮件威胁发件人白名单、自定义威胁情报白名单整合到安全告警白名单统一配置,方便用户配置白名单。

【新增】弱密码配置功能

帮助客户解决脆弱性问题

4.1.可以自定义需要检测的弱密码;
4.2.可以自定义WEB登录结果判断成功、失败的规则。

【新增】等保合规工具V2.2.1

SIP支持作为等保的客户端接入运行在其它深信服设备上的中心端,进行等保合规检测。目前支持SIP本身、云镜、云图。

【优化】UEBA模块

1.UEBA适配告警框架、废除原有的重保中心逻辑;
2.avro、kvd文件读取性能优化,idt调用内存优化,Mongo占用性能优化,Siddhi流内存占用优化;
3.增加统一的任务调度框架、统一的数据库清理任务,废除原有的Python实现,统一改为Java实现;
4.模型参数调整,降低误报;

【优化】安全检测能力,提升APP检测实时性

7.1.优化安全检测能力;
7.2.APP实时检测,提高出安全事件、告警的速度。

【优化】安全事件生成逻辑

优化安全事件生成逻辑,减少误报。

【优化】使用体验

1、【优化】处置中心体验
2、【优化】重保中心体验
3、【优化】分析中心体验
4、【优化】大屏体验
5、【优化】黄金眼体验,支持10S内出查询出黄金眼数据

【优化】文件杀毒能力优化

整合了Save webshellkiller 恶意脚本三个检测引擎,提升了文件杀毒能力

【优化】工单系统

优化了已有的工单系统,支持对工单进行加签

【优化】资产识别能力

优化了资产识别能力,新增指纹识别能力,补充资产识别的属性


SIP3.0.58

版本概述新增 优化功能功能价值 功能详细介绍

(1)改进了专业化能力,白名单、举证、处置建议、更加专业化的对抗视角等等
2)优化了多个核心模块的性能,例如黄金眼、处置中心、重保中心等,提升了整体页面响应速度
3)把安全重新分层:原始日志->安全日志->告警告警->安全事件->失陷主机,同时对业务进行了调整
4)补充攻防场景的检测能力和事后检测能力,重保误判日志数量相比之前版本降低40%
5)改进了资产识别能力,增加了4W+

SIP3.0.58R版本在58的基础上改进了升级功能,支持对接云脑在线升级安全感知平台版本升级包和补丁包。客户只要接入互联网,后续新版本可自动从云端下载升级

【新增】安全告警功能 增加了安全告警功能,通过安全日志聚合为安全告警。告警的精度低于安全事件,高于安全日志,主要帮助专业客户进行溯源、分析,关注点在重保场景。
【新增】安全白名单功能

新增安全白名单功能,解决安全告警误报的问题,可以通过配置白名单精准地过滤掉客户想过滤的日志种类。同时把以前版本的文件威胁白名单、邮件威胁发件人白名单、自定义威胁情报白名单整合到安全告警白名单统一配置,方便用户配置白名单。

 
 
【新增】弱密码配置功能

帮助客户解决脆弱性问题
1.可以自定义需要检测的弱密码;
2.可以自定义WEB登录结果判断成功、失败的规则。

【新增】等保合规工具V2.2.1

SIP支持作为等保的客户端接入运行在其它深信服设备上的中心端,进行等保合规检测。目前支持SIP本身、云镜、云图。

【优化】UEBA模块

1.UEBA适配告警框架、废除原有的重保中心逻辑;
2.avro、kvd文件读取性能优化,idt调用内存优化,Mongo占用性能优化,Siddhi流内存占用优化;
3.增加统一的任务调度框架、统一的数据库清理任务,废除原有的Python实现,统一改为Java实现;
4.模型参数调整,降低误报;

【优化】安全检测能力,提升APP检测实时性

1.优化安全检测能力;
2.APP实时检测,提高出安全事件、告警的速度。

【优化】安全事件生成逻辑

优化安全事件生成逻辑,减少误报。

【优化】使用体验

1、【优化】处置中心体验
2、【优化】重保中心体验
3、【优化】分析中心体验
4、【优化】大屏体验
5、【优化】黄金眼体验,支持10S内出查询出黄金眼数据

【优化】文件杀毒能力优化

整合了Save webshellkiller 恶意脚本三个检测引擎,提升了文件杀毒能力

【优化】工单系统

优化了已有的工单系统,支持对工单进行加签

【优化】资产识别能力

优化了资产识别能力,新增指纹识别能力,补充资产识别的属性


SIP3.0.57

新增/优化功能
优化系统命令执行成功检测能力;
webshell上传成功优化;
新增加密webshell通讯流量检测能力
优化远程管理工具(RAT)行为检测能力;
新增基于上下文的命令执行成功检测能力;
新增基于响应的命令执行成检测能力;
新增系统敏感信息泄露检测;
新增非http攻击成功检测能力;
新增php反序列化检测能力;
改进SQL注入语法检测引擎;
改进WebShell上传语法检测引擎;
改进xss语法检测引擎;
改进命令注入语法检测引擎;
数据库利用;
攻击失败检测;
SQL注入攻击成功检测能力;
黑客工具检测;
组件漏洞利用成功;
新增frp内网穿透代理行为检测;
新增ngrok代理行为检测代理行为检测;
WAF分类优化;
加密wbshell检测方案;
优化的弱密码检测方案;

