SIP支持以组件的形态接入到云端XDR平台,将安全事件、安全告警、安全日志、HTTP/DNS数据、资产信息上报至XDR,通过XDR集中式、跨场景、可扩展的云端高级威胁分析能力,持续发现潜在危险。
XDR和NGSOC,不能同时接入,二者同时只能接入一个;
12.1.4.1.云端XDR
云端XDR(也称为SaaS XDR),在对接SaaS XDR前需要确保放通以下域名端口,如下表所示。
| 源端 |
源端口 |
目的端 |
目的端口 |
实现方式 |
备注 |
|
SIP |
any |
device.scloud.sangfor.com.cn device.sangfor.com.cn |
TCP: 443和5000 |
https协议 tcp协议 |
用于xdr进行设备租户绑定 |
| dlauth.sangfor.com.cn |
TCP:443 |
https协议 |
用于数据网关认证 |
||
| datalake.sangfor.com.cn |
TCP:443 |
https协议 |
用于数据上网 |
对接过程主要包括两部分,首先在[工具箱/响应工具]页面,点击深信服XDR平台<查看详情>,勾选<开启远程控制>,依次输入“账号ID”、“账号”、“密码”,点击保存,如下图所示。
接入成功后会提示“已开启远程控制”。
在数据上报页面,点击<开启数据上报>,上报至XDR。
上报成功后,页面显示如下。
12.1.4.2.本地XDR
在对接本地 XDR前需要确保放通以下地址端口,如下表所示。
| 源端 |
源端口 |
目的端(本地 XDR) |
目的端口 |
备注 |
|
STA |
any |
本地XDR集群业务口IP |
TCP:443 |
用于数据上报 |
| TCP:4488 |
用于单点登录 |
|||
| TCP:19666 |
用于数据上网 |
对接前确保和本地XDR进行时钟矫正和确认,进入[系统设置/通用配置/系统时间],确保时间误差不超过1分钟。
[系统设置/通用配置/隐私设置],勾选<参与用户体验改进计划>,点击确定。
点击<深信服XDR平台>查看详情
勾选开启远程控制,接入方式选择本地XDR,客户ID默认为10001001,根据下图提示填写XDR平台IP、账号以及密码等接入信息,示例如下如所示。
保存成功之后,点击左侧数据上报,开启数据上报。
上线成功后,在SIP界面可以看到深信服XDR平台当前状态为已开启远程控制,如下图所示。
在XDR平台上也可以查看到SIP设备已在线,如下图所示。
建议使用Chrome浏览器访问!
