SIP支持以组件的形态接入到云端XDR平台,将安全事件、安全告警、安全日志、HTTP/DNS数据、资产信息上报至XDR,通过XDR集中式、跨场景、可扩展的云端高级威胁分析能力,持续发现潜在危险。
XDR和NGSOC,不能同时接入,二者同时只能接入一个;
12.1.4.1.云端XDR
云端XDR(也称为SaaS XDR),在对接SaaS XDR前需要确保放通以下域名端口,如下表所示。
源端 | 源端口 | 目的端 | 目的端口 | 实现方式 | 备注 |
| SIP | any | device.scloud.sangfor.com.cn device.sangfor.com.cn | TCP: 443和5000 | https协议 tcp协议 | 用于xdr进行设备租户绑定 |
dlauth.sangfor.com.cn | TCP:443 | https协议 | 用于数据网关认证 | ||
datalake.sangfor.com.cn | TCP:443 | https协议 | 用于数据上网 |
对接过程主要包括两部分,首先在[工具箱/响应工具]页面,点击深信服XDR平台<查看详情>,勾选<开启远程控制>,依次输入“账号ID”、“账号”、“密码”,点击保存,如下图所示。
接入成功后会提示“已开启远程控制”。
在数据上报页面,点击<开启数据上报>,上报至XDR。
上报成功后,页面显示如下。
12.1.4.2.本地XDR
在对接本地 XDR前需要确保放通以下地址端口,如下表所示。
源端 | 源端口 | 目的端(本地 XDR) | 目的端口 | 备注 |
| STA | any | 本地XDR集群业务口IP | TCP:443 | 用于数据上报 |
TCP:4488 | 用于单点登录 | |||
TCP:19666 | 用于数据上网 |
对接前确保和本地XDR进行时钟矫正和确认,进入[系统设置/通用配置/系统时间],确保时间误差不超过1分钟。
[系统设置/通用配置/隐私设置],勾选<参与用户体验改进计划>,点击确定。
点击<深信服XDR平台>查看详情
勾选开启远程控制,接入方式选择本地XDR,客户ID默认为10001001,根据下图提示填写XDR平台IP、账号以及密码等接入信息,示例如下如所示。
保存成功之后,点击左侧数据上报,开启数据上报。
上线成功后,在SIP界面可以看到深信服XDR平台当前状态为已开启远程控制,如下图所示。
在XDR平台上也可以查看到SIP设备已在线,如下图所示。
建议使用Chrome浏览器访问!