SIP3.0.55

版本概述
新增/优化功能
  1. 新增资产大屏,资产展示更直观
  2. 新增资产基线核查,及时发现异常资产
  3. 优化资产接入优先级,资产信息准确性提高
  4. 新增资产视角,合并风险服务器和终端展示
  5. 优化安全事件展示
  6. 优化联动EDR取证
  7. 新增自定义平台LOGO
  8. 优化主机资产页面

新增资产大屏

新增资产基线
新增资产入库优先级
新增风险资产视角
新增安全事件视角
新增安全事件视角
新增自定义logo
新增EDR联动进程取证
优化主机资产页面

SIP3.0.53

新增/优化功能

微信告警
等保之合规自检工具
资产拓扑-物理拓扑/逻辑拓扑
重点业务监控大屏
PPT报告
跨三层取mac
SIEM-日志关联分析页面
SIEM-自定义接入解析规则
对接WAF2.0
用户账号多级管理
云场景合入,支持对接CWPP\CSSP
云内威胁态势
金融态势感知平台对接
拓扑结构的综合态势大屏
优化检测能力,如解决了DNS服务器场景、端口收敛等

SIP3.0.52

版本概述

新增/优化功能

功能价值/功能详细介绍

1. 大幅度提升产品检测能力
2. 修复安全漏洞问题
3. 增加补丁包通知机制,解决补丁服务静默升级不可见的问题

检测能力提升

优化检测引擎,提升内网攻击检测能力增强WAF检测能力,内网整体检测能力,未授权访问,数据库爆破等功能。

实时攻击分析

在正式开始前,护网运维人员会提前做重点关注资产、事件配置,以便于后续整个分析过程会更加顺手,符合自己的习惯和需要。
在值守分析时,护网运维人员常常会遇到某些关键线索,比如某个payload关键词,或者某种事件名称,然后对这个线索进行搜索。
护网运维人员看到事件时,能快速对事件本身做分析研判,看是否是误判,看严重性,然后决策是否进行下一步调查和处置。

对接默安幻阵蜜罐系统

对接默安蜜罐设备,接收沙箱检测到的攻击流量并生成相对应的日志及事件。

对接深信服云眼资产数据

对接云眼资产数据,补齐平台扫描客户外网资产的能力。

对接深信服EDR最新版本资产数据

对接EDR最新版本资产数据,补全SIP资产识别字段不全的问题,解决了老版本多网卡资产无法匹配IP的问题。

对接AD域用户数据

接入域控服务器,提升SIP对资产定位到人的能力。

对接城市热点用户数据和资产数据

接入城市热点,提升SIP对资产定位到人的能力。

互联网资产页面

新增互联网资产页面,用来展示云眼扫描到的互联网资产。

补丁更新

能主动将安全补丁通知到在线客户,通过引导客户联系深信服,建立和客户的通路,推动全部的设备升级安全补丁,让客户可以清晰知道产品的安全补丁情况,了解哪些已经打上,哪些未打&可以打,避免恐慌。

SIP3.0.50

版本概述

新增/优化功能

在安全感知SIP3.0.50版本中,新增HCI、IDTrust、AD设备的接入,新增等保合规补齐项、登录日志、金融态势感知平台对接以及优化重构文件威胁分析页面展示、联动响应中心展示及暴破安全事件详情描述。

 

 

重构文件威胁分析页面展示,重点展示恶意文件详情,使运维更简单、方便快速定位问题
新增登录日志,优化联动响应中心展示以及爆破安全事件详情描述,方便用户排查、确认爆破型安全事件,定位问题主机
新增设备的接入:支持HCI、IDTrust、AD设备的接入,提升某公司安全体系的整体安全效果和方案竞争力,帮助客户构建本地安全大脑。
新增等保合规补齐项,SIP平台在此版本后,已满足等保要求。
 新增金融态势感知平台对接,新增数据自动上报功能,将平台的日志转发到上级SIP,kafka服务器,或者人行kafka。实现数据更大价值。

SIP3.0.49

版本概述

新增/优化功能

功能价值/功能详细介绍

 新增金融态势感知平台对接,新增数据自动上报功能,将平台的日志转发到上级SIP,kafka服务器,或者人行kafka。实现数据更大价值。 针对UEBA模块,新增流量异常检测、风险场景检测模型,匹配流量异常主动上报、发现服务器不常访问的内网主机的需求;

 风险场景检测模型包括:   

a.外连异常:风险类型新增是有IP访问稀有HTTP服务,访问稀有HTTP服务;
b.访问异常:风险类型新增服务器访问不常见主机;
c.账号登录异常:WEB账号登录异常;

针对SIEM模块    a.新增支持syslog日志自定义编码选择,实现接入数据可通过指定编码格式解码;
   b.新增支持syslog日志使用tls协议加密传输,提升日志数据保密性与完整性;
   c.新增支持关联规则自定义编辑,包括规则等级、统计次数及时间长度等参数;
   d.新增采集器30款,并优化已支持采集器的日志解析能力,同时支持采集器导入与导出;
   e.新增采集器接入预测功能,可自动发现未接入的采集器设备,并支持批量新增;
优化安全日志、访问日志内容存储机制与索引效率,并提升1U设备磁盘读写性能优化。 说明:1U设备磁盘读写性能优化需执行恢复出厂设置,请谨慎操作。

SIP3.0.48

版本概述

新增/优化功能

功能价值/功能详细介绍

SIP3.0.48版本主要针对攻防对抗场景提供暴露面发现,实时攻击分析,攻击溯源,安全分析日报,资产发现。 暴露面发现 SIP结合实时流量检测、边界防火墙上的ACL策略、云眼数据,分析当前可能资产存在的资产已离线、开放高危端口、无流量访问端口、无流量访问源等暴露面风险。将资产暴露面梳理分为两部分:外网暴露面的资产分析和核心服务器的暴露面梳理。
实时攻击分析 在值守期间及时发现实时的攻击行为,分析攻击者的手法,并进行联动封锁进行闭环,并同时可以同步云端的威胁情报更快速的了解攻击IP。
溯源分析 识别攻击者的攻击过程和攻击手段等信息,并可让安全运维人员看懂入侵过程,决策是否加固,进行加固。用于编写报告。
安全分析日报 提供安全分析日报功能,解决写报告的烦恼,只支持导入每天的报告。
资产发现 通过SIP进行扫描策略下发到云镜或探针,对内网资产进行主动扫描。

SIP3.0.47

版本概述

新增/优化功能

功能价值/功能详细介绍

SIP3.0.47版本主要针对资产中心及平台级联进行了功能重构,同时对安全检测能力及体验性进一步提升。 新资产中心 支持多平台接入、自动资产识别及资产全周期管理等功能,可承载企业架构中安全资产管理角色,提升资产管理效率及安全性;
平台级联 针对上下级关系单位场景,平台级联支持下级单位安全事件和脆弱性事件数据上报至上级单位,上级单位可对数据进行监控并针对性处置;
支持联动硬件云镜,合入某公司安全控件Sangfor-WAF,可拦截异常流量和请求,提升接口访问安全性;  
优化风险端口识别、Web弱密码检测及UEBA算法,提升脆弱性总览(新增漏洞视角模块及数据筛选易用性提升)及UEBA用户体验性;  

SIP3.0.46

版本概述

新增/优化功能

在视频专网V5.0版本中,
针对视频设备等资产,新增资产中心模块,提升资产管理效率与安全性;
针对视频设备管理,新增探针802.1X准入、数据大屏展示、多维度报表导出、新版视频AF对接,优化安全事件处置流程,提升视频设备安全管理。
新增资产中心,支持多平台接入、自动资产识别及资产全周期管理等功能,可承载企业架构中安全资产管理角色,提升资产管理效率及安全性;
新增探针802.1X准入功能,帮助用户安全管理分支内视频设备,实现已审核设备网络放通,待审核设备默认阻断;
新增视频设备的数据大屏展示,满足客户对视频专网态势呈现的需求;
新增视频设备的多维度报表导出,满足客户对报表的需求;
优化安全事件处置流程,提升联动处置效率,包括自动响应策略与联动准入网关;
新增对视频AF的最新定制版对接支持。

SIP3.0.45

版本概述

新增/优化功能

SIP3.0.45对平台的邮件/文件威胁分析模块提供白名单功能、支持虚拟化部署及实体机部署,同时针对部分问题进行优化。 邮件/文件威胁分析模块中,新增邮件/文件白名单,解决误判问题;
支持虚拟化部署(aCloud/VMware)及实体机部署(需使用深信服一体机);
提升安全分析引擎APP运维性与体验,提升集群兼容性;
优化日志接入、安服上报及资产识别模块部分问题。

SIP3.0.44

版本概述

新增/优化功能

SIP3.0.44对平台的性能做了优化包括系统资源、大数据的业务查询,ES数据库的索引生命周期管理,安全分析引擎APP以及高性能模式。

1、 针对客户环境存在APP抢占资源的场景,自动对各类业务资源进行一定的限制和优先级控制,有效地解决CPU跑满时客户的卡顿问题。
2、 减少大量数据查询场景下的性能消耗和查询时间;提升威胁分析、访问分析等卡顿页面的查询性能。
3、 优化Elasticsearch冷热数据存储,合理分配系统资源。
4、 减少资源的消耗,提高安全分析引擎的数据处理能力。
5、 高性能模式场景下,设备运行更高效,增强用户体验效果。

 

 

新增系统资源隔离与分配
大数据量的业务查询聚合优化
新增Elasticsearch索引生命周期管理
安全分析引擎APP性能优化提升。
增强高性能模式效果

问题改进
1、 SIP3.0.40 访问malware通信域名请求成功字数大于总数。
2、 URL过滤日志解析为僵尸网络日志
3、 EDR资产同步问题

注意事项
1、使用日志检索功能,第一次查询检索60天之前的数据时,会较慢响应结果,可以多尝试几次,直到数据正常恢复加载

SIP3.0.42

新增/优化功能

升级OpenSSL版本号至1.0.2t
新增弱密码主动扫描
支持第三方厂商(绿盟)漏洞报表导入解析
去除升级客户端支持,后续只支持在平台WEB界面进行版本升级
新增全球网络攻击态势大屏

注意事项:
1.使用第三方厂商漏洞报表导入时,注意报表生成时间和扫描的IP已加入资产感知的业务/服务器列表
2.全球网络攻击态势大屏建议使用Chrome浏览器,且电脑带独立显卡

SIP3.0.40

新增/优化功能

新增App Store功能
合入SAVE2.5.0,更新模型至2.20191028
新增安全事件处置建议自定义功能
支持接入北塔并且将北塔功能页面在平台展示

注意事项:
1.使用App Store时,设置docker口后会出现短时间的网络中断,需要重新刷新页面

SIP3.0.39

新增/优化功能

优化整体联动处置流程
推荐联动处置信息
新增僵尸网络域名取证功能
新增批量联动处置功能
新增自动联动实现处置闭环功能
优化处置中心,新增反复感染和今日新增标签,支持各种过滤条件
优化处置中心详情页面,可以看到更多信息
新增处置记录,记录处置信息
新增处置报告
优化报表导出,支持自定义时间导出报表
优化大屏设置,支持大屏LOGO自定义
优先安全告警,支持报表推送
弱密码识别优化,提升检测能力

注意事项:
联动ac
1)对接AC12.0.5定制版本,上网提醒功能可支持下发的内容最大长度为4k,冻结账号最大冻结时长为1440分钟;
2)对接AC12.0.27正式版本,上网提醒功能可支持下发的内容最大长度为1k,且超过128字节时,终端不能展示提醒内容;冻结账号最大冻结时长为1440分钟;
3)对接AC12.0.41正式版本,上网提醒功能可支持下发的内容最大长度为8k,冻结账号最大冻结时长为15天。
4)对接AC12.0.27版本及以上,需尽量保证AC设备与SIP设备时间同步,否则可能出现下发较短冻结时长的冻结账号策略异常。
2. 自动联动策略
1)配置自动联动策略时,需检查配置的策略是否有对应的联动设备,否则策略不生效;
2)配置自动联动策略时,需要选择合理的联动方式及合理的资产范围。
3. 自定义大屏LOGO
1)导入图片长宽比例推荐为1:14
安全告警
1)安全告警推送报表只支持邮件,不支持短信

SIP3.0.37

新增/优化功能

接入并处理AF新格式日志blob
兼容AF新配置格式
支持安全服务本地化sock

SIP3.0.36

新增/优化功能

功能价值/功能详细介绍

Ueba行为分析改进

1.支持数据库、外联场景、账号暴破、外发数据、异常访问、账号异常行为分析检测

2.支持数据库场景算法可编排

新增dos攻击安全事件的检测  

注意事项
Ueba行为分析
本功能不支持1U设备,即:SIP-1000-A600。
dos攻击安全事件的检测
Dos攻击安全事件的检测,需要配合STA3.0.17版本(预计12月初发布)才能使用,其他功能没有影响。
升级方式
本版本只支持从SIP3.0.35版本升级

SIP3.0.35

新增/优化功能

新增权限管理,支持三权分立,资产和页面分级分权管理,满足等保要求
新增密码安全策略,支持自定义密码安全策略
新增USB-KEY登陆认证,加强账号安全管理
优化日志检索体验,解决护网过程中遇到的问题
优化安全日志接入格式
新增控制台登陆验证码校验

注意事项:
1、三权分立新增管理员后,如果修改过管理员所有管理的IP组,需要重新配置管理员管理的IP范围
2、USB-KEYUSB-KEY目前仅支持IE和Chrome登陆账号,支持Win7、Win10系统
3、超级管理员账号修改超级管理员admin的账号名后,安服远程控制可能失效,且深信服后台升级功能不可用(web前台升级功能正常)

SIP3.0.34

新增/优化功能

新增自研分布式集群管理暨自动化运维管理框架dmoc,新增大数据技术栈部分组件(hdfs)
升级mongodb版本号3.2.9至4.0.9
优化时间同步机制,采用更安全的步进同步方案
修改集群管理界面,支持展示集群存储、节点信息,支持展示资源、分片信息展示;支持新增删除集群节点
新增支持集群状态开启关闭维护模式
集群新增分布式计算能力和横向水平扩展
集群新增服务高可用和数据高可用
提升集群网络安全性
注意事项:
1.多台需设置集群的感知平台设备IP地址需在同网段,且能够相互访问;
2.多台需设置集群的感知平台设备的硬件型号、平台包号需要相同;
3.如解散集群,会导致部分数据丢失,请谨慎解除集群
4.多台需配置集群的感知平台设备需确定一个主节点,配置好后,则其他感知平台为从节点,主节点开启维护模式后,从节点才可正常访问界面;
5.低端设备(内存小于90G的设备)无法配置集群;
6.组建集群,子节点会恢复默认配置、清除所有数据,配置和数据以主节点为准;
7.节点掉线,负载组件不支持重选,掉线需要人工恢复;
8.老集群升级请联系技术人员支持;
9.集群负载产生40-60M流量,至少部署千兆及以上交换机;
10.修改时间的跨度大于4小时需要重启设备,若是集群,需要重启所有节点;
11.组集群确保所有主机时间差异不超过30分钟;
12.请确认未手动修改过后台密码,如修改请在前台重置密码;
13.升级注意事项:见操作文档

SIP3.0.33

新增/优化功能

支持自定义规则判断WEB弱密码登录状态
事前检测能力提升,脆弱性感知界面支持数据可信度过滤和展示
风险端口检测能力增强,支持数据库端口开放检测,扩充远控应用端口识别
支持POC检测模式,加速各个安全检测引擎分析速度
支持浏览器代理升级,在平台不能联网的情况下升级平台库和引擎
增强恶意程序下载检测、HTTP隧道检测、行为指纹检测、恶意脚本检测等检测能力
新增接入设备异常告警,支持邮件短信两种通知方式
新增平台配置备份恢复
支持自定义恢复出厂设置
新增登录管理,支持IP免登录以及只允许某些IP登录平台
新增平台端口状态展示
注意事项:
1、登录管理
(1)为保证平台安全性,登录管理功能的权限(包括查看、增加、删除、修改)只对超级管理员(即admin用户)开放,非admin用户登录平台登录管理入口将隐藏
(2)为避免免登录和单点登录功能冲突,登录IP不允许与其他记录相同或部分重复
(3)平台用户账号被禁用或者删除时,登录管理中绑定的对应用户名也会被移除,如果配置中只绑定该用户,或者所有绑定的用户都被禁用或删除,则该配置也会被删除;
(4)为避免免登录逻辑被频繁触发,免登录逻辑只会在输入IP或域名时才执行,如访问“https://xx.xx.xx.xx/apps/secvisual/index.html”等带后缀的地址将不会触发免登录。
2、POC模式
POC模式开启后,脚本运行频率加快,会影响平台性能,造成卡顿,请谨慎开启
3、浏览器代理升级
浏览器代理升级需要本机PC能够连接到升级服务器,在升级包较大且网速较慢的情况下,升级时间可能较长,同时浏览器代理升级暂不支持SIEM第三方引擎升级
4、设备异常告警
新增设备告警策略,“接入设备”与其他选项互斥,需先取消“安全事件”的勾选才能勾选“接入设备”

SIP3.0.32

新增/优化功能

新增重大活动网络安全指挥调度大屏,方便查看网络安全状况以及值班人员情况
注意事项:
1、保障开始日期是必填的
2、成员名单中,总指挥和副指挥都只有一个,不可以重复添加
3、成员名单中,当公司,姓名,职位都相同时,认为是同样成员,不可重复添加
4、值班日历中,每天只能有一个人在值班
5、支撑单位不可重复添加
6、后台删除配置文件后,要重新点击设置,页面不会实时更新
7、当只有一个分支时,默认只能选择活跃攻击源
8、大屏默认启用状态
9、总览态势:分支数和服务器数从资产态势大屏中获取,已失陷高危中危从全部风险服务器中获取
10、处置整改:用户可在处置中心中自定义待处理服务器的类型,然后根据用户的选择决定哪些服务器已处理,哪些服务器未处理
11、作战统筹:根据配置页重用户填入的临战检查和应急方案分支数输出信息
12、值班日历默认最多展示21天的信息

SIP3.0.31

新增/优化功能

新增通报大屏:上级单位能够看清所有下级单位的安全建设情况
新增通报中心,监管单位下发通报,下级单位接收通报并跟踪处置,监管单位验收处理结果并归档
新增预警中心,展示云脑预警信息和内部预警信息,并支持下发预警信息
系统设置优化,提高用户体验
注意事项:
1、通报中心下发通报和预警需要配置邮箱服务器,且分支需要配置责任人邮箱,通报和预警下发信息到分支责任人邮箱
2、预警中心预警中心使用云脑情报信息需要平台可以连接外网
3、通报预警序列号通报中心和通报大屏需要配置通报预警的序列号才能开放给用户使用
4、升级限制限制了之前主管场景升级,主管场景不能升级到这个版本

SIP3.0.30

新增/优化功能

对接AC正式版本,实现上网提醒和冻结账号功能
SIEM分析系统新增支持700+种厂商设备、中间件或操作系统接入
注意事项:
1、联动AC
SIP下发的上网提醒内容长度不能超过1024个字节,否则AC不能正常展示提醒内容,SIP弹出截断提醒内容警告。此外目前,AC现只能展示162字节的提醒内容,需注意。
2、第三方日志采集器
新增采集器不能准确提取日志中的字段时,需要联系研发获取最新的日志解析配置文件。

SIP3.0.29

新增/优化功能

外部威胁算法可视化
流量预测算法优化
外部攻击总览新增IP和IP段复制功能
注意事项:
1.平滑升级的设备,外部威胁总览,新的外部威胁算法不分析老日志。现象:以前生成的事件,跳转二级页面,数据都是空。
2.攻击者查询来源与事件详情不一样,导致刚升级1个小时内出现现象:没有攻击事件时,点击查看攻击者会显示攻击者ip。这个现象是正常的,预计升级1个小时后就恢复了。

SIP3.0.28

新增/优化功能

新增支持对接BBC
新增支持使用snmp trap接入方式
新增移植已支持的接入方式到logstash
新增支持12款设备接入
对接安全服务优化-安全事件实时上报
注意事项
1.SIEM日志解析引擎名称变更SIEM日志解析引擎名称变更为SIEM日志范式化引擎
2.脆弱性感知引擎升级页面去掉了脆弱性感知引擎升级放在了安全分析引擎页面的“脆弱性感知引擎”
3.对接 BBC 注意事项:

(1)SIP 只支持接入一台 BBC,如果接入多台首页设备管理只会展示最新接入的一台的数据;
(2)认证账号密码为:BBC 超级管理员 admin、及其账号密码。不支持输入租户的账号密码
(3)如果没有 BBC 接入,则首页不会展示设备管理模块。新增了 BBC 设备之后才会展示。

4.第三方设备接入,第 3.4 章节中新增的都是使用的 8514 端口,而不是 514。

SIP3.0.25

新增/优化功能

新增安全检测清单、挖矿检测专项,看清内网风险
新增设备大屏,看清探针、AF接入平台状态
新增风险端口,检测内部网络对外网开放风险端口情况
新增外对内业务流量分析,看清对外业务运行流量状况
新增大屏告警,实时展示内部风险
新增访问流量核查,看清内网访问情况
优化WEB弱密码检测,加强检测能力
优化横向访问分析,新增服务器流量排行视角
优化外连分析,新增服务器外连和终端外连视角
优化用户视角,首页新增展示风险用户
优化日志删除机制,支持更细化的自定义删除设置
优化首页banner和登陆页
安全告警支持短信猫
优化mongo、ES、前端等性能,平台体验更佳
支持IPv6

注意事项:

1.WEB弱密码检测优化
需要探针3.0.15支持
2、短信猫注意事项详细说明
短信猫需要单独购买串口线使用

SIP3.0.24

新增/优化功能

新增恶意脚本检测能力
优化文件威胁可视界面
优化httpflow检测引擎能力,加强http协议相关安全检测能力
更新SAVE2.3.0文件分析引擎,提高文件威胁鉴定能力,提高非PE文件(pdf、word)等鉴定能力
支持兰眼沙箱对接
新增账号安全检测引擎,加强对账号方面异常进行检测能力
加强远程代码执行等,进一步加强内网安全检测能力
第三方设备接入引入logstash框架
新增windows日志接入方式agent
第三方日志接入支持app发布
新增SIEM内置关联规则
注意事项
1、兰眼沙箱对接注意事项注意事项详细说明目前主要是平台支持,但探针不支持,目前已经发布的STA3.0.14版本不支持兰眼沙箱的对接,预计STA3.0.17版本支持,如果现在需要,需要走定制流程。
2、升级事项注意事项详细说明由于版本合入了SAVE2.3.1版本,且内置杀毒库,包比较大,升级过程相对较长;

SIP3.0.23

新增/优化功能

优化平台审计日志框架,新接入6种审计日志
SIEM新增接入方式,新增第三方日志接入
SIEM新增关联分析规则
支持syslog发送安全事件
联动AF支持自定义服务
平台支持IPV6管理
支持SIP对接EDR的NAT场景
服务器行为画像改进
外部威胁分析优化
优化威胁追捕,新增攻击链溯源

注意事项:

联动 EDR 版本兼容性问题

新版本不兼容 SIP 老版本: 
(1)EDR3.2.9 版本对接 SIP3.0.18 版本新功能,存在版本兼容性问题: 
(2)EDR3.2.9 不兼容 SIP3.0.18 以下老版本,如果需要联动需求升级 SIP 到3.0.18 版本以及以上;  
SIP 新版本可以兼容 EDR 老版本 
(1)SIP3.0.18 可以兼容 EDR3.2.9 以下的老版本, 

对接深信服产品说明

1、点击右上角的登陆账号名,出现下拉框,点击下拉框中的“帮助”,即可查看全部接入产品对应的版本信息,功能说明等详情说明。目前很多一线同事不清楚,需要传递给一线。 
2、对接 EDR:SIP 到 EDR 做了 DNAT,且有做端口映射时,EDR 不能自动部署到 SIP 
3、对接 EDR:SIP 半小时拉取一次 EDR 的资产数据,若在半小时内 EDR 新增终端并产生安全事件同步到 SIP,此时由于资产未同步到 SIP,SIP 不会产生新增终端的安全事件 
4、对接 AF:SIP3.0.18 与 SIP3.0.21 版本联动 AF 下发应用控制策略成功, 但无展示,SIP 升级到 SIP3.0.23 版本可以解决此问题 
5、对接 AF:SIP 与 AF 目前不支持 NAT 场景数据同步与联动 


审计日志设置功能说明
网络流量、DNS日志设置会影响深信服自定义协议日志分析 

服务器行为画像改进说明

1.改进只针对高端设备设备(B 档、C 档、D 档设备);低端设备的行为画像保持原样。 
2.高端设备(B 档、C 档、D 档设备),行为画像中,只有核心服务器才会有基线,普通服务器没有基线。 


威胁追捕改进说明

1.出于性能及体验最优考虑,列表最多只展示 2 万条,横向访问等数据可能出现统计不准的情况,关系图最多展示 20 条,可能出现展示出的端口应用与统计的数量不一致的情况 2.威胁追捕搜索内部 IP 时支持安全日志,网络流量日志,DNS 日志展示,暂不支持 http 日志展示 

升级说明

1. 集群设备升级前需先拆分集群,全部升级成功后再组集群,如有问题咨询陈啸 

SIP3.0.21

新增/优化功能

功能价值/功能详细介绍

优化云眼对接界面  
支持与离线版云镜对接  
开放界面支持自定义弱密码规则,弱密码误判改进  
安全告警:
 
支持安全事件,外部攻击,脆弱性等数据自定义通知;
支持邮件或者短信方式两种通知方式
新增外部攻击和脆弱性告警,相比之前自定义告警灵活度更大,通知方式更丰富

EBA功能:服务器行为分析

引入EBA,基于机器学习和流量对服务器行为进行分析
第三方Netflow接入功能  
注意事项:
安全告警:1.对于邮件服务器配置,推荐使用常用老邮箱账号,测试中发现新注册的邮箱账号发送的邮件大概率被误判为垃圾邮件,若出现邮件接收不到情况,建议收件人将发件人账号加入通讯录白名单
2.短信发送成功,要保证设备时间和阿里云/腾讯云时间大致一致,所以不要随意改动设备系统时间
3.对于短信服务,阿里云和腾讯都对短信发送都有限制,以腾讯为例
建议将收件人加入白名单或者将账号升级为企业账号

SIP3.0.18

新增/优化功能

新增威胁追捕
新增级联功能
重做综合报表
优化综合态势大屏等显示
优化访问关系中的横向外连显示
优化安全事件处置机制
新增imap协议的邮件威胁检测
新增共享勒索文件检测优化
DGA算法改进
新增DNS僵尸网络硬编码域名检测
日志统一检索
联动EDR - 一键扫描、文件隔离、同步主机信息
日志备份 - 安全日志备份
ES多实例优化

注意事项

分权管理

  • 分权管理已做优化,现在具有管理或查看所有分支权限的管理员,可以查看大屏数据且具有全局视角
  • 不同场景下添加的管理员只能在该场景下登陆,不能跨场景登陆

证书管理

(1)为了更好的满足需求,版本修改了证书生成机制,修改 IP 后,平台Https 证书会发生变化,若修改 IP 前已导入平台证书,可能在修改 IP 后访问平台报证书错误,此时只需要清除浏览器缓存重新导入证书即可

安全事件处置

(1)安全事件现在和主机状态联动,修改了部分逻辑,只有当天的安全事件才会生成并储存风险标签

平台级联

(1)安全不支持设备模式且不支持上级平台对下级平台的原始日志检索

联动 EDR 版本兼容性问题

EDR 新版本不兼容 SIP 老版本:

  • 2.9版本对接 SIP3.0.18 版本新功能:
  • 2.9不兼容 SIP3.0.18 以下老版本,如果需要联动需求建议升级 SIP 到 3.0.18 及以上版本,或者 EDR3.2.9 升级兼容 SIP3.0.18-版本的补丁包(补丁包找 EDR 接口人祁生德取包)

SIP 新版本可以兼容 EDR 老版本

(1)SIP3.0.18 可以兼容 EDR3.2.9 以下的老版本,

对接深信服产品说明

点击右上角的登陆账号名,出现下拉框,点击下拉框中的“帮助”,即可查看全部接入产品对应的版本信息,功能说明等详情说明。目前很多一线同事不清楚,需要传递给一线。

序列号问题

文件威胁由于受多功能序列号控制,所以当升级此版本的用户,如果使用文件威胁功能,需要找硬件部开启对应的功能序列号;

探针版本依赖

文件威胁由于新增 HTTP、FTP 等功能查杀,所有该功能必须配合探针STA3.0.8 版本才能生效;

内网安全检测检测依赖于 STA3.0.10 版本;

AF 在线状态

由于心跳机制只有在 AF8.0.2 以及以上版本才支持,导致很多客户那 AF 是低版本时,经常出现 AF 是离线状态(10 分钟之内没有同步数据导致)。为解决这个问题目前的解决方法是:

  • 后台代码已修改默认 30之内没有同步数据就认为 AF 离线;
  • 新增后台配置文件,手动修改后台配置文件即可

SIP3.0.17

新增/优化功能

新增功能:新增待处置中心新增对接云眼新增资产的核心服务器,核心终端,终端mac地址

分支安全态势大屏优化

DHCP场景用户视角改进

优化邮件威胁可视化页面,提高邮件威胁可视化能力

优化文件威胁安全事件举证,提高文件威胁安全事件举证能力

检测改进:优化DGA算法,提高僵尸网络DGA算法识别率http头恶意检测
其它优化:首页安全事件和待处理主机数目统计优化配置向导新加入IP分配模式

注意事项

 用户视角

 1、用户视角的用户名,主机名,mac 地址,如果有在 SIP 资产感知 -- 终端手动配置,则最优先会选择 SIP 手动配置的,其次才是动态 IP 用户设置。

  • 风险业务/风险终端

1、风险业务/终端页面列表,在风险等级相同的情况下,会优先排核心资产在最前面

2、在资产感知配置服务器/终端某 IP 为核心后,风险业务和风险终端页面会存在一定延迟(小于 5 分钟),才显示该 IP 为核心。

  • 分支安全态势大屏

1、分支安全态势大屏支持聚合展示,离线地图条件下,分支需在地图设置省市区才可以正常聚合展示

联动云眼

联动云眼只展示漏洞数据和安全事件,没有详细日志,且脆弱性总览处的热点漏洞只统计来源云眼的漏洞

 

  • 核心服务器,核心终端

 添加核心业务时,所选服务器会默认变成核心服务器,但支持修改核心业务下的核心服务器为普通服务器

SIP3.0.14

新增/优化功能

新增 SAVE 智能文件威胁检测引擎,提高文件威胁鉴定能力

新增内网远程代码执行检测引擎,提高内网安全检测能力

对接安全服务(数据上报、远程服务),深度融合安全服务,提高安全闭环能力

支持第三方平台通过 RestAPI 接口访问平台数据(安全事件、脆弱性、资产信息等)

注意事项

 

文件威胁注意事项

 序列号问题:

文件威胁由于受多功能序列号控制,所以当升级此版本的用户,该序列号有免费使用 1 个月,当一个月到期,需要找硬件部重新申请携带文件威胁功能的多功能序列号;

规则库问题:

文件威胁由于合入了 SAVE、小红伞、火绒等查杀引擎,本版本更新了文件威胁特征识别库,升级本版本的用户如使用文件威胁功能,需手动理想升级文件威胁库;

探针版本依赖

 文件威胁由于新增 HTTP、FTP 等功能查杀,所有该功能必须配合探针STA3.0.8 版本才能生效;

内网安全检测检测依赖于 STA3.0.10 版本;

5.3 AF 在线状态

 由于心跳机制只有在 AF8.0.2 以及以上版本才支持,导致很多客户那 AF 是低版本时,经常出现 AF 是离线状态(10 分钟之内没有同步数据导致)。为快速解决这个问题目前的解决方法是:

新增后台配置文件:

cd /home/fantom/apps/secvisual/local vi expire_time_conf.json

文件内容如为:

{

“af”: 2(单位是小时。如值为 48 代表 48 小时内没有同步数据就离线)

}

即可。

 

SIP3.0.13

新增/优化功能

优化风险主机页面:新增主机威胁面新增网络连接详情优化攻击入口点溯源
新增功能:新增外部威胁感知报告支持自定义平台图标支持分支分权管理新增设备IP混合模式支持自定义互联网单位IP归属地
检测改进:改进脆弱性:新增WEB弱密码审计改进邮件安全:支持垃圾邮件、病毒邮件、钓鱼邮件检测新增http恶意下载检测功能
其它优化:优化黄金眼优化安全事件影响面举证信息优化已处理状态

SIP3.0.12

新增/优化功能

新增联动DAS-同步数据库日志
新增联动WAC-获取用户信息、联动冻结账号
日志中心优化-支持数据包、状态码的检索、新增数据类型统计包括攻击类型\IP\状态码等的统计、性能优化提高查询效率、新增解码小工具
SIEM分析系统-优化启明防火墙日志、PaloAlto Firewall日志解析

SIP3.0.11

新增/优化功能

导航重构:重新排布不同模块的位置,方便客户使用
风险用户视角:在DHCP场景下,可以根据用户名追踪风险主机
互联网单位IP:自定义IP名称和地理位置
国土合入:1.新增综合安全态势大屏2.优化网络攻击大屏3.优化横向威胁大屏4.优化外连风险监控大屏5.优化安全事件大屏6.新增风险安全域7.新增横向威胁总览8.新增等级保护管理服务9.支持自定义标签

SIP3.0.9

新增/优化功能

邮件告警:优化终端/服务器/成功的事中攻击告警,新增安全事件告警

联动AC优化:

1、新增自定义字段上网提醒配置,新增手动批量上网提醒策略,2、支持AC添加到分支,AC同步的用户信息会自动关联分支

南京聚铭合入:
将南京聚铭功能合入到正式版本
优化风险终端,
加强可视
优化攻击成功,
增强检测准确度
优化安全事件视角,引入聚合视角
优化脆弱性感知,加快查询速度

SIP3.0.7

新增/优化功能

新增配置向导、平台上架检测功能

新增服务器外连可视功能

优化大屏可视

首页综合评级支持自定义规则

SIP3.0.6

新增/优化功能

新增AD域控服务器安全检测能力
新增SMB高危漏洞安全检测(永恒浪漫、永恒协作等)
新增IOC威胁情报安全检测
加强挖矿、勒索病毒安全检测能力
新增第三方操作系统日志(Windows、Linux)安全检测能力
新增安全事件知识库知识文档
新增多分支场景摘要报告WORD版
改进普通场景下摘要报告PDF版
优化风险业务模块

SIP3.0.3

新增/优化功能

场景选择:平台支持三个模式(多分支主管场景、多分支自运维场景、普通场景),增加主管单位序列号
多分支主管场景、多分支自运维场景新增综合态势大屏
多分支主管场景新增安全事件态势大屏
多分支主管场景新增脆弱性态势大屏
多分支主管场景新增资产态势大屏
多分支主管场景新增工单系统
分支地图模式优化
多分支主管场景、多分支自运维场景报表新增支持按分支、IP段导出功能;普通场景新增IP段导出功能;优化报表展示界面
多分支主管场景优化外部攻击态势、外连风险态势两个大屏
多分支主管场景优化风险业务、风险终端界面
主管单位场景下其他页面修改、多分支场景下分支属性修改

SIP3.0.1

新增/优化功能

探针支持从平台侧在线升级
安全检测日志检索优化
访问记录检索优化
大屏(外连风险监控大屏/外部攻击态势大屏)优化
平台增加运维功能:运行状况/故障日志
支持探针的业务弱点和网站攻击日志记录MAC地址
探针序列号改动
探针和平台安全漏洞修复